Close

Marco de controles comunes de Atlassian


Al igual que muchas otras empresas, Atlassian cuenta con una serie de estándares internacionales de control que se aplican al desarrollo de nuestros productos y a nuestros entornos de operaciones. Decidimos evaluar el solapamiento entre muchos de estos estándares independientes y asegurarnos de contar con una perspectiva única para aplicar dichos estándares en nuestros entornos internos. El principal entorno en el que aplicamos estos estándares es en nuestra plataforma de alojamiento en nube, ya que entendemos que debemos demostrar que estamos dedicando los esfuerzos necesarios para proteger a nuestros clientes y sus datos. Sin embargo, no todos los estándares son aplicables a todos los entornos. Por ejemplo, Sarbanes-Oxley (SOX) se centra en los sistemas que respaldan nuestras cuentas anuales, entre los cuales nuestros servicios en la nube desempeñan, en el mejor de los casos, un papel secundario. Echemos un vistazo a los estándares que evaluamos y por qué los evaluamos.

Estándares internacionales aplicables

A continuación se presenta una lista de los estándares que evaluamos cuando empezamos a crear nuestro marco interno de controles comunes:

Estándar
Patrocinador
Controles
Dominios
ISO27001 Organización Internacional de Normalización 26 requisitos 6 cláusulas
ISO27002 Organización Internacional de Normalización 114 requisitos 14 dominios
PCI-DSS Payment Card Industry Security Standards Council 247 requisitos 6 dominios
CSA CCM Cloud Security Alliance 133 controles 16 dominios
SOC2 Service Organisation Controls 116 requisitos 5 principios
SOX 404 (IT) Ley federal de los Estados Unidos 22 requisitos 5 dominios
GAPP

AICPA

106 requisitos 10 dominios

 

Marco de controles comunes

Como puedes observar en la tabla anterior, hay una serie de requisitos muy diversos y dispares, muchos de los cuales se aplican a los mismos entornos, sistemas o equipos. Con el fin de que nuestros equipos puedan entender con mayor facilidad cómo se solapan y en qué se parecen muchos de estos estándares, evaluamos cada uno de los requisitos de control e identificamos dónde se solapaban (es decir, dónde estaban cada uno de estos estándares evaluando básicamente el mismo dominio). El resultado es que ahora tenemos un marco de controles comunes que se vincula fácilmente a cada uno de estos estándares.

Modelo conceptual de aplicabilidad

A medida que íbamos evaluando cada uno de los requisitos, nos dimos cuenta de que aplicar toda la pila de controles a cada uno de nuestros productos o servicios en línea no sería eficiente. Hemos diseñado la estructura de manera que se apliquen diferentes componentes del marco de controles a partes de la pila de entrega distintas, que podrán heredar el resto de las partes de la organización.

Atlassian logo on a browser

Aplicaciones de Atlassian

Seguridad en el desarrollo de aplicaciones

Seguridad de datos y gestión del ciclo de vida de la información

Lock with key hole

Seguridad de Atlassian

Criptografía y cifrado

Gestión de amenazas y vulnerabilidades

Gestión de incidentes de seguridad

Connected nodes

Infraestructura de Atlassian

Gestión de activos

Control de accesos

Operaciones

Seguridad de las comunicaciones

Stacked servers

Centros de datos y oficinas de Atlassian

Seguridad física y ambiental

Briefcase

Atlassian como empresa

Gobernanza de la seguridad

Organización de la seguridad

Seguridad del personal

Gestión de datos de proveedores y terceros

Seguridad móvil

Continuidad empresarial

Auditoría/conformidad

Privacidad

Conclusión

Organizar el marco de controles comunes de Atlassian fue importante para que nuestros equipos pudieran aplicar la mentalidad de "evaluar muchas veces y actuar una sola". En lugar de preguntar a varios equipos distintos y en diversas ocasiones, aprovechamos la eficiencia de este marco para definir dónde organizar y aplicar los controles para que toda la empresa pudiera entender cuáles son los requisitos y cómo interviene cada parte de nuestra organización colectivamente con el fin de ofrecer seguridad a todos nuestros clientes.