Sistema de Gestão da Confiança Atlassian (ATMS)
Introdução ao Sistema de Gerenciamento de Confiança da Atlassian (ATMS)
Aqui na Atlassian, a gente tem muito orgulho dos valores da empresa. Eles orientam tudo o que a gente faz. Um valor que se destaca é ser uma empresa aberta, sem papo furado. Esse valor específico representa com exatidão o que está definido na página de Valores:
A gente acredita que, para dizer aquilo que pensa, é preciso refletir sobre o que, quando e como dizer.
Vocês, clientes, sempre dizem que gostariam de saber mais sobre o gerenciamento e as operações da Atlassian. Aqui, você fica por dentro de como funciona o nosso Programa de Gestão da Confiança ou, de acordo com a ISO27001 (norma sobre Gestão de Segurança), o Sistema de Gestão da Confiança Atlassian(ATMS).
Na Atlassian, a gente se orgulha de ser um pouquinho diferente – seja por conta da abordagem exclusiva de vendas, dos valores da empresa ou da nossa visão filantrópica. Essa visão se aplica também ao Programa de Gestão da Confiança.
Qual é a importância de um programa de gestão estruturado?
Há valor nos sistemas de gestão, quer você avalie os sistemas de gestão da qualidade, o sistema de gestão de defeitos, o método kaizen de melhoria contínua ou uma metodologia estruturada de avaliação da maturidade de recursos. Esses programas de gestão foram testados na prática, publicados, revisados por pares e refinados. O Programa de Gestão da Confiança Atlassian tem como base a norma Sistema de Gestão de Segurança da Informação (ISO27001). O resumo da norma ISO27001 é:
Essa norma internacional pode ser usada por agentes internos e externos para avaliar a capacidade da empresa para atender aos próprios requisitos de segurança da informação da empresa.
Valor das normas internacionais como orientação (e não como obrigação)
Como em qualquer empresa, em especial as responsáveis por hospedar e gerenciar os dados dos clientes, é compreensível que haja muitas perguntas sobre se a Atlassian, na qualidade de prestadora de serviços em nuvem, está tomando o devido cuidado com a proteção e a confidencialidade dos dados dos clientes. Qualquer cliente que esteja pensando em utilizar serviços em nuvem enfrenta decisões semelhantes ao optar por hospedar os principais aplicativos ou serviços.
Cada um dos nossos clientes tem seus próprios requisitos de segurança, e o Programa de Gestão da Confiança Atlassian leva esses requisitos em consideração e chega a um conjunto de requisitos exclusivos para a nossa empresa e ambiente. A forma como a ISO27001 aborda o planejamento, operação, avaliação de desempenho e melhoria permite a avaliação contínua de como o programa funciona e ainda melhora o programa ao longo do tempo, levando em consideração ameaças e exigências novas e o aprimoramento do desempenho geral da nossa operação.
A gente avalia as normas internacionais como um conjunto de diretrizes bem estruturadas e verifica se cada um dos controles é adequado para as especificidades do ambiente.Uma abordagem semelhante serve para a aplicabilidade geral dessas normas internacionais no ambiente da Atlassian.
Programa de gestão de políticas
A base do Sistema de Gestão da Confiança é o Programa de Gestão de Políticas (PMP). As nossas políticas foram estruturadas de modo a abranger os domínios incluídos na norma ISO27001 e no Cloud Security Alliance (CSA) e na Cloud Controls Matrix (CCM). Desenvolvemos alguns princípios fundamentais para o nosso Programa de Gestão de Políticas:
- Esteja atento e disponível – aqui não tem pegadinha: as metas que as equipes devem cumprir são bem claras
- A equipe de segurança ajuda a cumprir essas metas – uma mão lava a outra: a gente ajuda as equipes a ajudarem a gente
- Descreva os objetivos de segurança – a gente gosta de ter objetivos bem claros
- Demonstre compromisso em cumprir as obrigações regulatórias – ninguém quer que você vá para a cadeia
- Foco na iteração e melhoria contínuas – a Atlassian avalia os riscos no ambiente e no programa, e isso se reflete nas nossas políticas
- Tenha um processo de exceção – para aqueles momentos em que as equipes não vão conseguir cumprir as políticas em um curto espaço de tempo nem que chova canivete aberto
- Faça uma revisão anual – incluindo atualizar as políticas à medida que se descobrem novas ameaças e riscos
Leia a visão global e trechos das Políticas de Tecnologia.
Programa de gestão de riscos
In order to continuously evaluate risks to our environments and our products, we perform on-going risk assessments. In many cases, especially in the case of our products, these are performed as technical risk assessments or code reviews. However, we also evaluate each of our entire product stack or a portion of our organization to uncover higher level business risks. Generally, we have adopted the ISO27005 or ISO31010 Risk Management methodology and apply that methodology it to a particular scope. Our approach to risk management includes:
- Atividades de avaliação de risco – facilitam as decisões para o tratamento dos riscos.Dentre essas atividades, estão identificar o escopo e os ativos sob esse escopo, identificar riscos, avaliar o impacto e probabilidade, analisar e relatar os riscos.
- Monitorar e relatar projetos destinados à gestão dos riscos de segurança – continuar monitorando e relatando programas ou projetos criados para gerenciar riscos de segurança.
- Manter o SMP – através da avaliação contínua de riscos como um mecanismo para melhorar o ambiente e garantir que os controles de segurança implementados proporcionem uma gestão efetiva dos riscos de segurança identificados.
Consulte o Programa de gestão de riscos da empresa para saber mais.
Fórum de Gestão da Confiança Atlassian (ATMF)
Por fim, existe o Trust Management Forum (ATMF), com representantes de cada um dos pilares do programa de Confiança para garantir que aplicamos não apenas controles de segurança, mas também de confiabilidade, privacidade e a forma de gerenciar riscos em cada um desses pilares. Criamos reuniões separadas no fórum para garantir a cobertura de tópicos específicos e contribuições apropriadas.
O objetivo do ATMF é:
- Definir as prioridades e ações necessárias para proteger a Atlassian e seus clientes contra ameaças à segurança
- Incentivar e conduzir atividades em cada divisão comercial para solucionar deficiências ou vulnerabilidades que possam permitir um ataque
- Orientar e prestar suporte aos grupos de trabalho sobre riscos críticos de segurança e programas de conformidade
- Incentivar uma cultura de conscientização de segurança em toda a organização
Mantemos as seguintes reuniões do fórum:
- ATMF: análise da gestão (uma vez por ano, de acordo com o orçamento anual)
- ATMF: análise de recursos(uma vez por ano, de acordo com o orçamento anual)
- ATMF: análise de riscos (trimestral)
- ATMF: análise de integridade de segurança (mensal)
- ATMF: análise do cumprimento de normas de saúde (mensal)
- ATMF: análises de gestão (semanal – cada equipe de função tem uma)
A estrutura e a frequência dessas reuniões garantem a análise contínua do nosso perfil de ameaças, bem como a resposta a essas ameaças.
Há tantas abordagens na gestão de segurança de uma empresa quanto há empresas por aí. A Atlassian criou um programa flexível, responsivo e com uma estrutura suficiente para garantir a avaliação e o combate a novas ameaças e riscos internos e dos clientes.