Nuestras responsabilidades sobre incidentes de seguridad de Atlassian
Introducción
Al igual que cualquier proveedor de servicios en la nube, hacemos todo lo posible para asegurarnos de que nuestros clientes no experimenten una interrupción del servicio o un incidente de seguridad. Sin embargo, entendemos que es probable que este ocurra. Es importante para nosotros que los clientes entiendan cómo encajan en nuestro proceso de respuesta ante incidentes de seguridad y qué responsabilidades tienen en el transcurso de un incidente. Nos preparamos para lo peor, de modo que, si algo ocurre, estamos preparados y no #@!% a nuestro cliente.
Hacemos todo lo posible por gestionar la totalidad de cualquier incidente de seguridad que afecte a nuestros servicios e infraestructura. Haremos todo lo posible, desde la detección de la infracción hasta la contención e incluso su divulgación. Sin embargo, no podemos ver todo; a veces necesitamos que nuestros clientes nos informen de un incidente o la ayuda de una consultoría externa para poder ofrecer habilidades de investigación o periciales especializadas.
Funciones
Hemos revisado y utilizado una serie de modelos de gestión de incidentes de seguridad para asegurarnos de que nuestros procesos de respuesta ante incidentes no solo sean exhaustivos, sino de primer nivel. Hemos sacado las actividades más significativas de esos modelos y hemos descrito la responsabilidad de cada una.
| Parte | Función | Descripción |
---|---|---|---|
| Parte Atlassian | Función Coordinador de respuestas ante incidentes de seguridad | Descripción Cada incidente de seguridad tiene un coordinador principal de incidentes de nuestro equipo de seguridad de Atlassian para tomar decisiones de seguridad, supervisar el proceso y asignar tareas. |
| Parte Atlassian | Función Analista de incidentes de seguridad | Descripción Los analistas de seguridad realizan la mayoría de las investigaciones y análisis de incidentes. En incidentes menores, esto es a menudo asumido por el coordinador de respuestas ante incidentes de seguridad. |
| Parte Atlassian | Función Responsable de comunicaciones con los clientes | Descripción A cada incidente se le asigna un responsable de comunicaciones con los clientes para tomar decisiones sobre la forma en que se debe involucrar a los clientes. Normalmente, esta persona también se encarga de gran parte de la comunicación con el cliente. |
| Parte Atlassian | Función Equipo rojo | Descripción El equipo rojo de Atlassian imita a los adversarios cibernéticos del mundo real y ejecuta escenarios de prueba definidos diseñados para evaluar e identificar mejoras en nuestras propias capacidades de detección y respuesta. |
| Parte Atlassian | Función Asesor de soporte | Descripción Los equipos de gestión de incidentes de seguridad de Atlassian buscan el asesoramiento de diversos expertos internos en la materia (por ejemplo, legal, privacidad, riesgo, recursos humanos, etc.). Estos asesores proporcionan orientación especializada sobre cuestiones que afectan a sus áreas de especialización. |
| Parte Consultoría de seguridad | Función Consultor | Descripción Atlassian contrata los servicios de una consultoría especializada en ciberseguridad en caso de un incidente. En general, la consultoría se utiliza para proporcionar recursos adicionales en caso de limitación, conocimientos especializados si no se dispone de ellos internamente, y asesoramiento y revisión independientes de los incidentes. |
| Parte Cliente | Función Informador | Descripción Se anima a los clientes a que informen de cualquier acceso no autorizado o comportamiento malicioso hacia los activos de Atlassian. |
| Parte Cliente | Función Contacto de seguridad | Descripción Si se confirma un incidente que afecta a un cliente, se informará al contacto de seguridad del cliente. El contacto de seguridad suele ser el contacto técnico de la cuenta, pero puede cambiar si el cliente tiene un equipo de seguridad específico. El contacto de seguridad asegura que el cliente gestione el incidente adecuadamente fuera del alcance de los activos de Atlassian. |
Responsabilidades
Definimos nuestras responsabilidades de gestión de incidentes de seguridad usando el modelo RACI. Aunque hacemos todo lo posible por cumplir con las responsabilidades definidas, los clientes son los últimos responsables de la seguridad de sus datos según el entonces llamado acuerdo de cliente de Atlassian.
- Responsable: La parte hará el trabajo para lograr la tarea.
- Encargado: La parte que, en última instancia, responde por la correcta y completa realización de la actividad.
- Consultado: La parte a la que se le pide su opinión y con la que hay una comunicación bidireccional.
- Informado: La parte que se mantiene al día de los progresos y con la que solo hay una comunicación unidireccional.
| Actividad | Atlassian | Cliente |
---|---|---|---|
| Actividad Detección | Atlassian Responsable | Cliente
|
| Actividad Clasificación | Atlassian Responsable | Cliente
|
| Actividad Investigación | Atlassian Responsable | Cliente
|
| Actividad Contención | Atlassian Responsable | Cliente
|
| Actividad Erradicación | Atlassian Responsable | Cliente Informado |
| Actividad Recuperación | Atlassian Responsable | Cliente Informado |
| Actividad Notificación (al cliente) | Atlassian Responsable | Cliente Informado |
| Actividad Notificación (a Atlassian) | Atlassian Informado | Cliente Responsable |
| Actividad Mejora | Atlassian Responsable | Cliente
|
| Actividad Prueba | Atlassian Responsable | Cliente
|
| Actividad Presentación de informes externos (cumplimiento y aplicación de la ley) | Atlassian Encargado Responsable | Cliente Informado |
| Actividad Publicación de datos agregados | Atlassian Responsable | Cliente Informado |