Nuestras políticas de seguridad y tecnología en Atlassian

En Atlassian hemos establecido un programa de gestión de la seguridad de la información (ISMP, information security management program) en el que se exponen los principios y las reglas básicas que rigen la forma en que preservamos la confianza y la seguridad. Para lograr este fin, trabajamos incesantemente para evaluar los riesgos para nuestras operaciones, así como para mejorar la seguridad, confidencialidad, integridad y disponibilidad de nuestro entorno de Atlassian. Revisamos y actualizamos periódicamente las políticas de seguridad, realizamos pruebas de seguridad de las aplicaciones y las redes de nuestro entorno, y monitorizamos el cumplimiento de las políticas de seguridad.

A continuación, se muestra una lista y una breve descripción de las principales políticas de seguridad y tecnología que hemos implantado en Atlassian para nuestros entornos internos y en la nube.

Política, riesgo y gobernanza

En esta política se establecen los principios y directrices generales por los que se gestiona la seguridad en Atlassian.

Entre los principios básicos de nuestra política de seguridad se incluyen los siguientes:

  • Gestionaremos el acceso a la información de la empresa y a la del cliente en función de las necesidades empresariales y en sintonía con los valores de Atlassian.
  • En Atlassian implantaremos una serie de controles para gestionar la implementación de la seguridad de conformidad con nuestra política.
  • En Atlassian revisaremos periódicamente los riesgos y la eficacia de los controles diseñados para gestionar dichos riesgos.

Gestión de accesos

En esta política se establecen los principios y directrices generales para gestionar los accesos.

Entre los principios básicos se incluyen los siguientes:

En Atlassian mantendremos una política de control de accesos en la que se exponga cómo gestionamos el acceso a los sistemas:

  • Se emplearán cuentas y contraseñas de usuario para gestionar el acceso.
  • Todos los usuarios tienen la responsabilidad de gestionar el acceso a sus respectivos sistemas.
  • Los sistemas se someterán a un registro y monitorización en busca de posibles accesos indebidos.
  • El acceso remoto se gestionará mediante la autenticación en varias fases.

Gestión de activos

En esta política se establecen los principios y directrices generales para la gestión de los activos informáticos de Atlassian y la forma en que deben manejarse dichos activos.

Entre los principios básicos de gestión de activos en Atlassian se incluyen los siguientes:

  • En Atlassian mantendremos un inventario de los activos.
  • Los activos conservados en una base de datos de gestión de activos tendrán propietarios identificados.
  • Se identificará, documentará e implementará el uso aceptable de los activos.
  • Los activos se devolverán a Atlassian si se extingue la relación laboral.

Continuidad empresarial y recuperación ante desastres

En esta política se plasman los principios generales que establecen nuestro enfoque hacia la resiliencia, la disponibilidad y la continuidad de los procesos, sistemas y servicios en Atlassian. Asimismo, en ella se definen los requisitos relativos a los procesos de continuidad empresarial, de recuperación ante desastres y de gestión de crisis.

Entre los principios básicos se incluyen los siguientes:

  • Los propietarios de los servicios, procesos o sistemas críticos deben garantizar una continuidad empresarial y/o una recuperación ante desastres adecuadas que concuerden con la tolerancia a las interrupciones en caso de desastre.
  • Los planes de continuidad deben incluir un entorno apropiado de “último recurso”, que aporte (como mínimo) una funcionalidad básica, así como un plan en caso de que dicho entorno falle. También deben incluirse consideraciones para reanudar las actividades con normalidad.
  • Ningún sistema, proceso o función fundamental debe poder implementarse en la producción sin un plan de continuidad adecuado.
  • Hay que probar los planes trimestralmente, así como identificar y solucionar las incidencias.
  • El tiempo máximo de recuperación (RTO) comienza en el momento en que se detecta un evento y dura hasta que la funcionalidad básica vuelve a estar operativa. Los servicios se agrupan en niveles que definen el RTO y el RPO máximos.

Seguridad de las comunicaciones

En esta política se establecen los principios y directrices generales para gestionar la seguridad de nuestras comunicaciones y redes.

Entre los principios básicos se incluyen los siguientes:

  • El acceso a la red debe estar controlado.
  • Se proporciona acceso a la red y todos los usuarios deben estar familiarizados con la política global de comunicaciones y sistemas electrónicos.
  • Las redes deben separarse en función de su criticidad.

Criptografía y cifrado

En esta política se establecen los principios generales para asegurar que Atlassian implemente el cifrado y la criptografía adecuados y, de este modo, garantizar la confidencialidad de los datos críticos. En Atlassian implementamos mecanismos criptográficos para mitigar los riesgos que implica el almacenamiento de información confidencial y su transmisión a través de redes, incluidas las de acceso público (como, por ejemplo, por Internet).

En Atlassian nos aseguraremos de lo siguiente:

  • De que los datos confidenciales se cifren adecuadamente.
  • De que la seguridad del cifrado seleccionado se corresponda con la clasificación de la información.
  • De que las claves criptográficas se gestionen de forma segura.
  • De que solo se utilicen algoritmos criptográficos aprobados.

Seguridad de datos y gestión del ciclo de vida de la información

En la política de clasificación de la seguridad de los datos se establecen los requisitos generales sobre cómo gestionar los datos de los clientes. A continuación, se ofrecen ejemplos de cómo gestionar los distintos tipos de datos. Aunque uno de nuestros valores corporativos es Empresa abierta, sin tonterías, todos los empleados deben sopesar de todos modos cómo gestionar tanto los datos internos como los de los clientes.

Todos los empleados comparten la responsabilidad de garantizar que nuestra información reciba un nivel adecuado de protección cumpliendo esta política de clasificación de la información:

  • La información debe clasificarse en términos de requisitos legales, valor y criticidad para Atlassian.
  • La información debe etiquetarse para garantizar que se gestione como es debido.
  • Hay que tratar todos los medios extraíbles según las mismas directrices de manipulación que se indican a continuación.
  • Hay que borrar de forma segura los medios que se vayan a desechar.
  • Los medios que contengan información de la empresa deben protegerse para que nadie acceda a ellos sin autorización, para que nadie los use indebidamente y para que no se dañen durante el transporte.

Dispositivos móviles y Bring Your Own Device (BYOD)

En esta política se establecen los principios y directrices generales para usar dispositivos personales con redes y entornos de Atlassian.

En Atlassian nos aseguraremos de lo siguiente:

  • De que esta política de Bring Your Own Device (BYOD, uso de dispositivos personales para trabajar) trate de ser tan discreta y flexible como sea posible con respecto al uso de BYOD para mantener la autonomía de los Atlassians y que, al mismo tiempo, asegure que tengamos la capacidad de proteger los datos de nuestros clientes y de la empresa.
  • De que el objetivo principal consista en comprobar la configuración y la posición, así como en monitorizar la conformidad de los dispositivos, aplicando los principios menos restrictivos que permitan lograr razonablemente los objetivos de seguridad exigidos, en vez de aplicar restricciones. En los casos en los que haya que aplicar restricciones, esto se hará de forma selectiva en función de los datos a los que se pueda acceder.
  • De que esta política satisfaga nuestras necesidades actuales y las previstas en el futuro. Es posible que algunas de las capacidades descritas no se implementen inmediatamente.

Operaciones

En esta política se establecen los principios y directrices generales para las prácticas operativas tecnológicas en Atlassian.

Entre los principios básicos se incluyen los siguientes:

  • Hay que documentar los procedimientos de Atlassian relativos a las actividades operativas.
  • Hay que efectuar copias de seguridad con regularidad y probarlas.
  • Todos los cambios deben tramitarlos y evaluarlos varias personas.
  • Hay que evaluar y planificar la capacidad.
  • Hay que limitar instalación de software y restringir el software innecesario.
  • Hay que configurar los registros y reenviarlos a la plataforma de registro centralizada.
  • Hay que gestionar cualquier incidente operativo conforme a nuestro proceso estándar de incidentes.

Seguridad del personal

En esta política se establecen nuestras consideraciones de seguridad para proteger a las personas.

En Atlassian nos aseguraremos de lo siguiente:

  • De que las responsabilidades en materia de seguridad queden delimitadas en las definiciones de los puestos de trabajo.
  • De que todos los empleados y usuarios asistan periódicamente a cursos de concienciación con la seguridad.
  • De que todos los empleados y contratistas tengan el deber de informar sobre incidentes de seguridad o debilidades.
  • De que, una vez rescindida la relación laboral con un empleado, el acceso a los activos y su devolución se produzca en un plazo razonable.

Seguridad física y ambiental

En esta política se establecen los principios y directrices generales para proteger nuestros edificios, nuestras oficinas y nuestros equipos.

Entre los principios básicos de seguridad física y ambiental se incluyen los siguientes:

  • En Atlassian acondicionaremos lugares de trabajo seguros.
  • Protegeremos nuestros equipos informáticos dondequiera que estén.
  • Restringiremos el acceso a nuestros edificios y oficinas para que solo pueda entrar el personal apropiado.

Privacidad

En esta política se establecen los principios generales para gestionar la privacidad de los datos relativos a los clientes.

Entre los principios básicos de privacidad de los datos se incluyen los siguientes:

  • Hay que gestionar los controles relativos a la recopilación de datos de los clientes.
  • Los datos de los clientes se deben poder revisar únicamente para dar soporte.
  • Las únicas circunstancias en las que se pueden clonar los datos de los clientes son para crear copias de seguridad o para dar soporte.

Gestión de incidentes de seguridad

En esta política se establecen los principios y directrices generales para garantizar que en Atlassian se reaccione adecuadamente ante cualquier incidente de seguridad real o presunto. En Atlassian tenemos la responsabilidad de monitorizar los incidentes que se produzcan dentro de la organización y que puedan infringir la confidencialidad, la integridad o la disponibilidad de la información o de los sistemas de información. Hay que notificar y evaluar todos los presuntos incidentes.

Obligaciones del equipo de seguridad de Atlassian:

  • Prever los incidentes de seguridad y preparar planes de reacción a los mismos.
  • Contener los incidentes, erradicarlos y recuperarse de ellos.
  • Invertir en nuestro personal, nuestros procesos y nuestras tecnologías para asegurarnos de que tenemos la capacidad de detectar y analizar un incidente en cuanto este se produzca.
  • A la hora de reaccionar ante un incidente, la máxima prioridad será proteger los datos de los clientes.
  • Aprender de la función de gestión de incidentes de seguridad y mejorarla.

Gestión de datos de proveedores y terceros

En esta política se establecen los principios y directrices generales para seleccionar los datos de Atlassian a los que pueden acceder los proveedores, activar el acceso a tales datos y supervisarlo.

En Atlassian nos aseguraremos de lo siguiente:

  • De gestionar con resolución nuestro proceso de selección de proveedores.
  • De que el propietario de la empresa que solicite la relación de proveedor se responsabilice de utilizar los contratos estándares de Atlassian.
  • De supervisar dicha relación para asegurarnos de que cumpla con nuestros estándares en Atlassian.
  • De reservarnos el derecho a rescindir el contrato con cualquier proveedor cuando el servicio deje de ser necesario.

Adquisición, desarrollo y mantenimiento de sistemas

En esta política se establecen los principios y directrices generales para desarrollar aplicaciones, tanto las internas como las dirigidas a los clientes, así como para crear limitaciones sobre cómo gestionar el entorno de preproducción y para incorporar software de código abierto en cualquiera de nuestros productos.

Entre los principios básicos se incluyen los siguientes:

  • Se incluirán e incorporarán requisitos de seguridad en cualquier proceso de desarrollo o adquisición de entornos o aplicaciones.
  • El desarrollo de productos seguirá nuestro proceso interno de control de calidad, el cual incluye la integración de comprobaciones de seguridad.
  • Los datos de producción se anonimizarán o enmascararán cuando se utilicen en entornos de preproducción.
  • La integración de cualquier marco o biblioteca de código abierto se hará conforme a nuestras directrices internas.

Gestión de amenazas y vulnerabilidades

En esta política se establecen los principios y directrices generales para gestionar las amenazas y vulnerabilidades de seguridad, tanto en nuestro entorno como en nuestros productos.

En Atlassian nos aseguraremos de lo siguiente:

  • De gestionar las vulnerabilidades de seguridad de nuestros productos y servicios, lo que incluye la publicación de actualizaciones, parches o recomendaciones.
  • De gestionar las amenazas y vulnerabilidades de seguridad en todo nuestro entorno, tanto en los entornos internos como en los alojados.
  • De gestionar la amenaza de malware en el entorno.

Gestión de auditorías y del cumplimiento normativo

En esta política se establecen los principios y directrices generales para gestionar el programa de auditoría y conformidad y, de este modo, validar la implementación del marco de controles de Atlassian.

En Atlassian nos aseguraremos de lo siguiente:

  • De implementar controles de las operaciones, de seguridad y de privacidad centrados en la tecnología para garantizar que cumplan las políticas internas, las normativas y los estándares externos del sector.
  • De que las auditorías se coordinen y se lleven a cabo según convenga para alcanzar un elevado nivel de confianza en nuestro entorno de control, así como para lograr certificaciones internas o externas.
  • De aspirar a que se valide externamente la implementación de nuestros controles operativos, de seguridad y de privacidad, entre otros.
  • De mantener una visión unificada de todos los objetivos, actividades y pruebas de nuestros controles pertinentes (ACF, el marco de controles de Atlassian).