Close

Nuestro enfoque sobre la gestión de incidentes de seguridad


Nuestro enfoque sobre la gestión de incidentes de seguridad

En Atlassian, contamos con un amplio conjunto de medidas de seguridad para garantizar la protección de la información de los clientes y ofrecer los servicios más fiables y seguros a nuestra disposición. Sin embargo, también reconocemos que los incidentes de seguridad pueden ocurrir (y ocurren), por lo que es igual de importante contar con métodos eficaces para manejarlos en caso de que surjan.

Como resultado, tenemos un enfoque claramente definido para responder a los incidentes de seguridad que afectan a nuestros servicios o infraestructura. Nuestro enfoque de respuesta ante incidentes incluye un registro y supervisión completos de nuestros productos e infraestructura para garantizar que detectamos de forma rápida los posibles incidentes, con la ayuda de procesos cuidadosamente definidos que aseguran que haya claridad en lo que tenemos que hacer en todas las etapas de un incidente. Esto recibe el soporte de un equipo de gestores de incidentes de guardia altamente cualificados y con una experiencia significativa en la coordinación de una respuesta eficaz. También tenemos acceso a una serie de expertos externos que nos ayudan a investigar y responder de la manera más eficaz posible. Hemos estructurado nuestro enfoque de gestión de incidentes siguiendo la guía NIST 800-61 Computer Security Incident Handling Guide y hemos catalogado nuestros incidentes conforme al marco de trabajo VERIS de Verizon.

Más información sobre nuestra filosofía y enfoque

Consideramos que un incidente de seguridad es cualquier instancia en la que existe o es inminente un impacto negativo sobre la confidencialidad, la integridad o la disponibilidad de los datos de nuestros clientes, los de Atlassian o los de sus servicios.

Anteriormente, hemos calificado el impacto con la palabra "intencional", sin embargo, se ha eliminado para incluir las filtraciones accidentales de datos, etc.

La base de la forma en la que respondemos a los incidentes de seguridad es asegurarnos de que mantenemos nuestros valores y, en particular, asegurarnos de que no #@!% al cliente. Nos centramos en poner en marcha los mejores procesos para gestionar los incidentes de seguridad, de modo que siempre estén en consonancia con los mejores intereses de nuestros clientes, y garantizar que sigan teniendo una experiencia excepcional al utilizar nuestros productos. Para ello, hemos desarrollado un proceso de respuesta ante incidentes sólido y que incorpora varias funciones que analizamos a continuación.

Varias vías para detectar posibles incidentes rápidamente

Disponemos de varios mecanismos de supervisión para detectar fallos o anomalías en nuestros productos e infraestructura que pueden ser un indicador de un posible incidente de seguridad. Estos sistemas nos alertan inmediatamente si se detecta una actividad que requiera una investigación más exhaustiva. Disponemos de una plataforma de análisis y captura de registros acumulados que reúne registros en un solo lugar, de modo que nuestros analistas pueden investigar rápidamente y a fondo, y nuestros ingenieros de fiabilidad del sitio supervisan la plataforma para asegurarse de que siempre esté disponible. También creamos alertas en nuestra aplicación de información y eventos de seguridad que notifican a nuestros equipos de forma proactiva.

También mantenemos canales de información externos a través de los cuales podemos enterarnos de vulnerabilidades o incidentes, incluidos nuestro programa de recompensas por errores, nuestro portal de soporte al cliente y buzones de correo electrónico de seguridad y números de teléfono definidos.

Un marco de trabajo establecido para la gestión de los incidentes de seguridad

Para garantizar que nuestro proceso de respuesta ante incidentes sea uniforme, repetible y eficiente, disponemos de un marco de trabajo interno claramente definido que abarca las medidas que debemos adoptar en cada fase del proceso de respuesta. Hemos documentado manuales que se actualizan continuamente y que definen en detalle los pasos que debemos dar para responder de forma eficaz a los diferentes tipos de incidentes. A un alto nivel, nuestro marco de trabajo de respuesta trata lo siguiente:

Detección y análisis de incidentes: Desde las medidas que adoptamos tras las notificaciones iniciales que recibimos sobre un posible incidente, incluida la forma en que confirmamos si este se ha producido (con el fin de reducir al mínimo los falsos positivos), hasta la comprensión de los vectores de ataque, el alcance de la vulneración y el impacto para Atlassian y sus clientes.

Categorización de la gravedad del incidente: Una vez que entendemos lo que ha sucedido mediante un análisis apropiado, usamos esta información para determinar la gravedad del incidente y señalamos uno de los cuatro niveles de gravedad:

Descripción de la gravedad del incidente
Gravedad Descripción
0 Incidente de crisis con máximo impacto
1 Incidente crítico de muy alto impacto
2 Incidente importante con un impacto significativo
3 Incidente menor de bajo impacto

 

Utilizamos una variedad de indicadores para determinar la gravedad de un incidente: estos varían según el producto de que se trate, pero incluirán la consideración de si existe una interrupción total del servicio (y el número de clientes afectados), si la funcionalidad básica está rota y si ha habido alguna pérdida de datos.

Contención, erradicación y recuperación: Teniendo en cuenta la gravedad del incidente, determinamos y aplicamos las medidas necesarias para contenerlo, erradicar las causas subyacentes e iniciar nuestros procesos de recuperación para asegurarnos de que volvemos a la normalidad lo antes posible. Por supuesto, las medidas que tomemos en esta fase variarán significativamente dependiendo de la naturaleza del incidente. Siempre que beneficie a nuestros clientes (o según lo requieran nuestras obligaciones legales o contractuales), Atlassian también se pondrá en contacto con sus clientes acerca del incidente y las posibles repercusiones para ellos durante esta fase del proceso de respuesta al incidente.

Notificación: Nuestro objetivo es informar a cualquier cliente en un plazo de 72 horas o sin demoras indebidas en caso de que sus datos están implicados en un incidente o una filtración. Al principio, podría ser un simple detalle, pero proporcionaremos toda la información en cuanto esté disponible.

Un sólido proceso de revisión posincidente: Después de que se resuelve cada incidente, examinamos las lecciones que podemos aprender de lo ocurrido y que pueden servir de base para el desarrollo de soluciones técnicas, la mejora de los procesos y la introducción de nuevas prácticas recomendadas, de modo que podamos seguir proporcionando la mejor experiencia a nuestros clientes y hacer que el trabajo de los agentes maliciosos sea aún más difícil la próxima vez.

Funciones y responsabilidades claramente definidas

Cada incidente que experimentamos es gestionado por uno de nuestros altamente calificados y experimentados gestores de incidentes graves (o MIM, por sus siglas en inglés). Los MIM suelen tomar decisiones relacionadas con la seguridad, supervisan el proceso de respuesta y asignan tareas internamente para facilitar nuestro proceso de respuesta. Los MIM cuentan, además, con el apoyo de analistas que dirigen la investigación y el análisis de los incidentes, así como de otros cargos para ayudar en el proceso de respuesta. En muchos casos, si un incidente tiene repercusiones en más de un lugar, se asignan dos MIM al incidente para garantizar que siempre haya alguien responsable de mantener el proceso de respuesta en marcha y de que las actividades de contención o recuperación no se retrasen o se vean afectadas de otro modo por las diferencias horarias.

En el caso de incidentes a muy gran escala, puede haber situaciones en las que se llame a un MIM de un equipo diferente (normalmente de ingeniería de fiabilidad del sitio) para ayudar a gestionar el proceso de respuesta. Puedes leer más detalles sobre las funciones y responsabilidades que asignamos en materia de incidentes de seguridad.

Acceso a expertos externos cuando sea necesario

A veces, podemos solicitar la asistencia de un experto externo para que nos ayude a investigar un incidente. Contratamos los servicios de consultores especializados en ciberseguridad y de expertos forenses para los casos en los que podemos necesitar un análisis exhaustivo o percepciones periciales para el descubrimiento electrónico a favor de un litigio.

Cómo utilizamos nuestras propias herramientas para gestionar los incidentes de seguridad

Utilizamos versiones especialmente configuradas de muchos de nuestros propios productos para ayudar a asegurarnos de que somos capaces de ser tan metódicos, coherentes y dinámicos con la gestión de incidentes como sea posible. Estas incluyen las siguientes:

Confluence – Usamos Confluence para crear, documentar y actualizar de manera colaborativa nuestros procesos de respuesta ante incidentes en un espacio centralizado, asegurándonos de que esos procesos se difundan a todo el personal y que puedan actualizarse rápidamente en respuesta a las lecciones aprendidas mediante incidentes pasados. También utilizamos Confluence para documentar nuestras jugadas y búsquedas.

Jira – Usamos Jira para crear tickets con el fin de gestionar tanto la investigación inicial de los posibles incidentes, como para facilitar y hacer un seguimiento de nuestro proceso de respuesta, siempre que nuestras investigaciones iniciales confirmen que se ha producido un incidente. Estos tickets nos ayudan a añadir información relativa a un incidente, desarrollar resoluciones y realizar otras tareas logísticas (como delegar tareas como parte del proceso de respuesta y contactar con otros equipos dentro de la empresa cuando sea necesario). También usamos Jira para hacer un seguimiento de las búsquedas que ejecutamos, y el éxito o fracaso de cada una de ellas. 

Bitbucket – Usamos Bitbucket como herramienta de control de código fuente cuando desarrollamos soluciones basadas en código para problemas de casos extremos únicos que surgen con determinados tipos de incidentes. Las soluciones que desarrollamos pueden entonces usarse internamente de forma colaborativa y probada, sin que dejen de ser privadas y facilitando las iteraciones rápidas según sea necesario. También utilizamos Bitbucket en combinación con un plan de integración y entrega continuas, desplegamos código para ayudar a mitigar la causa de un incidente o ayudar en la detección o prevención de incidentes futuros.

En última instancia, el uso de estas herramientas nos ayuda a establecer un marco de trabajo de respuesta que garantiza que los incidentes, independientemente del tipo que sean, comiencen a tener un cierto nivel de estructura y familiaridad para que podamos movernos lo más rápidamente posible para encontrar una solución.

El resumen

Atlassian emplea un enfoque sólido y completo para gestionar los incidentes de seguridad, centrado en el uso de las mismas herramientas que ponemos a disposición de nuestros clientes. Esto nos permite responder a los incidentes con un alto grado de uniformidad, previsibilidad y eficacia, y minimizar los posibles daños a nuestros clientes, socios y al propio Atlassian.

¿Quieres profundizar?

Hemos publicado una serie de recursos adicionales a los que puedes acceder para conocer nuestro enfoque sobre la gestión de incidentes de seguridad y nuestro enfoque general de seguridad.