Close

Nuestro Atlassian Trust Management System (ATMS)


Introducción a nuestro Atlassian Trust Management System (ATMS)

En Atlassian, estamos muy orgullosos de nuestros valores. Estos valores rigen todo lo que hacemos. Uno en particular que destaca es el de Empresa abierta, sin tonterías. Lo que este valor concreto representa es exactamente lo que se describe en nuestra página de Valores.

Entendemos que expresarse requiere, a partes iguales, pensar (qué decimos), reflexionar (cuándo lo decimos) y ser sensibles (cómo lo decimos).

A menudo, escuchamos a nuestros clientes decir que les gustaría saber más acerca de cómo dirigimos nuestra empresa y nuestras operaciones. Nos gustaría emplear un tiempo en describir cómo dirigimos nuestro Trust Management Program o, como lo denomina el estándar de gestión de seguridad ISO27001, nuestro Atlassian Trust Management System (ATMS).

En Atlassian estamos orgullosos de ser un poco diferentes, ya sea por el exclusivo enfoque de ventas, los valores de nuestra compañía o la forma de abordar la filantropía. Hemos ampliado este enfoque a nuestro Trust Management System.

¿Cuál es la importancia del programa de gestión estructurada?

Los sistemas de gestión son importantes, independientemente de que se evalúen sistemas de gestión de calidad, sistemas de gestión de defectos, el método kaizen de mejora continua o una metodología estructurada para evaluar la madurez de la capacidad. Estos programas de gestión se han probado in situ, publicado, revisado por compañeros y mejorado. El Atlassian Trust Management Program se basa en el estándar ISO27001: sistema de gestión de seguridad de la información. La base del estándar ISO27001 es:

este estándar internacional pueden utilizarlo agentes internos y externos para evaluar la capacidad de la organización de cumplir sus propios requisitos de seguridad de la información.

Utilidad de los estándares internacionales como guía (aunque no necesariamente como obligación)

Como sucede con los clientes de cualquier tipo de organización, especialmente si esta es responsable de alojar y gestionar sus datos, nuestros clientes se hacen muchas preguntas acerca de si Atlassian, como proveedor de servicios en la nube, se preocupa por la protección y confidencialidad de su información. Cualquier cliente que esté pensando en utilizar servicios en la nube se enfrenta a decisiones similares a la hora de alojar servicios o aplicaciones clave

Si bien cada cliente tiene sus propios requisitos de seguridad, el Atlassian Trust Management System los tiene en cuenta y, así, obtiene un conjunto de requisitos exclusivos para nuestra empresa y nuestro entorno. El enfoque de ISO27001 respecto a la planificación, el funcionamiento, la evaluación del rendimiento y la mejora permite examinar el programa de manera continuada y optimizarlo con el tiempo para poder afrontar las nuevas amenazas y requisitos, o para mejorar el rendimiento general de la operación.

Evaluamos los estándares internacionales como un conjunto de orientaciones bien estructuradas, pero tenemos en cuenta cada uno de los controles y si estos son adecuados para nuestro entorno en particular. Tenemos un enfoque parecido a la hora de aplicar, de forma global, estos estándares internacionales en nuestro entorno.

Programa de gestión de políticas

The basis of the Trust Management System is our Policy Management Program (PMP). We have structured our policies to cover the domains included in both the ISO27001 standard as well as the Cloud Security Alliance (CSA) Cloud Controls Matrix (CCM). We have developed a couple of foundational principles to our Policy Management Program:

  • Be posted and available - we aren't playing gotcha - we make it clear the bar our teams are expected to meet
  • Be supported by the security team to make it easy for you to comply - we are here to help our teams, help us
  • Outline our security objectives - we like to have goals and be clear about them
  • Show commitment to meet our regulatory obligations - we don't want to go to jail
  • Be focused on continual iteration and improvement - we continue to evaluate risks in our environment and in our program, and reflect those in our policies
  • Provide for an Exception Process - for when our teams absolutely, not even a chance, there is no way, can they meet the policies for a short window
  • Review annually - including updating our policies as we observe new threats and risks

Read on overview and excerpts of our Technology Policies.

Programa de gestión de riesgos

Realizamos evaluaciones continuas de los riesgos en nuestros entornos y productos. En muchos casos, especialmente en el caso de nuestros productos, se realizan como evaluaciones de riesgos técnicos o revisiones de códigos. No obstante, también evaluamos cada elemento del catálogo completo o una parte de nuestra organización para detectar riesgos empresariales de mayor nivel. En general, hemos adoptado la metodología de gestión de riesgos ISO27005 o ISO31010 y la aplicamos a un ámbito en particular. Nuestro enfoque de la gestión de riesgos incluye:

  • Realizar actividades de evaluación de riesgo , como la ejecución de evaluaciones de riesgos y la facilitación de las decisiones de tratamiento de riesgos. Esto incluye identificar el alcance y los recursos abarcados, identificar los riesgos, evaluar su impacto y probabilidad, y revisar e informar al respecto.
  • Supervisar e informar sobre los proyectos destinados a gestionar los riesgos de seguridad: seguir supervisando e informando de los programas o proyectos diseñados para gestionar los riesgos de seguridad.
  • Respaldar el SMP: a través de la evaluación continua de riesgos como mecanismo para mejorar el entorno y garantizar que los controles de seguridad implementados gestionan, con eficacia, los riesgos de seguridad identificados.

Consulta nuestro Programa de gestión de riesgos empresariales para obtener más información.

Atlassian Trust Management Forum (ATMF)

Finally, we maintain a structured Trust Management Forum that includes representatives from each of the pillars of our Trust program to ensure we apply not only security controls but also reliability, privacy and compliance controls and how to manage risks across each of these pillars. We have created  separate forum meetings to ensure coverage of particular topics as well as appropriate input.

The ATMF’s purpose is to:

  • Agree on priorities and actions required to protect Atlassian and our customers from security threats
  • Champion and drive activities within each business division to address deficiencies or vulnerabilities that may allow an attack to occur
  • Provide direction and support to working groups on critical security risks and compliance programs
  • Champion a security awareness culture throughout the organisation

We maintain the following forum meetings:

  • ATMF: Management Review (Annually - in line with annual budgeting)
  • ATMF: Resource Review (Annually - in line with annual budgeting)
  • ATMF: Risk Review (Quarterly)
  • ATMF: Security Health Review (Monthly)
  • ATMF: Compliance Health Review (Monthly)
  • ATMF: Management Reviews (Weekly - each function team has a Management Review)

The structure and frequency of these meetings ensure we are continuously reviewing our threat profile, as well as our response to those threats.

There are as many different approaches to manage a security organization as there are organizations out there. We, at Atlassian, believe we have set up a program to be flexible, responsive, but also with enough structure to ensure we are evaluating and addressing new threats and risks to both us, as well as our customers.