Atlassian Trust Management System (ATMS)
Atlassian Trust Management System (ATMS) — wprowadzenie
W Atlassian jesteśmy dumni z naszych firmowych wartości. Są one motorem wszystkich naszych działań. Jedna, szczególnie ważna i wyróżniająca się wartość, to Otwarta firma, bez nonsensów. Wartość tę doskonale oddaje definicja, którą można znaleźć na naszej stronie Wartości:
Rozumiemy, że wyrażanie swojej opinii wymaga w równych częściach: namysłu (co powiedzieć), rozwagi (kiedy to powiedzieć) oraz troski (jak to powiedzieć).
Konsekwentnie docierają do nas informacje, że Wy, nasi klienci, chcielibyście dowiedzieć się więcej na temat tego, w jaki sposób zarządzamy naszą firmą i realizujemy działania operacyjne. Pragniemy zatem poświęcić chwilę, aby opowiedzieć Wam, w jaki sposób prowadzimy nasz program zarządzania zaufaniem Trust Management Program lub, jak nazwano go w normie ISO 27001 dotyczącej zarządzania bezpieczeństwem — Atlassian Trust Management System (ATMS).
W Atlassian z dumą prezentujemy naszą lekką odmienność — czy to w związku z naszym niepowtarzalnym podejściem do sprzedaży, naszymi firmowymi wartościami, czy naszym podejściem do filantropii. To podejście rozszerzyliśmy także na nasz program zarządzania zaufaniem Trust Management Program.
Znaczenie zorganizowanego programu zarządzania
Systemy zarządzania są ważne, niezależnie od tego, czy mowa o systemach zarządzania jakością, systemach zarządzania usterkami, metodzie Kaizen stosowanej do ciągłego doskonalenia, czy o ustrukturyzowanej metodologii oceny dojrzałości procesu produkcyjnego. Te programy zarządzania przetestowano w praktyce, opublikowano, zrecenzowano i udoskonalono. Program zarządzania zaufaniem Atlassian Trust Management Program oparto na normie ISO 27001 — Systemy zarządzania bezpieczeństwem informacji. Podstawą normy ISO 27001 jest:
W oparciu o tę normę międzynarodową podmioty wewnętrzne i zewnętrzne mogą dokonywać oceny zdolności organizacji do spełnienia jej własnych wymagań w zakresie bezpieczeństwa informacji.
Normy międzynarodowe jako wytyczne (ale niekoniecznie źródło nakazów)
Zrozumiałe jest, że podobnie jak każda organizacja, a w szczególności organizacja odpowiedzialna za hosting i przetwarzanie danych naszych klientów, otrzymujemy od nich mnóstwo pytań dotyczących tego, czy Atlassian jako dostawca usług w chmurze z należytą starannością dba o ochronę i poufność danych swoich klientów. Każdy klient, który rozważa korzystanie z usług w chmurze, staje w obliczu podobnych decyzji, wybierając opcję hostingu kluczowych aplikacji lub usług.
Każdy z naszych klientów ma własne wymagania dotyczące bezpieczeństwa, a program zarządzania zaufaniem Atlassian Trust Management Program uwzględnia te wymagania, tworząc zestaw wymagań unikatowych dla naszej firmy i naszego środowiska. Nakreślone w normie ISO 27001 podejście do planowania, działania, oceny wyników i doskonalenia umożliwia ciągłą ewaluację funkcjonowania naszego programu oraz ulepszanie go z biegiem czasu w celu uwzględnienia nowych zagrożeń i wymagań lub ogólną poprawę wyników naszych działań.
Traktujemy normy międzynarodowe jako zestaw dobrze uporządkowanych wytycznych, jednak rozważamy każdy ze środków kontroli, oceniając, czy sprawdzi się w przypadku naszego środowiska. Podobnie podchodzimy do ogólnego zakresu zastosowania tych norm międzynarodowych do naszego środowiska.
Program zarządzania zasadami
Podstawą systemu zarządzania zaufaniem jest nasz program zarządzania zasadami (Policy Management Program, PMP). Uporządkowaliśmy nasze zasady tak, aby obejmowały domeny uwzględnione zarówno w normie ISO 27001, jak i w specyfikacji Cloud Controls Matrix (CCM) organizacji Cloud Security Alliance (CSA). Określiliśmy kilka podstawowych założeń, na których opiera się nasz program zarządzania zasadami:
- otwartość i dostępność — to nie zabawa w podchody, wyraźnie komunikujemy zespołom oczekiwania, jakie muszą spełnić;
- korzystanie ze wsparcia zespołu ds. bezpieczeństwa dla ułatwienia przestrzegania przepisów — pomagając naszym zespołom, pomagać nam;
- naszkicowanie naszych celów w dziedzinie bezpieczeństwa — lubimy wyznaczać sobie cele i otwarcie o nich mówić;
- okazywanie zaangażowania w realizację naszych zobowiązań wynikających z przepisów prawa — nie chcemy trafić do więzienia;
- koncentracja na ciągłej ewolucji i doskonaleniu — stale dokonujemy ocen ryzyka w naszym środowisku i naszym programie, co znajduje odzwierciedlenie w naszych zasadach;
- zapewnienie procesów na wypadek wyjątku — gdy nasze zespoły absolutnie, bezwzględnie i nieodwołalnie nie są chwilowo w stanie przestrzegać zasad;
- coroczna analiza — z uwzględnieniem aktualizacji naszych zasad o zaobserwowane nowe zagrożenia i rodzaje ryzyka.
Zapoznaj się z omówieniem i fragmentami naszych zasad dotyczących technologii.
Program zarządzania ryzykiem
W ramach ustawicznej ewaluacji obszarów ryzyka związanego z naszymi środowiskami i produktami przeprowadzamy bieżące oceny ryzyka. W wielu sytuacjach, a zwłaszcza w przypadku naszych produktów, mają one charakter ocen ryzyka technicznego lub przeglądów kodu. Nasza ewaluacja obejmuje jednak również każdy produkt w naszym portfelu lub poszczególne części naszej organizacji, aby umożliwić ujawnienie obszarów ryzyka biznesowego na wyższym poziomie. Zasadniczo przyjęliśmy metodologię zarządzania ryzykiem opisaną w normach ISO 27005 lub ISO 31010 i stosujemy ją w określonym zakresie. Nasze podejście do zarządzania ryzykiem obejmuje:
- Podejmowanie działań związanych z oceną ryzyka — w tym przeprowadzanie ocen ryzyka, zapewnianie wsparcia przy podejmowaniu decyzji dotyczących niwelowania ryzyka. Obejmuje to także wyznaczenie zakresu i zasobów należących do tego zakresu, identyfikację ryzyka, ocenę wpływu i prawdopodobieństwa, a także analizowanie i zgłaszanie obszarów ryzyka.
- Monitorowanie i raportowanie dotyczące projektów ukierunkowanych na zarządzanie ryzykiem związanym z bezpieczeństwem — ciągłe monitorowanie programów lub projektów opracowanych z myślą o zarządzaniu ryzykiem związanym z bezpieczeństwem oraz tworzenie raportów na ich temat.
- Wspieranie programu zarządzania bezpieczeństwem — dzięki zastosowaniu ciągłej oceny ryzyka jako mechanizmu doskonalenia środowiska i zapewniania, że wdrażane środki kontroli bezpieczeństwa umożliwiają skuteczne zarządzanie zidentyfikowanymi zagrożeniami bezpieczeństwa.
Więcej informacji zawiera nasz program zarządzania ryzykiem korporacyjnym.
Atlassian Trust Management Forum (ATMF)
Prowadzimy również zorganizowane forum zarządzania zaufaniem, które zrzesza przedstawicieli każdego filaru naszego programu zaufania, aby mieć pewność, że stosujemy środki kontroli, które dotyczą nie tylko bezpieczeństwa, ale również niezawodności, ochrony prywatności oraz zgodności, a także sposobu zarządzania ryzykiem na poziomie każdego z tych filarów. W ramach forum organizujemy odrębne spotkania, w trakcie których omawiamy konkretne tematy i gromadzimy właściwe informacje.
Cele forum ATMF:
- Uzgodnienie priorytetów i działań wymaganych do ochrony Atlassian i naszych klientów przed zagrożeniami bezpieczeństwa.
- Rozwijanie i prowadzenie działań w obrębie każdego działu firmy w celu wyeliminowania niedociągnięć lub luk w zabezpieczeniach, które mogłyby umożliwić przeprowadzenie ataku.
- Zapewnianie wskazówek oraz wsparcia grupom roboczym w zakresie krytycznych zagrożeń bezpieczeństwa i programów zapewniania zgodności.
- Propagowanie kultury świadomości dotyczącej bezpieczeństwa w całej organizacji.
W ramach forum organizujemy następujące spotkania:
- ATMF: przegląd dotyczący zarządzania (co roku — zgodnie z budżetem rocznym)
- ATMF: przegląd dotyczący zasobów (co roku — zgodnie z budżetem rocznym)
- ATMF: przegląd dotyczący ryzyka (co kwartał)
- ATMF: przegląd dotyczący stanu bezpieczeństwa (co miesiąc)
- ATMF: przegląd dotyczący stanu zgodności (co miesiąc)
- ATMF: przeglądy dotyczące zarządzania (co tydzień — każdy zespół funkcyjny przeprowadza przegląd dotyczący zarządzania)
Dzięki odpowiedniej organizacji i częstotliwości tych spotkań możemy w sposób ciągły analizować nasz profil zagrożeń, a także odpowiednio reagować na te zagrożenia.
Istnieje tyle różnych podejść do zarządzania organizacją bezpieczeństwa, ile samych organizacji. W Atlassian jesteśmy przekonani, że udało nam się opracować program, który pozwala nam działać elastycznie i sprawnie reagować, a jednocześnie uporządkować nasze procedury tak, abyśmy mogli oceniać i eliminować nowe obszary zagrożenia oraz ryzyka zarówno dla nas, jak i dla naszych klientów.