Zuständigkeiten bei Atlassian für Sicherheitsvorfälle
Einführung
Wie andere Cloud-Service-Anbieter tun auch wir unser Bestes, um sicherzustellen, dass unsere Kunden nicht von Ausfällen oder Sicherheitsvorfällen betroffen sein werden. Trotzdem ist uns bewusst, dass solche Vorfälle eintreten können. Uns ist wichtig, Kunden zu erklären, wie sie in unseren Prozess für die Reaktion auf Sicherheitsvorfälle eingebunden sind und welche Pflichten du im Falle eines Vorfalls hast. Wir rechnen mit dem Schlimmsten, damit wir im Eintrittsfall darauf vorbereitet sind, und werden nicht versuchen, Kunden hinters Licht zu führen.
Wir unternehmen alles, um Sicherheitsvorfälle, die sich auf unsere Services und die Infrastruktur auswirken, vollumfänglich zu behandeln. Dabei kümmern wir uns um alles: von der Erkennung der Sicherheitsverletzung über die Eindämmung bis hin zur Offenlegung. Wir können allerdings unmöglich alles allein im Auge behalten. Manchmal brauchen wir die Hilfe von Kunden, die uns Vorfälle melden, oder von externen Beratern, die spezialisierte Ermittlungsarbeit leisten oder Forensikkenntnisse aufweisen.
Rollen
Wir haben diverse Modelle für das Management von Sicherheitsvorfällen geprüft und genutzt, um sicherzustellen, dass unsere Incident Response-Prozesse nicht nur umfassend, sondern erstklassig sind. Diesen Modellen haben wir die wirksamsten Aktivitäten entnommen und die Verantwortlichkeiten dafür beschrieben.
Partei | Rolle | Beschreibung |
|---|---|---|
| Atlassian | Rolle Koordinator für Sicherheitsvorfälle | Beschreibung Für jeden Sicherheitsvorfall ist ein leitender Vorfallkoordinator aus unserem Atlassian-Sicherheitsteam zuständig, der Sicherheitsentscheidungen trifft, den Prozess überwacht und Aufgaben zuweist. |
| Atlassian | Rolle Analyst für Sicherheitsvorfälle | Beschreibung Sicherheitsanalysten führen die meisten Vorfalluntersuchungen und -analysen durch. Bei kleineren Vorfällen übernimmt dies oft der Koordinator für Sicherheitsvorfälle. |
| Atlassian | Rolle Verantwortlicher für die Kommunikation mit Kunden | Beschreibung Jeder Vorfall ist einem Verantwortlichen für die Kommunikation mit Kunden zugewiesen. Dieser entscheidet, inwiefern Kunden involviert werden sollen. Üblicherweise ist diese Person auch für den Großteil der Kommunikation mit Kunden zuständig. |
| Atlassian | Rolle Red Team | Beschreibung Das Red Team von Atlassian ahmt Cyberangreifer aus der realen Welt nach und führt festgelegte Testszenarien durch. So ermittelt das Team, wie wir unsere Identifikationsprozesse für und die Reaktion auf Cyberangriffe verbessern können. |
| Atlassian | Rolle Unterstützender Berater | Beschreibung Die Teams von Atlassian für das Management von Sicherheitsvorfällen lassen sich von verschiedenen internen Fachexperten beraten (z. B. für Rechtliches, Datenschutz, Risiken und Personalthemen). Diese Experten bieten fachkundige Beratung zu Themen, die sich auf ihre Fachgebiete auswirken. |
| Sicherheitsberatung | Rolle Beratung | Beschreibung Bei Vorfällen nimmt Atlassian die Services eines auf Cybersicherheit spezialisierten Beratungsunternehmens in Anspruch. Grundsätzlich nutzen wir Beratungsservices, um bei Engpässen zusätzliche Ressourcen bereitzustellen oder besonderes Fachwissen zu vermitteln, falls dies intern nicht möglich ist. Zudem bieten Beratungsunternehmen unabhängige Beratungsservices und Vorfalluntersuchungen an. |
| Kunde | Rolle Autor | Beschreibung Atlassian ermutigt Kunden, jeden unautorisierten Zugriff oder böswilliges Verhalten in Bezug auf Assets von Atlassian zu melden. |
| Kunde | Rolle Ansprechpartner für Sicherheit | Beschreibung Wird ein Vorfall bestätigt, der einen Kunden betrifft, erhält der Ansprechpartner für Sicherheit des Kunden eine Benachrichtigung. Diese Person ist normalerweise der technische Kontakt beim Kunden. Das kann sich aber ändern, wenn der Kunde über ein dediziertes Sicherheitsteam verfügt. Der Ansprechpartner für Sicherheit gewährleistet, dass der Kunde den Vorfall ordnungsgemäß und außerhalb des Bereichs von Atlassian-Assets verwaltet. |
Zuständigkeiten
Wir definieren unsere Verantwortlichkeiten rund um das Management von Sicherheitsvorfällen anhand des RACI-Modells. Obwohl wir alle Anstrengungen unternehmen, um unsere definierten Verantwortlichkeiten zu erfüllen, sind die Kunden letztendlich für die Sicherheit ihrer Daten gemäß der Atlassian-Kundenvereinbarung verantwortlich.
- Responsible (Verantwortlich): Die Person oder Personengruppe, die die Arbeit erledigt, um die Aufgabe zum Abschluss zu bringen.
- Accountable (Rechenschaftspflichtig): Die Person oder Personengruppe, die letztendlich für den korrekten und gründlichen Abschluss der Aktivität verantwortlich ist.
- Consulted (Konsultiert): Die Person oder Personengruppe, deren Meinung eingeholt wird und mit der eine wechselseitige Kommunikation besteht.
- Informed (Informiert): Die Person oder Personengruppe, die über den Fortschritt auf dem Laufenden gehalten wird und mit der nur eine einseitige Kommunikation besteht.
Aktivität | Atlassian | Kunde |
|---|---|---|
| Erkennung | Atlassian Zuständig | Customer
|
| TRIAGE | Atlassian Zuständig | Customer
|
| Nachforschungen | Atlassian Zuständig | Customer
|
| Eindämmung | Atlassian Zuständig | Customer
|
| Beseitigung | Atlassian Zuständig | Kunde Informationsempfänger |
| Wiederherstellung | Atlassian Zuständig | Kunde Informationsempfänger |
| Benachrichtigung (Kunde) | Atlassian Zuständig | Kunde Informationsempfänger |
| Benachrichtigung (Atlassian) | Atlassian Informationsempfänger | Kunde Zuständig |
| Verbesserung | Atlassian Zuständig | Customer
|
| Testen | Atlassian Zuständig | Customer
|
| Externe Berichterstattung (Strafverfolgung und Compliance) | Atlassian Zuständig/Verantwortlich | Kunde Informationsempfänger |
| Veröffentlichung aggregierter Daten | Atlassian Zuständig | Kunde Informationsempfänger |