Close

Framework di controlli comuni di Atlassian


Analogamente a molte aziende, Atlassian dispone di una serie di standard di controllo internazionali applicabili allo sviluppo dei propri prodotti e ambienti operativi. Abbiamo deciso di valutare la sovrapposizione tra molti di questi standard indipendenti, in modo da avere un'unica visione dell'applicazione di tali standard ai nostri ambienti interni. La nostra piattaforma di cloud hosting è l'ambiente principale in cui applichiamo questi standard, poiché dobbiamo dimostrare che adottiamo le misure necessarie per proteggere i clienti e i loro dati. Tuttavia, non tutti gli standard sono applicabili a tutti gli ambienti. Ad esempio, la legge Sarbanes-Oxley (SOX) è focalizzata sui sistemi che sono alla base dei nostri report finanziari, per i quali i nostri servizi cloud sono, nel migliore dei casi, secondari. Esaminiamo gli standard che valutiamo e per quali motivi.

Standard internazionali applicabili

Di seguito è riportato un elenco degli standard che abbiamo incluso nella creazione del nostro framework interno di controlli comuni:

Standard

Sponsor

ISO 27001

Organizzazione internazionale per la standardizzazione

ISO 27002

Organizzazione internazionale per la standardizzazione

ISO 27018

Organizzazione internazionale per la standardizzazione

SOC2

American Institute of Certified Public Accountants (AICPA)

NIST SP 800-53 Rev 4

National Institute of Standards and Technology

FedRAMP

Governo federale degli Stati Uniti

CSA CCM

Cloud Security Alliance

HIPAA

Governo federale degli Stati Uniti

SOX 404 (IT)

Governo federale degli Stati Uniti

PCI DSS

PCI Security Standards Council

Framework di controlli comuni

Come si può vedere dalla tabella precedente, esiste una serie di requisiti diversi e disparati, molti dei quali vengono applicati agli stessi ambienti, sistemi o team. Al fine di rendere un po' più semplice la comprensione della sovrapposizione e delle analogie di molti di questi standard da parte dei nostri team, abbiamo valutato ogni requisito di controllo e identificato le aree in cui era presente una sovrapposizione che determinava la valutazione dello stesso dominio da parte di standard diversi. Di conseguenza, disponiamo di un framework di controlli comuni che sono facilmente mappabili a ciascuno di questi standard.

Conclusione

L'organizzazione del framework di controlli comuni di Atlassian era importante affinché i nostri team potessero adottare un approccio che prevede numerose valutazioni, ma una sola esecuzione. Invece di rivolgersi diverse volte a più team diversi, abbiamo utilizzato l'efficienza di questo framework per definire le aree in cui potevamo organizzare e applicare i controlli in modo che l'intera azienda potesse comprendere i requisiti e il modo in cui ogni parte della nostra organizzazione si comporta collettivamente per fornire sicurezza a tutti i nostri clienti.