Close

Nuestro Atlassian Trust Management System (ATMS)


Introducción al Atlassian Trust Management System (ATMS)

En Atlassian, estamos muy orgullosos de nuestros valores. Estos valores rigen todo lo que hacemos. Uno en particular que destaca es el de Empresa abierta, sin tonterías. Lo que este valor concreto representa es exactamente lo que se describe en nuestra página de Valores.

Entendemos que expresarse requiere, a partes iguales, pensar (qué decimos), reflexionar (cuándo lo decimos) y ser sensibles (cómo lo decimos).

A menudo, escuchamos a nuestros clientes decir que les gustaría saber más acerca de cómo dirigimos nuestra empresa y nuestras operaciones. Nos gustaría emplear un tiempo en describir cómo dirigimos nuestro Trust Management Program o, como lo denomina el estándar de gestión de seguridad ISO27001, nuestro Atlassian Trust Management System (ATMS).

En Atlassian estamos orgullosos de ser un poco diferentes, ya sea por el exclusivo enfoque de ventas, los valores de nuestra compañía o la forma de abordar la filantropía. Hemos ampliado este enfoque a nuestro Trust Management System.

 

¿Cuál es la importancia del programa de gestión estructurada? 

Los sistemas de gestión son importantes, independientemente de que se evalúen sistemas de gestión de calidad, sistemas de gestión de defectos, el método kaizen de mejora continua o una metodología estructurada para evaluar la madurez de la capacidad. Estos programas de gestión se han probado in situ, publicado, revisado por compañeros y mejorado. El Atlassian Trust Management System se basa en el estándar ISO27001: sistema de gestión de seguridad de la información. La base del estándar ISO27001 es:

este estándar internacional pueden utilizarlo agentes internos y externos para evaluar la capacidad de la organización de cumplir sus propios requisitos de seguridad de la información.

 

Importancia de los estándares internacionales como orientación (sin ser una obligación)

Como sucede con los clientes de cualquier tipo de organización, especialmente si esta es responsable de alojar y gestionar sus datos, nuestros clientes se hacen muchas preguntas acerca de si Atlassian, como proveedor de servicios en la nube, se preocupa por la protección y confidencialidad de su información. Cualquier cliente que esté pensando en utilizar servicios en la nube se enfrenta a decisiones similares a la hora de alojar servicios o aplicaciones clave

Si bien cada cliente tiene sus propios requisitos de seguridad, el Atlassian Trust Management System los tiene en cuenta y así obtiene un conjunto de requisitos exclusivos para nuestra empresa y nuestro entorno. El enfoque de ISO27001 respecto a la planificación, el funcionamiento, la evaluación del rendimiento y la mejora permite examinar el programa de manera continuada y optimizarlo con el tiempo para poder afrontar las nuevas amenazas y requisitos, o para mejorar el rendimiento general de la operación.

Evaluamos los estándares internacionales como un conjunto de orientaciones bien estructuradas, pero tenemos en cuenta cada uno de los controles y si estos son adecuados para nuestro entorno en particular. Tenemos un enfoque parecido a la hora de aplicar, de forma global, estos estándares internacionales en nuestro entorno.

 

Programa de gestión de políticas

La base del Trust Management System es nuestro Programa de gestión de políticas (PMP). Hemos estructurado nuestras políticas para cubrir los dominios incluidos en el estándar ISO27001 y en la Cloud Controls Matrix (CCM) de Cloud Security Alliance (CSA). Hemos desarrollado un par de principios básicos para nuestro Programa de gestión de políticas:

  • Publicado y disponible: sin juegos, dejamos claro el nivel que queremos que cumplan nuestros equipos
  • El equipo de seguridad te ayudará a cumplir las normas:: estamos aquí para ayudar a nuestros equipos: ayúdanos
  • Describir nuestros objetivos de seguridad: nos gusta tener objetivos y ser claros al respecto
  • Mostrar compromiso con las obligaciones normativas: no queremos ir a la cárcel
  • Centrarse en la mejora y la iteración continuas: seguimos evaluando riesgos en nuestro entorno y nuestro programa, y los reflejamos en nuestras políticas
  • Posibilitar un proceso de excepción: para cuando nuestros equipos no puedan, de ninguna de las maneras, cumplir las políticas durante un corto periodo de tiempo
  • Revisión anual: incluida la actualización de nuestras políticas conforme observemos nuevas amenazas y riesgos

 

Programa de gestión de riesgos

Para evaluar, de forma continua, los riesgos en nuestros entornos y nuestros productos, realizamos evaluaciones continuas de los riesgos. En muchos casos, especialmente en el caso de nuestros productos, se realizan como evaluaciones de riesgos técnicos o revisiones de códigos. No obstante, también evaluamos cada elemento del catálogo completo o una parte de nuestra organización para detectar riesgos empresariales de mayor nivel. En general, hemos adoptado la metodología de gestión de riesgos ISO27005 o ISO31010 y la aplicamos a un ámbito en particular. Nuestro enfoque de la gestión de riesgos incluye:

  • Realizar actividades de evaluación de riesgos, como la ejecución de evaluaciones de riesgos y la facilitación de las decisiones de tratamiento de riesgos. Esto incluye identificar el alcance y los recursos abarcados, identificar los riesgos, evaluar su impacto y probabilidad, revisar e informar al respecto.
  • Supervisar e informar sobre los proyectos destinados a gestionar los riesgos de seguridad: seguir supervisando e informando de los programas o proyectos diseñados para gestionar los riesgos de seguridad.
  • Respaldar el SMP: a través de la evaluación continua de riesgos como mecanismo para mejorar el entorno y garantizar que los controles de seguridad implementados gestionan, con eficacia, los riesgos de seguridad identificados.

 

Atlassian Trust Management Forum

Finalmente, mantenemos un Trust Management Forum estructurado que incluye representantes de cada uno de los pilares de nuestro programa Trust para garantizar que se aplican no solo los controles de seguridad, sino también los controles de fiabilidad, privacidad y cumplimiento, así como para garantizar la correcta gestión de los riesgos en cada uno de estos pilares. Hemos creado reuniones independientes en el foro para asegurar que se tratan temas específicos y que se cuenta con la información adecuada.

La finalidad del ISMF es:

  • aceptar las prioridades y acciones requeridas para proteger Atlassian y a nuestros clientes de las amenazas de seguridad
  • Apoyar e impulsar actividades en cada división del negocio para gestionar deficiencias o vulnerabilidades que podrían permitir un ataque
  • Proporcionar instrucciones y soporte a los grupos de trabajo
  • Apoyar una cultura de concienciación de la seguridad en toda la organización

Mantenemos las siguientes reuniones en el foro:

  • ATMF: Revisión de gestión (Anualmente)
  • ATMF: Revisión de recursos (Anualmente)
  • ATMF: Revisión de riesgos (Trimestralmente)
  • ATMF: Revisión de seguridad y salud (Mensualmente)
  • ATMF: Revisión de cumplimiento (Mensualmente)
  • ATMF: Revisiones de gestión (Semanalmente)

La estructura y la frecuencia de estas reuniones aseguran que revisemos constantemente nuestro perfil de amenazas, así como nuestra respuesta a las mismas.

Hay tantos enfoques para gestionar una organización de seguridad como organizaciones. En Atlassian creemos que hemos configurado un programa flexible y ágil, pero también suficientemente estructurado como para garantizar la evaluación y tratamiento de las nuevas amenazas y riesgos, tanto para nosotros como para nuestros clientes.