Close

Framework di controlli comuni di Atlassian


Analogamente a molte aziende, Atlassian dispone di una serie di standard di controllo internazionali applicabili allo sviluppo dei propri prodotti e ambienti operativi. Abbiamo deciso di valutare la sovrapposizione tra molti di questi standard indipendenti, in modo da avere un'unica visione dell'applicazione di tali standard ai nostri ambienti interni. La nostra piattaforma di cloud hosting è l'ambiente principale in cui applichiamo questi standard, poiché dobbiamo dimostrare che adottiamo le misure necessarie per proteggere i clienti e i loro dati. Tuttavia, non tutti gli standard sono applicabili a tutti gli ambienti. Ad esempio, la legge Sarbanes-Oxley (SOX) è focalizzata sui sistemi che sono alla base dei nostri report finanziari, per i quali i nostri servizi cloud sono, nel migliore dei casi, secondari. Esaminiamo gli standard che valutiamo e per quali motivi.

Standard internazionali applicabili

Di seguito è riportato un elenco degli standard che abbiamo incluso nella creazione del nostro framework interno di controlli comuni:

Standard

Sponsor

ISO 27001

Organizzazione internazionale per la standardizzazione

ISO 27002

Organizzazione internazionale per la standardizzazione

ISO 27018

Organizzazione internazionale per la standardizzazione

PCI-DSS

Settore delle carte di pagamento

CSA CCM

Cloud Security Alliance

SOC2

American Institute of Certified Public Accountants (AICPA)

SOX 404 (IT)

Legge federale statunitense

FedRAMP

L'amministrazione per i servizi generali degli Stati Uniti

Framework di controlli comuni

Come si può vedere dalla tabella precedente, esiste una serie di requisiti diversi e disparati, molti dei quali vengono applicati agli stessi ambienti, sistemi o team. Al fine di rendere un po' più semplice la comprensione della sovrapposizione e delle analogie di molti di questi standard da parte dei nostri team, abbiamo valutato ogni requisito di controllo e identificato le aree in cui era presente una sovrapposizione che determinava la valutazione dello stesso dominio da parte di standard diversi. Di conseguenza, disponiamo di un framework di controlli comuni che sono facilmente mappabili a ciascuno di questi standard.

Conclusione

L'organizzazione del framework di controlli comuni di Atlassian era importante affinché i nostri team potessero adottare un approccio che prevede numerose valutazioni, ma una sola esecuzione. Invece di rivolgerci diverse volte a più team diversi, abbiamo sfruttato l'efficienza di questo framework per definire le aree in cui organizzare e applicare i controlli, così che l'intera azienda potesse comprendere i requisiti e il modo in cui ogni settore della nostra organizzazione collabora con gli altri per garantire sicurezza a tutti i nostri clienti.