Nuestro Atlassian Trust Management System (ATMS)


Introducción a nuestro Atlassian Trust Management System (ATMS)

En Atlassian, estamos muy orgullosos de nuestros valores. Estos valores rigen todo lo que hacemos. Uno en particular que destaca es el de Empresa abierta, sin tonterías. Lo que este valor concreto representa es exactamente lo que se describe en nuestra página de Valores.

Entendemos que expresarse requiere, a partes iguales, pensar (qué decimos), reflexionar (cuándo lo decimos) y ser sensibles (cómo lo decimos).

A menudo, escuchamos a nuestros clientes decir que les gustaría saber más acerca de cómo dirigimos nuestra empresa y nuestras operaciones. Nos gustaría emplear un tiempo en describir cómo dirigimos nuestro Trust Management Program o, como lo denomina el estándar de gestión de seguridad ISO27001, nuestro Atlassian Trust Management System (ATMS).

En Atlassian estamos orgullosos de ser un poco diferentes, ya sea por el exclusivo enfoque de ventas, los valores de nuestra compañía o la forma de abordar la filantropía. Hemos ampliado este enfoque a nuestro Trust Management System.

¿Cuál es la importancia del programa de gestión estructurada?

Los sistemas de gestión son importantes, independientemente de que se evalúen sistemas de gestión de calidad, sistemas de gestión de defectos, el método kaizen de mejora continua o una metodología estructurada para evaluar la madurez de la capacidad. Estos programas de gestión se han probado in situ, publicado, revisado por compañeros y mejorado. El Atlassian Trust Management Program se basa en el estándar ISO27001: sistema de gestión de seguridad de la información. La base del estándar ISO27001 es:

este estándar internacional pueden utilizarlo agentes internos y externos para evaluar la capacidad de la organización de cumplir sus propios requisitos de seguridad de la información.

Utilidad de los estándares internacionales como guía (aunque no necesariamente como obligación)

Como sucede con los clientes de cualquier tipo de organización, especialmente si esta es responsable de alojar y gestionar sus datos, nuestros clientes se hacen muchas preguntas acerca de si Atlassian, como proveedor de servicios en la nube, se preocupa por la protección y confidencialidad de su información. Cualquier cliente que esté pensando en utilizar servicios en la nube se enfrenta a decisiones similares a la hora de alojar servicios o aplicaciones clave

Si bien cada cliente tiene sus propios requisitos de seguridad, el Atlassian Trust Management System los tiene en cuenta y, así, obtiene un conjunto de requisitos exclusivos para nuestra empresa y nuestro entorno. El enfoque de ISO27001 respecto a la planificación, el funcionamiento, la evaluación del rendimiento y la mejora permite examinar el programa de manera continuada y optimizarlo con el tiempo para poder afrontar las nuevas amenazas y requisitos, o para mejorar el rendimiento general de la operación.

Evaluamos los estándares internacionales como un conjunto de orientaciones bien estructuradas, pero tenemos en cuenta cada uno de los controles y si estos son adecuados para nuestro entorno en particular. Tenemos un enfoque parecido a la hora de aplicar, de forma global, estos estándares internacionales en nuestro entorno.

Programa de gestión de políticas

La base del Trust Management System es nuestro Programa de gestión de políticas (PMP). Hemos estructurado nuestras políticas de modo que cubran los dominios tratados tanto por la norma ISO 27001 como por la Cloud Controls Matrix (matriz de controles en la nube, o CCM) de la Cloud Security Alliance (CSA). Hemos desarrollado unos principios fundacionales para nuestro Programa de gestión de políticas:

  • Deben estar publicadas y disponibles : no vamos a andar persiguiendo a la gente. Dejamos claro el nivel que deben satisfacer nuestros equipos
  • Deben contar con el apoyo del equipo de seguridad para facilitar el cumplimiento : estamos aquí para ayudar a nuestros equipos a ayudarnos
  • Deben detallar nuestros objetivos de seguridad : nos gusta tener objetivos y ser claros respecto a ellos
  • Deben mostrar compromiso con el cumplimiento de nuestras obligaciones normativas : no queremos ir a la cárcel
  • Deben estar centradas en la iteración y la mejora continuas : seguimos evaluando riesgos en nuestro entorno y en nuestro programa, y los reflejamos en nuestras políticas
  • Deben proporcionar un proceso de excepción : para cuando sea total y absolutamente imposible para nuestros equipos cumplir las políticas durante un breve periodo
  • Deben revisarse anualmente : lo que incluye la actualización de nuestras políticas al observar nuevos riesgos y amenazas

Lee un resumen y extractos de nuestras Políticas tecnológicas.

Programa de gestión de riesgos

Realizamos evaluaciones continuas de los riesgos en nuestros entornos y productos. En muchos casos, especialmente en el caso de nuestros productos, se realizan como evaluaciones de riesgos técnicos o revisiones de códigos. No obstante, también evaluamos cada elemento del catálogo completo o una parte de nuestra organización para detectar riesgos empresariales de mayor nivel. En general, hemos adoptado la metodología de gestión de riesgos ISO27005 o ISO31010 y la aplicamos a un ámbito en particular. Nuestro enfoque de la gestión de riesgos incluye:

  • Realizar actividades de evaluación de riesgo , como la ejecución de evaluaciones de riesgos y la facilitación de las decisiones de tratamiento de riesgos. Esto incluye identificar el alcance y los recursos abarcados, identificar los riesgos, evaluar su impacto y probabilidad, y revisar e informar al respecto.
  • Supervisar e informar sobre los proyectos destinados a gestionar los riesgos de seguridad: seguir supervisando e informando de los programas o proyectos diseñados para gestionar los riesgos de seguridad.
  • Respaldar el SMP: a través de la evaluación continua de riesgos como mecanismo para mejorar el entorno y garantizar que los controles de seguridad implementados gestionan, con eficacia, los riesgos de seguridad identificados.

Consulta nuestro Programa de gestión de riesgos empresariales para obtener más información.

Atlassian Trust Management Forum (ATMF)

Finalmente, mantenemos un Trust Management Forum estructurado que incluye representantes de cada uno de los pilares de nuestro programa Trust para garantizar que se aplican no solo los controles de seguridad, sino también los controles de fiabilidad, privacidad y cumplimiento, así como para garantizar la correcta gestión de los riesgos en cada uno de estos pilares. Hemos creado reuniones independientes en el foro para asegurar que se tratan temas específicos y que se cuenta con la información adecuada.

La finalidad del ATMF es:

  • Consensuar las prioridades y las acciones requeridas para proteger Atlassian y a nuestros clientes de las amenazas de seguridad
  • Apoyar e impulsar actividades en cada división del negocio para gestionar deficiencias o vulnerabilidades que podrían permitir un ataque
  • Proporcionar instrucciones y soporte a los grupos de trabajo respecto a los riesgos críticos de seguridad y los programas de cumplimiento normativo
  • Apoyar una cultura de concienciación de la seguridad en toda la organización

Mantenemos las siguientes reuniones en el foro:

  • ATMF: Revisión de gestión (Anualmente, en línea con el presupuesto anual)
  • ATMF: Revisión de recursos (Anualmente, en línea con el presupuesto anual)
  • ATMF: Revisión de riesgos (Trimestralmente)
  • ATMF: Revisión de seguridad y salud (Mensualmente)
  • ATMF: Revisión de cumplimiento (Mensualmente)
  • ATMF: Revisiones de gestión (Semanalmente, cada equipo tiene una revisión de gestión)

La estructura y la frecuencia de estas reuniones garantizan que revisemos constantemente nuestro perfil de amenazas, así como nuestra respuesta a las mismas.

Hay tantos enfoques para gestionar una organización de seguridad como organizaciones. En Atlassian creemos que hemos configurado un programa flexible y ágil, pero también suficientemente estructurado como para garantizar la evaluación y el tratamiento de las nuevas amenazas y riesgos, tanto para nosotros como para nuestros clientes.