Estrutura de controles comuns da Atlassian
Como acontece com muitas empresas, a Atlassian tem vários padrões de controle internacional válidos para os ambientes de operações e desenvolvimento de produtos. A gente decidiu avaliar a sobreposição entre muitos desses padrões independentes e garantir uma única visão de como aplicar esses padrões aos ambientes internos. O principal ambiente de aplicação desses padrões é a plataforma de hospedagem em nuvem da Atlassian, porque a gente sabe que precisa mostrar que as medidas adequadas estão sendo tomadas para proteger os clientes e os dados. Mas nem todos os padrões valem para todos os ambientes. Por exemplo, o foco da Sarbanes-Oxley (SOX) está nos sistemas de suporte ao relatório financeiro, secundários (se tanto) aos serviços de nuvem. Conheça os padrões avaliados e os critérios.
Padrões internacionais aplicáveis
Abaixo está uma lista de padrões que a gente incorporou na estrutura de controles comuns internos:
Standard | Patrocínio |
| ISO 27001 | Organização Internacional de Normalização |
| ISO27002 | Organização Internacional de Normalização |
| ISO 27018 | Organização Internacional de Normalização |
| SOC2 | American Institute of Certified Public Accountants (AICPA) |
| NIST SP 800-53 Rev 4 | National Institute of Standards and Technology |
| FedRAMP | Governo federal dos EUA |
| CSA CCM | Cloud Security Alliance |
| HIPAA | Governo federal dos EUA |
| SOX 404 (IT) | Governo federal dos EUA |
| PCI DSS | PCI Security Standards Council |
Estrutura de controles comuns
Como você pode ver na tabela acima, há uma série de requisitos diferentes e díspares, muitos dos quais são aplicados aos mesmos ambientes, sistemas ou equipes. Para tornar um pouco mais fácil entender a sobreposição e as similaridades de muitos desses padrões para nossas equipes, avaliamos cada um dos requisitos de controle e identificamos os pontos de sobreposição, em que cada um dos padrões estava, essencialmente, avaliando o mesmo domínio. Com isso, temos uma estrutura de controles comuns mapeada com facilidade para cada um dos padrões.
Conclusão
A organização da Estrutura de controles comuns da Atlassian foi importante para que as equipes da Atlassian pudessem utilizar a mentalidade de "avaliar várias vezes, executar uma vez". Em vez de perguntar a várias equipes várias vezes, a gente usou a eficiência desta estrutura para definir como poderia organizar e aplicar controles para que toda a empresa pudesse entender os requisitos e como cada parte da organização atua em conjunto para proporcionar confiança a todos os clientes.