Responsabilidades por incidentes de segurança da Atlassian
Introdução
Assim como qualquer provedor de serviços em nuvem, a Atlassian faz o melhor possível para garantir que os clientes não sofram interrupções ou incidentes de segurança, mas a possibilidade existe. É importante que os clientes entendam como eles se encaixam no processo de resposta a incidentes de segurança da Atlassian e quais responsabilidades eles têm no decorrer de um incidente. A ideia aqui é sempre se planejar para o pior. Assim, se chegar nesse ponto, a gente vai dar conta e não vai ferrar a vida do cliente (DFTC).
A gente faz o possível para lidar com a integralidade de qualquer incidente de segurança que afete os serviços e a infraestrutura. A Atlassian faz de tudo, desde a detecção, até a contenção e a divulgação de violações. No entanto, não tem como ver tudo; às vezes, é preciso ter ajuda dos clientes para relatar um incidente ou consultoria externa para disponibilizar habilidades investigativas ou forenses especializadas.
Funções
Analisamos e utilizamos vários modelos de gerenciamento de incidentes de segurança para garantir que nossos processos de resposta a incidentes não sejam apenas abrangentes, mas de classe mundial. Selecionamos as atividades mais significativas desses modelos e descrevemos a responsabilidade de cada um.
Parte interessada | Função | Descrição |
|---|---|---|
| Atlassian | Função Coordenador de resposta a incidentes de segurança | Descrição Cada incidente de segurança tem um coordenador de incidentes líder da equipe de segurança da Atlassian, que toma decisões de segurança, supervisiona o processo e aloca tarefas. |
| Atlassian | Função Analista de incidentes de segurança | Descrição Os analistas de segurança fazem a maioria das investigações e análises de incidentes. Em incidentes menores, em geral é o coordenador de resposta a incidentes de segurança que assume o evento. |
| Atlassian | Função Líder de comunicação com clientes | Descrição Um líder de comunicação com o cliente é designado para cada incidente para tomar decisões sobre como os clientes devem ser envolver. Em geral, essa pessoa também é responsável por grande parte da comunicação com o cliente. |
| Atlassian | Função Equipe vermelha | Descrição A equipe vermelha da Atlassian imita os adversários cibernéticos do mundo real e executa cenários de teste definidos, projetados para avaliar e identificar melhorias na capacidade de detecção e resposta da própria empresa. |
| Atlassian | Função Consultor de apoio | Descrição As equipes de gerenciamento de incidentes de segurança da Atlassian buscam a orientação de vários especialistas internos (por exemplo, jurídico, privacidade, risco, recursos humanos etc.). Esses consultores oferecem orientação especializada sobre questões que afetam as áreas em que atuam. |
| Consultoria de segurança | Função Consultor | Descrição No caso de incidente, a Atlassian contrata os serviços de uma consultoria especializada em segurança cibernética. Em geral, a consultoria é usada para garantir mais recursos em caso de falta, especialistas em caso de indisponibilidade de funcionários internos e recomendações e análises independentes de incidentes. |
| Clientes | Função Relator | Descrição Os clientes devem relatar qualquer comportamento mal-intencionado ou acesso não autorizado aos recursos da Atlassian. |
| Clientes | Função Contato de segurança | Descrição Se o incidente que afeta o cliente for confirmado, o contato de segurança do cliente vai ser notificado. O normal é que o contato de segurança seja o responsável técnico da conta, mas pode ser alterado se o cliente tiver uma equipe de segurança dedicada. O contato de segurança garante que o cliente gerencie o incidente de modo adequado, fora do escopo dos recursos da Atlassian. |
Responsabilidades
A Atlassian define as responsabilidades do gerenciamento de incidentes de segurança usando o modelo RACI. Ainda que a gente faça todo o esforço possível para cumprir as responsabilidades definidas, os clientes são, em última instância, os responsáveis pela segurança dos seus dados, de acordo com o Contrato do Cliente da Atlassian.
- Responsável - A parte que vai trabalhar para concluir a tarefa.
- Autoridade - A parte que vai de fato responder pela conclusão correta e completa da atividade.
- Consultado - A parte de quem se buscam opiniões e com quem há comunicação bidirecional.
- Informado - A parte que é mantida atualizada sobre o progresso e com quem há comunicação apenas unidirecional.
Atividade | Atlassian | Clientes |
|---|---|---|
| Detecção | Atlassian Responsável | Customer
|
| Triagem | Atlassian Responsável | Customer
|
| Investigação | Atlassian Responsável | Customer
|
| Contenção | Atlassian Responsável | Customer
|
| Erradicação | Atlassian Responsável | Clientes Informado |
| Recuperação | Atlassian Responsável | Clientes Informado |
| Notificação (para o cliente) | Atlassian Responsável | Clientes Informado |
| Notificação (para a Atlassian) | Atlassian Informado | Clientes Responsável |
| Melhoria | Atlassian Responsável | Customer
|
| Testes | Atlassian Responsável | Customer
|
| Relatórios externos (aplicação e conformidade com a lei) | Atlassian Responsável | Clientes Informado |
| Agregação dos dados publicados | Atlassian Responsável | Clientes Informado |