ACSC - Essential 8 Maturity Model - Revisión de las directrices de 2023

Exención de responsabilidad

La guía proporcionada tiene como único objetivo abordar la forma en que los clientes de Cloud del sector público y las organizaciones empresariales consideradas como entidades reguladas por el Centro Australiano de Ciberseguridad (ACSC) consideran esta guía solo en relación con los productos de Atlassian Cloud y los servicios que ofrece.

Este informe se destina únicamente a la información y la orientación que Atlassian proporciona a sus clientes de Cloud sobre cómo respetamos las directrices de Cloud Computing Security for Cloud Service Providers. Paralelamente, tenemos un artículo técnico específico sobre las responsabilidades compartidas en el que se describen las distintas responsabilidades que se recomiendan tanto al CSP como a los clientes. El modelo de responsabilidad compartida no elimina la responsabilidad ni los riesgos de los clientes al utilizar los productos de Atlassian Cloud, pero sí ayuda a reducir la carga en el sentido en que gestionamos y controlamos los componentes del sistema y mantenemos el control físico de las instalaciones; también transfiere una parte del coste de la seguridad y el cumplimiento a Atlassian y los aleja de nuestros clientes.

Para obtener más información sobre nuestro compromiso de proteger los datos de los clientes, visita nuestra página Prácticas de seguridad.

Estrategia de mitigación	Nivel de desarrollo uno	Nivel de desarrollo dos	Nivel de desarrollo tres	Respuesta de Atlassian
Control de aplicaciones	Nivel de desarrollo uno La ejecución de ejecutables, bibliotecas de software, scripts, instaladores, HTML compilado, aplicaciones HTML y applets del panel de control se impide en las estaciones de trabajo desde los perfiles de usuario estándar y las carpetas temporales utilizadas por el sistema operativo, los navegadores web y los clientes de correo electrónico.	Nivel de desarrollo dos El control de aplicaciones se implementa en las estaciones de trabajo y los servidores orientados a Internet. El control de aplicaciones restringe la ejecución de ejecutables, bibliotecas de software, scripts, instaladores, HTML compilado, aplicaciones HTML y applets del panel de control a un conjunto aprobado por la organización. Los eventos de ejecución permitidos y bloqueados en las estaciones de trabajo y los servidores con acceso a Internet se registran.	Nivel de desarrollo tres El control de aplicaciones se implementa en las estaciones de trabajo y los servidores. El control de aplicaciones restringe la ejecución de ejecutables, bibliotecas de software, scripts, instaladores, HTML compilado, aplicaciones HTML, applets del panel de control y controladores a un conjunto aprobado por la organización. Se han implementado las "reglas de bloqueo recomendadas" de Microsoft. Se han implementado las "reglas de bloqueo de controladores recomendadas" de Microsoft. Los conjuntos de reglas de control de aplicaciones se validan anualmente o con mayor frecuencia. Los eventos de ejecución permitidos y bloqueados en las estaciones de trabajo y los servidores se registran de forma centralizada. Los registros de eventos están protegidos contra las modificaciones y las eliminaciones no autorizadas. Los registros de eventos se supervisan en busca de señales de compromiso y se accionan cuando se detecta alguna señal de compromiso.	Respuesta de Atlassian El uso de programas de utilidades en el entorno de producción está restringido y controlado. Todos los servidores están configurados mediante nuestro sistema centralizado de configuración de Puppet según nuestro entorno operativo estándar, lo que incluye la eliminación de algunos paquetes de la imagen predeterminada y las actualizaciones críticas de los paquetes. Todos los roles de servidor están configurados de forma predeterminada para denegar todas las solicitudes de red entrantes, y solo están abiertos algunos puertos a los demás roles de servidor que requieren acceso a un determinado puerto para cumplir su función. La red corporativa de Atlassian está separada de nuestra red de producción, y nuestras imágenes de máquinas están reforzadas para permitir solo los puertos y protocolos necesarios. Todos los sistemas de producción están alojados actualmente en regiones estadounidenses de nuestro proveedor de servicios en la nube. Todos los datos en tránsito fuera de las redes de nube privada virtual (VPC) reforzadas se cifran a través de los canales estándar del sector. Además, hay un sistema IDS en todos los servidores de producción, que incluye la supervisión y las alertas en tiempo real de cualquier cambio en los archivos o la configuración del sistema de producción y de eventos de seguridad anómalos.
Aplicaciones de parches	Nivel de desarrollo uno Se utiliza un método automatizado de detección de activos al menos una vez cada quince días para facilitar la detección de activos en las actividades de análisis de vulnerabilidades posteriores. Se utiliza un analizador de vulnerabilidades con una base de datos de vulnerabilidades actualizada para realizar las actividades de análisis de vulnerabilidades. Se utiliza un analizador de vulnerabilidades al menos una vez al día para identificar los parches o las actualizaciones que faltan para las vulnerabilidades en los servicios orientados a Internet. Se utiliza un analizador de vulnerabilidades al menos una vez cada quince días para identificar los parches o las actualizaciones que faltan para las vulnerabilidades en los paquetes de productividad de la oficina, los navegadores web y sus extensiones, los clientes de correo electrónico, el software de PDF y los productos de seguridad. Los parches, las actualizaciones u otras mitigaciones de los proveedores para las vulnerabilidades en los servicios orientados a Internet se aplican a las dos semanas de su publicación o en un plazo de 48 horas si existe una vulnerabilidad. Los parches, las actualizaciones u otras mitigaciones de los proveedores para las vulnerabilidades en los paquetes de productividad de oficina, los navegadores web y sus extensiones, los clientes de correo electrónico, el software de PDF y los productos de seguridad se aplican en el plazo de un mes a partir de su publicación. Se sustituyen los servicios orientados a Internet, los paquetes de productividad de oficina, los navegadores web y sus extensiones, los clientes de correo electrónico, el software de PDF, Adobe Flash Player y los productos de seguridad que los vendedores ya no admiten.	Nivel de desarrollo dos Se utiliza un método automatizado de detección de activos al menos una vez cada quince días para facilitar la detección de activos en las actividades de análisis de vulnerabilidades posteriores. Se utiliza un analizador de vulnerabilidades con una base de datos de vulnerabilidades actualizada para realizar las actividades de análisis de vulnerabilidades. Se utiliza un analizador de vulnerabilidades al menos una vez al día para identificar los parches o las actualizaciones que faltan para las vulnerabilidades en los servicios orientados a Internet. Se utiliza un analizador de vulnerabilidades al menos una vez a la semana para identificar los parches o las actualizaciones que faltan para las vulnerabilidades en los paquetes de productividad de la oficina, los navegadores web y sus extensiones, los clientes de correo electrónico, el software de PDF y los productos de seguridad. Se utiliza un analizador de vulnerabilidades al menos una vez cada quince días para identificar los parches o las actualizaciones que faltan para las vulnerabilidades en otras aplicaciones. Los parches, las actualizaciones u otras mitigaciones de los proveedores para las vulnerabilidades en los servicios orientados a Internet se aplican a las dos semanas de su publicación o en un plazo de 48 horas si existe una vulnerabilidad. Los parches, las actualizaciones u otras mitigaciones de los proveedores para las vulnerabilidades en las suites de productividad de oficina, los navegadores web y sus extensiones, los clientes de correo electrónico, el software de PDF y los productos de seguridad se aplican en un plazo de dos semanas a partir del lanzamiento. Los parches, las actualizaciones u otras mitigaciones de los proveedores para las vulnerabilidades en otras aplicaciones se aplican en el plazo de un mes a partir del lanzamiento. Se sustituyen los servicios orientados a Internet, los paquetes de productividad de oficina, los navegadores web y sus extensiones, los clientes de correo electrónico, el software de PDF, Adobe Flash Player y los productos de seguridad que los vendedores ya no admiten.	Nivel de desarrollo tres Se utiliza un método automatizado de detección de activos al menos una vez cada quince días para facilitar la detección de activos en las actividades de análisis de vulnerabilidades posteriores. Se utiliza un analizador de vulnerabilidades con una base de datos de vulnerabilidades actualizada para realizar las actividades de análisis de vulnerabilidades. Se utiliza un analizador de vulnerabilidades al menos una vez al día para identificar los parches o las actualizaciones que faltan para las vulnerabilidades en los servicios orientados a Internet. Se utiliza un analizador de vulnerabilidades al menos una vez a la semana para identificar los parches o las actualizaciones que faltan para las vulnerabilidades en los paquetes de productividad de la oficina, los navegadores web y sus extensiones, los clientes de correo electrónico, el software de PDF y los productos de seguridad. Se utiliza un analizador de vulnerabilidades al menos una vez cada quince días para identificar los parches o las actualizaciones que faltan para las vulnerabilidades en otras aplicaciones. Los parches, las actualizaciones u otras mitigaciones de los proveedores para las vulnerabilidades en los servicios orientados a Internet se aplican a las dos semanas de su publicación o en un plazo de 48 horas si existe una vulnerabilidad. Los parches, las actualizaciones u otras mitigaciones de los proveedores para las vulnerabilidades en las suites de productividad de oficina, los navegadores web y sus extensiones, los clientes de correo electrónico, el software de PDF y los productos de seguridad se aplican dos semanas después del lanzamiento o 48 horas si existe una vulnerabilidad. Los parches, las actualizaciones u otras mitigaciones de los proveedores para las vulnerabilidades en otras aplicaciones se aplican en el plazo de un mes a partir del lanzamiento. Se sustituyen las aplicaciones que los proveedores ya no admiten.	Respuesta de Atlassian En todas nuestras ofertas de productos y servicios, contamos con un extenso proceso de corrección de errores (utilizamos Jira, nuestro propio producto, que detecta los problemas y nos ayuda a gestionar la resolución de las solicitudes). Nos respaldan numerosas políticas de corrección de errores de seguridad, servicios de asesoramiento y SLO con los que cumplimos. Recibimos los informes de errores a través de nuestro canal de soporte, nuestro programa de recompensas por errores y security@atlassian.com. Encontrarás más información en nuestro Trust Center sobre nuestros SLO de solución de errores de seguridad. Encontrarás más información sobre nuestro enfoque de pruebas de seguridad en nuestro Trust Center en: Enfoque sobre las pruebas de seguridad externas Nuestro equipo de seguridad en Atlassian utiliza varios métodos para detectar vulnerabilidades en la infraestructura interna y externa. Los tickets de Jira se crean con fines de seguimiento y corrección, y las fechas de vencimiento se asignan de acuerdo con nuestro SLO en función de la gravedad y el origen de la vulnerabilidad. Contamos con un proceso continuo de emisión de tickets de las vulnerabilidades identificadas a los propietarios del sistema; nuestro equipo de gestión de seguridad revisa cualquier vulnerabilidad comunicada y se asegura de que se tomen las medidas necesarias para solucionarla.
Configurar los ajustes de macros de Microsoft Office	Nivel de desarrollo uno Los usuarios sin un requisito empresarial demostrado tienen deshabilitadas las macros de Microsoft Office. Las macros de Microsoft Office en los archivos que se originan en Internet están bloqueadas. El análisis antivirus de las macros de Microsoft Office está habilitado. Los usuarios no pueden cambiar la configuración de seguridad de macros de Microsoft Office.	Nivel de desarrollo dos Los usuarios sin un requisito empresarial demostrado tienen deshabilitadas las macros de Microsoft Office. Las macros de Microsoft Office en los archivos que se originan en Internet están bloqueadas. El análisis antivirus de las macros de Microsoft Office está habilitado. Se bloquean las llamadas de las macros de Microsoft Office a la API de Win32. Los usuarios no pueden cambiar la configuración de seguridad de macros de Microsoft Office. Se registran los eventos de ejecución de macros de Microsoft Office permitidos y bloqueados.	Nivel de desarrollo tres Los usuarios sin un requisito empresarial demostrado tienen deshabilitadas las macros de Microsoft Office. Solo se permite la ejecución de macros de Microsoft Office en un entorno aislado, en una ubicación de confianza o que tengan la firma digital de un editor de confianza. Solo los usuarios con privilegios responsables de confirmar que las macros de Microsoft Office están exentas de código malicioso pueden escribir y modificar el contenido en las ubicaciones de confianza. Las macros de Microsoft Office con la firma digital de un editor que no sea de confianza no se pueden habilitar en la barra de mensajes ni en la vista de Backstage. La lista de editores de confianza de Microsoft Office se valida anualmente o con mayor frecuencia. Las macros de Microsoft Office en los archivos que se originan en Internet están bloqueadas. El análisis antivirus de las macros de Microsoft Office está habilitado. Se bloquean las llamadas de las macros de Microsoft Office a la API de Win32. Los usuarios no pueden cambiar la configuración de seguridad de macros de Microsoft Office. Los eventos de ejecución de macros de Microsoft Office permitidos y bloqueados se registran de forma centralizada. Los registros de eventos están protegidos contra las modificaciones y las eliminaciones no autorizadas. Los registros de eventos se supervisan en busca de señales de compromiso y se accionan cuando se detecta alguna señal de compromiso.	Respuesta de Atlassian Atlassian trabaja con subcontratistas externos para proporcionar sitios web, desarrollo de aplicaciones, alojamiento, mantenimiento, copias de seguridad, almacenamiento, infraestructura virtual, procesamiento de pagos, análisis y otros servicios. Con el fin de proporcionar dichos servicios, estos proveedores pueden tener acceso a la información de identificación personal (PII) o procesarla para nosotros. Atlassian pone en conocimiento de sus clientes todo uso o procesamiento que haga cualquier subcontratista de su información de identificación personal, mediante notificación y antes de que se produzca dicho procesamiento. Encontrarás una lista externa de los subcontratistas con los que trabaja Atlassian en la página de encargados del tratamiento de los datos personales subcontratados de Atlassian, en: Lista de encargados del tratamiento de los datos personales subcontratados. En esta página, se invita a los visitantes a suscribirse a una fuente RSS para recibir una notificación cada vez que se añada un encargado del tratamiento de los datos personales subcontratados de Atlassian nuevo. Hemos implementado una solución de gestión de sistemas centralizada (gestión de dispositivos móviles) para todos nuestros portátiles Mac. Hemos implementado una solución de gestión de dispositivos móviles para nuestros teléfonos inteligentes y terminales Windows (VMware Workplace ONE).
Fortalecimiento de las aplicaciones de usuario	Nivel de desarrollo uno Los navegadores web no procesan Java de Internet. Los navegadores web no procesan los anuncios web de Internet. Internet Explorer 11 no procesa el contenido de Internet. Los usuarios no pueden cambiar la configuración de seguridad de los navegadores web.	Nivel de desarrollo dos Los navegadores web no procesan Java de Internet. Los navegadores web no procesan los anuncios web de Internet. Internet Explorer 11 no procesa el contenido de Internet. Se ha implementado la guía de refuerzo de ACSC o de los proveedores para los navegadores web. Los usuarios no pueden cambiar la configuración de seguridad de los navegadores web. Microsoft Office no puede crear procesos secundarios. Microsoft Office no puede crear contenido ejecutable. Microsoft Office no puede inyectar código en otros procesos. Microsoft Office está configurado para impedir la activación de los paquetes OLE. Se han implementado las directrices del ACSC o de los proveedores para Microsoft Office. Los usuarios no pueden cambiar la configuración de seguridad de Microsoft Office. El software de PDF no puede crear procesos secundarios. Se han implementado las directrices del ACSC o de los proveedores para el software de PDF. Los usuarios no pueden cambiar la configuración de seguridad del software de PDF. Se registran los eventos de ejecución de scripts de PowerShell bloqueados.	Nivel de desarrollo tres Los navegadores web no procesan Java de Internet. Los navegadores web no procesan los anuncios web de Internet. Internet Explorer 11 está deshabilitado o eliminado. Se ha implementado la guía de refuerzo de ACSC o de los proveedores para los navegadores web. Los usuarios no pueden cambiar la configuración de seguridad de los navegadores web. Microsoft Office no puede crear procesos secundarios. Microsoft Office no puede crear contenido ejecutable. Microsoft Office no puede inyectar código en otros procesos. Microsoft Office está configurado para impedir la activación de los paquetes OLE. Se han implementado las directrices del ACSC o de los proveedores para Microsoft Office. Los usuarios no pueden cambiar la configuración de seguridad de Microsoft Office. El software de PDF no puede crear procesos secundarios. Se han implementado las directrices del ACSC o de los proveedores para el software de PDF. Los usuarios no pueden cambiar la configuración de seguridad del software de PDF. .NET Framework 3.5 (incluye .NET 2.0 y 3.0) está deshabilitado o eliminado. Windows PowerShell 2.0 está deshabilitado o eliminado. PowerShell está configurado para usar el modo de lenguaje restringido. Los eventos de ejecución de scripts de PowerShell bloqueados se registran de forma centralizada. Los registros de eventos están protegidos contra las modificaciones y las eliminaciones no autorizadas. Los registros de eventos se supervisan en busca de señales de compromiso y se accionan cuando se detecta alguna señal de compromiso.	Respuesta de Atlassian Las compilaciones de imágenes del sistema operativo base de la AMI de AWS Linux tienen puertos, protocolos y servicios limitados. Comparamos nuestras compilaciones con las de la versión actual de AMI para asegurarnos de que la configuración es adecuada. Nuestras imágenes de Docker se gestionan en un entorno de cambios estrictamente controlado para asegurar la revisión y aprobación adecuadas de todos los cambios. Nuestros terminales están reforzados para proteger a nuestros usuarios, pero no limitamos el acceso a los puertos del hardware. Usamos un producto de proxy HTTP de terceros para nuestro perímetro público de Jira/Confluence y le hemos implementado reglas de seguridad HTTP de capa 7 (se podría llamar WAF: la funcionalidad es básicamente la misma).
Restringir los privilegios administrativos	Nivel de desarrollo uno Las solicitudes de acceso con privilegios a los sistemas y las aplicaciones se validan cuando se solicitan por primera vez. Las cuentas con privilegios (excepto las cuentas de servicio con privilegios) no pueden acceder a Internet, al correo electrónico ni a los servicios web. Los usuarios con privilegios utilizan entornos operativos distintos con y sin privilegios. Las cuentas sin privilegios no pueden iniciar sesión en entornos operativos privilegiados. Las cuentas con privilegios (excepto las cuentas de administrador local) no pueden iniciar sesión en entornos operativos sin privilegios.	Nivel de desarrollo dos Las solicitudes de acceso con privilegios a los sistemas y las aplicaciones se validan cuando se solicitan por primera vez. El acceso con privilegios a los sistemas y las aplicaciones se desactiva automáticamente después de 12 meses, a menos que se vuelva a validar. El acceso con privilegios a los sistemas y las aplicaciones se desactiva automáticamente tras 45 días de inactividad. Las cuentas con privilegios (excepto las cuentas de servicio con privilegios) no pueden acceder a Internet, al correo electrónico ni a los servicios web. Los usuarios con privilegios utilizan entornos operativos distintos con y sin privilegios. Los entornos operativos privilegiados no se virtualizan en los entornos operativos sin privilegios. Las cuentas sin privilegios no pueden iniciar sesión en entornos operativos privilegiados. Las cuentas con privilegios (excepto las cuentas de administrador local) no pueden iniciar sesión en entornos operativos sin privilegios. Las actividades administrativas se llevan a cabo a través de servidores de salto. Las credenciales de las cuentas de administrador local y las cuentas de servicio son largas, únicas e impredecibles, además de estar gestionadas. Los eventos de acceso con privilegios se registran. Se registran los eventos de gestión de cuentas y grupos con privilegios.	Nivel de desarrollo tres Las solicitudes de acceso con privilegios a los sistemas y las aplicaciones se validan cuando se solicitan por primera vez. El acceso con privilegios a los sistemas y las aplicaciones se desactiva automáticamente después de 12 meses, a menos que se vuelva a validar. El acceso con privilegios a los sistemas y las aplicaciones se desactiva automáticamente tras 45 días de inactividad. El acceso con privilegios a los sistemas y las aplicaciones se limita únicamente a lo que los usuarios y servicios necesitan para desempeñar sus funciones. Las cuentas con privilegios no pueden acceder a Internet, al correo electrónico ni a los servicios web. Los usuarios con privilegios utilizan entornos operativos distintos con y sin privilegios. Los entornos operativos privilegiados no se virtualizan en los entornos operativos sin privilegios. Las cuentas sin privilegios no pueden iniciar sesión en entornos operativos privilegiados. Las cuentas con privilegios (excepto las cuentas de administrador local) no pueden iniciar sesión en entornos operativos sin privilegios. La administración just-in-time se utiliza para gestionar sistemas y aplicaciones. Las actividades administrativas se llevan a cabo a través de servidores de salto. Las credenciales de las cuentas de administrador local y las cuentas de servicio son largas, únicas e impredecibles, además de estar gestionadas. Windows Defender Credential Guard y Windows Defender Remote Credential Guard están activados. Los eventos de acceso con privilegios se registran de forma centralizada. Los eventos de gestión de cuentas y grupos con privilegios se registran de forma centralizada. Los registros de eventos están protegidos contra las modificaciones y las eliminaciones no autorizadas. Los registros de eventos se supervisan en busca de señales de compromiso y se accionan cuando se detecta alguna señal de compromiso.	Respuesta de Atlassian Atlassian mantiene las restricciones al personal que necesite este acceso para realizar sus funciones y responsabilidades laborales. Todos los sistemas del nivel 1 se gestionan mediante una solución centralizada de inicio de sesión único (SSO) y directorio de Atlassian. Los usuarios reciben los derechos de acceso adecuados en función de estos perfiles, según el flujo de trabajo de nuestro sistema de gestión de recursos humanos. Atlassian utiliza la MFA para acceder a todos los sistemas del nivel 1. Hemos habilitado la autenticación de dos factores en la consola de gestión del hipervisor y en la API de AWS, así como un informe de auditoría diario sobre todos los accesos a las funciones de gestión del hipervisor. Las listas de acceso a la consola de gestión del hipervisor y a la API de AWS se revisan trimestralmente. También mantenemos una sincronización de 8 horas entre nuestro sistema de recursos humanos y nuestro almacén de identidades. Mantenemos un ciclo de revisión bianual para los servicios críticos en nuestro proceso de revisión de derechos. La validación del acceso de los usuarios se realiza de forma periódica con los propietarios del sistema para las cuentas de usuario corporativas internas.
Parchear los sistemas operativos	Nivel de desarrollo uno Se utiliza un método automatizado de detección de activos al menos una vez cada quince días para facilitar la detección de activos en las actividades de análisis de vulnerabilidades posteriores. Se utiliza un analizador de vulnerabilidades con una base de datos de vulnerabilidades actualizada para realizar las actividades de análisis de vulnerabilidades. Se utiliza un analizador de vulnerabilidades al menos a diario para identificar los parches o las actualizaciones que faltan para las vulnerabilidades en los sistemas operativos de los servicios orientados a Internet. Se utiliza un analizador de vulnerabilidades al menos cada quince días para identificar los parches o las actualizaciones que faltan para las vulnerabilidades en los sistemas operativos de las estaciones de trabajo, los servidores y los dispositivos de red. Los parches, las actualizaciones u otras mitigaciones de los proveedores para las vulnerabilidades en los sistemas operativos de los servicios orientados a Internet se aplican a las dos semanas de su publicación o en un plazo de 48 horas si existe una vulnerabilidad. Los parches, las actualizaciones u otras mitigaciones de los proveedores para las vulnerabilidades en los sistemas operativos de las estaciones de trabajo, los servidores y los dispositivos de red se aplican en el plazo de un mes a partir de su publicación. Se sustituyen los sistemas operativos que los proveedores ya no admiten.	Nivel de desarrollo dos Se utiliza un método automatizado de detección de activos al menos una vez cada quince días para facilitar la detección de activos en las actividades de análisis de vulnerabilidades posteriores. Se utiliza un analizador de vulnerabilidades con una base de datos de vulnerabilidades actualizada para realizar las actividades de análisis de vulnerabilidades. Se utiliza un analizador de vulnerabilidades al menos a diario para identificar los parches o las actualizaciones que faltan para las vulnerabilidades en los sistemas operativos de los servicios orientados a Internet. Se utiliza un analizador de vulnerabilidades al menos semanalmente para identificar los parches o las actualizaciones que faltan para las vulnerabilidades en los sistemas operativos de las estaciones de trabajo, los servidores y los dispositivos de red. Los parches, las actualizaciones u otras mitigaciones de los proveedores para las vulnerabilidades en los sistemas operativos de los servicios orientados a Internet se aplican a las dos semanas de su publicación o en un plazo de 48 horas si existe una vulnerabilidad. Los parches, las actualizaciones u otras estrategias de mitigación de los proveedores para las vulnerabilidades en los sistemas operativos de las estaciones de trabajo, los servidores y los dispositivos de red se aplican en el plazo de dos semanas a partir de su publicación. Se sustituyen los sistemas operativos que los proveedores ya no admiten.	Nivel de desarrollo tres Se utiliza un método automatizado de detección de activos al menos una vez cada quince días para facilitar la detección de activos en las actividades de análisis de vulnerabilidades posteriores. Se utiliza un analizador de vulnerabilidades con una base de datos de vulnerabilidades actualizada para realizar las actividades de análisis de vulnerabilidades. Se utiliza un analizador de vulnerabilidades al menos a diario para identificar los parches o las actualizaciones que faltan para las vulnerabilidades en los sistemas operativos de los servicios orientados a Internet. Se utiliza un analizador de vulnerabilidades al menos semanalmente para identificar los parches o las actualizaciones que faltan para las vulnerabilidades en los sistemas operativos de las estaciones de trabajo, los servidores y los dispositivos de red. Los parches, las actualizaciones u otras mitigaciones de los proveedores para las vulnerabilidades en los sistemas operativos de los servicios orientados a Internet se aplican a las dos semanas de su publicación o en un plazo de 48 horas si existe una vulnerabilidad. Los parches, las actualizaciones u otras mitigaciones de los proveedores para las vulnerabilidades en los sistemas operativos de las estaciones de trabajo, los servidores y los dispositivos de red se aplican a las dos semanas de su publicación o en un plazo de 48 horas si existe una vulnerabilidad. Se utiliza la versión más reciente, o la anterior, de los sistemas operativos. Se sustituyen los sistemas operativos que los proveedores ya no admiten.	Respuesta de Atlassian En todas nuestras ofertas de productos y servicios, contamos con un extenso proceso de corrección de errores (utilizamos Jira, nuestro propio producto, que detecta las incidencias y nos ayuda a gestionar la resolución de las solicitudes). Nos respaldan numerosas políticas de corrección de errores de seguridad, servicios de asesoramiento y SLO con los que cumplimos. Recibimos los informes de errores a través de nuestro canal de soporte, nuestro programa de recompensas por errores y security@atlassian.com. Encontrarás más información en nuestro Trust Center sobre nuestros SLO de solución de errores de seguridad. Encontrarás más información sobre nuestro enfoque de pruebas de seguridad en nuestro Trust Center en: Enfoque sobre las pruebas de seguridad externas Nuestro equipo de seguridad en Atlassian utiliza varios métodos para detectar vulnerabilidades en la infraestructura interna y externa. Los tickets de Jira se crean con fines de seguimiento y corrección y las fechas de vencimiento se asignan de acuerdo con nuestro SLO en función de la gravedad y el origen de la vulnerabilidad. Contamos con un proceso continuo de emisión de tickets de las vulnerabilidades identificadas a los propietarios del sistema; nuestro equipo de gestión de seguridad revisa cualquier vulnerabilidad comunicada y se asegura de que se tomen las medidas necesarias para solucionarla.
Autenticación multifactor	Nivel de desarrollo uno La autenticación multifactor la utilizan los usuarios de una organización cuando se autentican en los servicios de Internet de esta. La autenticación multifactor la utilizan los usuarios de una organización cuando se autentican en servicios de terceros con acceso a Internet que procesan, almacenan o comunican los datos confidenciales de su organización. La autenticación multifactor (cuando está disponible) la utilizan los usuarios de una organización cuando se autentican en servicios de terceros con acceso a Internet que procesan, almacenan o comunican los datos no confidenciales de su organización. La autenticación multifactor está habilitada de forma predeterminada para los usuarios de una organización que no pertenecen a la organización (pero pueden optar por no participar) cuando se autentican en los servicios de Internet de la organización.	Nivel de desarrollo dos La autenticación multifactor la utilizan los usuarios de una organización cuando se autentican en los servicios de Internet de esta. La autenticación multifactor la utilizan los usuarios de una organización cuando se autentican en servicios de terceros con acceso a Internet que procesan, almacenan o comunican los datos confidenciales de su organización. La autenticación multifactor (cuando está disponible) la utilizan los usuarios de una organización cuando se autentican en servicios de terceros con acceso a Internet que procesan, almacenan o comunican los datos no confidenciales de su organización. La autenticación multifactor está habilitada de forma predeterminada para los usuarios de una organización que no pertenecen a la organización (pero pueden optar por no participar) cuando se autentican en los servicios de Internet de la organización. La autenticación multifactor se utiliza para autenticar a los usuarios privilegiados de los sistemas. La autenticación multifactor utiliza: algo que los usuarios tienen y algo que los usuarios conocen, o algo que tienen los usuarios que se desbloquea con algo que los usuarios conocen o son. Se registran los eventos correctos y fallidos de autenticación multifactor.	Nivel de desarrollo tres La autenticación multifactor la utilizan los usuarios de una organización cuando se autentican en los servicios de Internet de esta. La autenticación multifactor la utilizan los usuarios de una organización cuando se autentican en servicios de terceros con acceso a Internet que procesan, almacenan o comunican los datos confidenciales de su organización. La autenticación multifactor (cuando está disponible) la utilizan los usuarios de una organización cuando se autentican en servicios de terceros con acceso a Internet que procesan, almacenan o comunican los datos no confidenciales de su organización. La autenticación multifactor está habilitada de forma predeterminada para los usuarios de una organización que no pertenecen a la organización (pero pueden optar por no participar) cuando se autentican en los servicios de Internet de la organización. La autenticación multifactor se utiliza para autenticar a los usuarios privilegiados de los sistemas. La autenticación multifactor se utiliza para autenticar a los usuarios de importantes repositorios de datos. La autenticación multifactor es resistente a ataques de suplantación de identidad y utiliza: algo que los usuarios tienen y algo que los usuarios conocen, o algo que tienen los usuarios que se desbloquea con algo que los usuarios conocen o son. Se registran de forma centralizada los eventos correctos y fallidos de autenticación multifactor. Los registros de eventos están protegidos contra las modificaciones y las eliminaciones no autorizadas. Los registros de eventos se supervisan en busca de señales de compromiso y se accionan cuando se detecta alguna señal de compromiso.	Respuesta de Atlassian La autenticación multifactor está disponible para cuentas individuales en Confluence y Jira. Para obtener más información sobre cómo habilitar la autenticación multifactor, consulta: Aplicar la verificación en dos pasos. BBC sigue siendo compatible con la autenticación en dos fases desde febrero de 2022 y, en general, está integrada con Atlassian Access y es compatible con las funciones adicionales que se ofrecen a través de Access. La autenticación multifactor forzada se puede configurar a nivel organizativo con Atlassian Access. Para obtener más información, consulta: Aplicar la verificación en dos pasos En relación con productos específicos, Bitbucket admite el uso de opciones de inicio de sesión único basadas en la autenticación multifactor. Para obtener más información, consulta: Aplicar verificación en dos pasos \| Bitbucket Cloud Halp utiliza el inicio de sesión único a través de Slack, OAuth y MS Teams. Slack y MS Teams ofrecen varias opciones de autenticación multifactor. Para obtener más información, consulta: Inicio de sesión único de SAML y Azure AD Connect: inicio de sesión único perfecto Opsgenie admite el uso de opciones de inicio de sesión único basadas en autenticación multifactor. Para obtener más información, consulta: Configurar el inicio de sesión único para Opsgenie Statuspage admite el uso de opciones de inicio de sesión único basadas en autenticación multifactor. Trello admite la autenticación multifactor. Para obtener más información sobre cómo habilitar la autenticación multifactor, consulta: Activar la autenticación de dos fases para tu cuenta de Trello Jira Align admite el uso de opciones de inicio de sesión único basadas en autenticación multifactor.
Copias de seguridad periódicas	Nivel de desarrollo uno Las copias de seguridad de los datos importantes, el software y la configuración se realizan y conservan con una frecuencia y un plazo de retención de acuerdo con los requisitos de continuidad empresarial. Las copias de seguridad de los datos importantes, el software y la configuración se sincronizan para poder restaurarlos a un punto temporal común. Las copias de seguridad de los datos importantes, el software y la configuración se conservan de forma segura y resiliente. La restauración de los datos importantes, el software y la configuración de las copias de seguridad a un punto temporal común se pone a prueba como parte de los ejercicios de recuperación ante desastres. Las cuentas sin privilegios no pueden acceder a las copias de seguridad de otras cuentas. Las cuentas sin privilegios no pueden modificar ni eliminar las copias de seguridad.	Nivel de desarrollo dos Las copias de seguridad de los datos importantes, el software y la configuración se realizan y conservan con una frecuencia y un plazo de retención de acuerdo con los requisitos de continuidad empresarial. Las copias de seguridad de los datos importantes, el software y la configuración se sincronizan para poder restaurarlos a un punto temporal común. Las copias de seguridad de los datos importantes, el software y la configuración se conservan de forma segura y resiliente. La restauración de los datos importantes, el software y la configuración de las copias de seguridad a un punto temporal común se pone a prueba como parte de los ejercicios de recuperación ante desastres. Las cuentas sin privilegios no pueden acceder a las copias de seguridad de otras cuentas. Las cuentas con privilegios (excepto las cuentas de administrador de respaldo) no pueden acceder a las copias de seguridad que pertenecen a otras cuentas. Las cuentas sin privilegios no pueden modificar ni eliminar las copias de seguridad. Las cuentas con privilegios (excepto las cuentas de administrador de respaldo) no pueden modificar ni eliminar las copias de seguridad.	Nivel de desarrollo tres Las copias de seguridad de los datos importantes, el software y la configuración se realizan y conservan con una frecuencia y un plazo de retención de acuerdo con los requisitos de continuidad empresarial. Las copias de seguridad de los datos importantes, el software y la configuración se sincronizan para poder restaurarlos a un punto temporal común. Las copias de seguridad de los datos importantes, el software y la configuración se conservan de forma segura y resiliente. La restauración de los datos importantes, el software y la configuración de las copias de seguridad a un punto temporal común se pone a prueba como parte de los ejercicios de recuperación ante desastres. Las cuentas sin privilegios no pueden acceder a las copias de seguridad de otras cuentas ni a las suyas propias. Las cuentas con privilegios (excepto las cuentas de administrador de respaldo) no pueden acceder a las copias de seguridad de otras cuentas ni a las suyas propias. Las cuentas sin privilegios no pueden modificar ni eliminar las copias de seguridad. Las cuentas con privilegios (incluidas las cuentas de administrador de respaldo) no pueden modificar ni eliminar las copias de seguridad durante su período de retención.	Respuesta de Atlassian Atlassian mantiene un estándar de retención y destrucción de datos que determina cuánto tiempo necesitamos conservar los distintos tipos de datos. Los datos se clasifican de acuerdo con nuestra política de seguridad de datos y ciclo de vida de la información de Atlassian y los controles se implementan en función de ella. En cuanto a los datos de los clientes, al rescindir un contrato de Atlassian, los datos que pertenezcan al equipo del cliente se eliminarán de la base de datos de producción en vivo y todos los archivos adjuntos subidos directamente a Atlassian se eliminarán en un plazo de 14 días. Los datos del equipo permanecerán en copias de seguridad cifradas hasta que esas copias de seguridad superen el período de retención de 60 días y se destruyan de acuerdo con la política de retención de datos de Atlassian. En caso de que sea necesario restaurar una base de datos en un plazo de 60 días a partir de la solicitud de eliminación de los datos, el equipo de operaciones volverá a borrar los datos en cuanto sea razonablemente posible una vez que el sistema de producción en vivo esté completamente restaurado. Para obtener más información, consulta: Supervisar el almacenamiento y transferir datos entre productos

Control de aplicaciones

Nivel de desarrollo uno

La ejecución de ejecutables, bibliotecas de software, scripts, instaladores, HTML compilado, aplicaciones HTML y applets del panel de control se impide en las estaciones de trabajo desde los perfiles de usuario estándar y las carpetas temporales utilizadas por el sistema operativo, los navegadores web y los clientes de correo electrónico.

Nivel de desarrollo dos

El control de aplicaciones se implementa en las estaciones de trabajo y los servidores orientados a Internet.
El control de aplicaciones restringe la ejecución de ejecutables, bibliotecas de software, scripts, instaladores, HTML compilado, aplicaciones HTML y applets del panel de control a un conjunto aprobado por la organización.
Los eventos de ejecución permitidos y bloqueados en las estaciones de trabajo y los servidores con acceso a Internet se registran.

Nivel de desarrollo tres

El control de aplicaciones se implementa en las estaciones de trabajo y los servidores.
El control de aplicaciones restringe la ejecución de ejecutables, bibliotecas de software, scripts, instaladores, HTML compilado, aplicaciones HTML, applets del panel de control y controladores a un conjunto aprobado por la organización.
Se han implementado las "reglas de bloqueo recomendadas" de Microsoft. Se han implementado las "reglas de bloqueo de controladores recomendadas" de Microsoft.
Los conjuntos de reglas de control de aplicaciones se validan anualmente o con mayor frecuencia.
Los eventos de ejecución permitidos y bloqueados en las estaciones de trabajo y los servidores se registran de forma centralizada.
Los registros de eventos están protegidos contra las modificaciones y las eliminaciones no autorizadas. Los registros de eventos se supervisan en busca de señales de compromiso y se accionan cuando se detecta alguna señal de compromiso.

Respuesta de Atlassian

El uso de programas de utilidades en el entorno de producción está restringido y controlado. Todos los servidores están configurados mediante nuestro sistema centralizado de configuración de Puppet según nuestro entorno operativo estándar, lo que incluye la eliminación de algunos paquetes de la imagen predeterminada y las actualizaciones críticas de los paquetes. Todos los roles de servidor están configurados de forma predeterminada para denegar todas las solicitudes de red entrantes, y solo están abiertos algunos puertos a los demás roles de servidor que requieren acceso a un determinado puerto para cumplir su función. La red corporativa de Atlassian está separada de nuestra red de producción, y nuestras imágenes de máquinas están reforzadas para permitir solo los puertos y protocolos necesarios. Todos los sistemas de producción están alojados actualmente en regiones estadounidenses de nuestro proveedor de servicios en la nube. Todos los datos en tránsito fuera de las redes de nube privada virtual (VPC) reforzadas se cifran a través de los canales estándar del sector.
Además, hay un sistema IDS en todos los servidores de producción, que incluye la supervisión y las alertas en tiempo real de cualquier cambio en los archivos o la configuración del sistema de producción y de eventos de seguridad anómalos.

Aplicaciones de parches

Nivel de desarrollo uno

Se utiliza un método automatizado de detección de activos al menos una vez cada quince días para facilitar la detección de activos en las actividades de análisis de vulnerabilidades posteriores.
Se utiliza un analizador de vulnerabilidades con una base de datos de vulnerabilidades actualizada para realizar las actividades de análisis de vulnerabilidades. Se utiliza un analizador de vulnerabilidades al menos una vez al día para identificar los parches o las actualizaciones que faltan para las vulnerabilidades en los servicios orientados a Internet.
Se utiliza un analizador de vulnerabilidades al menos una vez cada quince días para identificar los parches o las actualizaciones que faltan para las vulnerabilidades en los paquetes de productividad de la oficina, los navegadores web y sus extensiones, los clientes de correo electrónico, el software de PDF y los productos de seguridad.
Los parches, las actualizaciones u otras mitigaciones de los proveedores para las vulnerabilidades en los servicios orientados a Internet se aplican a las dos semanas de su publicación o en un plazo de 48 horas si existe una vulnerabilidad.
Los parches, las actualizaciones u otras mitigaciones de los proveedores para las vulnerabilidades en los paquetes de productividad de oficina, los navegadores web y sus extensiones, los clientes de correo electrónico, el software de PDF y los productos de seguridad se aplican en el plazo de un mes a partir de su publicación.
Se sustituyen los servicios orientados a Internet, los paquetes de productividad de oficina, los navegadores web y sus extensiones, los clientes de correo electrónico, el software de PDF, Adobe Flash Player y los productos de seguridad que los vendedores ya no admiten.

Nivel de desarrollo dos

Se utiliza un método automatizado de detección de activos al menos una vez cada quince días para facilitar la detección de activos en las actividades de análisis de vulnerabilidades posteriores.
Se utiliza un analizador de vulnerabilidades con una base de datos de vulnerabilidades actualizada para realizar las actividades de análisis de vulnerabilidades.
Se utiliza un analizador de vulnerabilidades al menos una vez al día para identificar los parches o las actualizaciones que faltan para las vulnerabilidades en los servicios orientados a Internet.
Se utiliza un analizador de vulnerabilidades al menos una vez a la semana para identificar los parches o las actualizaciones que faltan para las vulnerabilidades en los paquetes de productividad de la oficina, los navegadores web y sus extensiones, los clientes de correo electrónico, el software de PDF y los productos de seguridad.
Se utiliza un analizador de vulnerabilidades al menos una vez cada quince días para identificar los parches o las actualizaciones que faltan para las vulnerabilidades en otras aplicaciones.
Los parches, las actualizaciones u otras mitigaciones de los proveedores para las vulnerabilidades en los servicios orientados a Internet se aplican a las dos semanas de su publicación o en un plazo de 48 horas si existe una vulnerabilidad.
Los parches, las actualizaciones u otras mitigaciones de los proveedores para las vulnerabilidades en las suites de productividad de oficina, los navegadores web y sus extensiones, los clientes de correo electrónico, el software de PDF y los productos de seguridad se aplican en un plazo de dos semanas a partir del lanzamiento.
Los parches, las actualizaciones u otras mitigaciones de los proveedores para las vulnerabilidades en otras aplicaciones se aplican en el plazo de un mes a partir del lanzamiento.
Se sustituyen los servicios orientados a Internet, los paquetes de productividad de oficina, los navegadores web y sus extensiones, los clientes de correo electrónico, el software de PDF, Adobe Flash Player y los productos de seguridad que los vendedores ya no admiten.

Nivel de desarrollo tres

Se utiliza un método automatizado de detección de activos al menos una vez cada quince días para facilitar la detección de activos en las actividades de análisis de vulnerabilidades posteriores.
Se utiliza un analizador de vulnerabilidades con una base de datos de vulnerabilidades actualizada para realizar las actividades de análisis de vulnerabilidades.
Se utiliza un analizador de vulnerabilidades al menos una vez al día para identificar los parches o las actualizaciones que faltan para las vulnerabilidades en los servicios orientados a Internet.
Se utiliza un analizador de vulnerabilidades al menos una vez a la semana para identificar los parches o las actualizaciones que faltan para las vulnerabilidades en los paquetes de productividad de la oficina, los navegadores web y sus extensiones, los clientes de correo electrónico, el software de PDF y los productos de seguridad.
Se utiliza un analizador de vulnerabilidades al menos una vez cada quince días para identificar los parches o las actualizaciones que faltan para las vulnerabilidades en otras aplicaciones.
Los parches, las actualizaciones u otras mitigaciones de los proveedores para las vulnerabilidades en los servicios orientados a Internet se aplican a las dos semanas de su publicación o en un plazo de 48 horas si existe una vulnerabilidad.
Los parches, las actualizaciones u otras mitigaciones de los proveedores para las vulnerabilidades en las suites de productividad de oficina, los navegadores web y sus extensiones, los clientes de correo electrónico, el software de PDF y los productos de seguridad se aplican dos semanas después del lanzamiento o 48 horas si existe una vulnerabilidad.
Los parches, las actualizaciones u otras mitigaciones de los proveedores para las vulnerabilidades en otras aplicaciones se aplican en el plazo de un mes a partir del lanzamiento.
Se sustituyen las aplicaciones que los proveedores ya no admiten.

Respuesta de Atlassian

En todas nuestras ofertas de productos y servicios, contamos con un extenso proceso de corrección de errores (utilizamos Jira, nuestro propio producto, que detecta los problemas y nos ayuda a gestionar la resolución de las solicitudes). Nos respaldan numerosas políticas de corrección de errores de seguridad, servicios de asesoramiento y SLO con los que cumplimos. Recibimos los informes de errores a través de nuestro canal de soporte, nuestro programa de recompensas por errores y security@atlassian.com. Encontrarás más información en nuestro Trust Center sobre nuestros SLO de solución de errores de seguridad.

Encontrarás más información sobre nuestro enfoque de pruebas de seguridad en nuestro Trust Center en: Enfoque sobre las pruebas de seguridad externas

Nuestro equipo de seguridad en Atlassian utiliza varios métodos para detectar vulnerabilidades en la infraestructura interna y externa. Los tickets de Jira se crean con fines de seguimiento y corrección, y las fechas de vencimiento se asignan de acuerdo con nuestro SLO en función de la gravedad y el origen de la vulnerabilidad. Contamos con un proceso continuo de emisión de tickets de las vulnerabilidades identificadas a los propietarios del sistema; nuestro equipo de gestión de seguridad revisa cualquier vulnerabilidad comunicada y se asegura de que se tomen las medidas necesarias para solucionarla.

Configurar los ajustes de macros de Microsoft Office

Nivel de desarrollo uno

Los usuarios sin un requisito empresarial demostrado tienen deshabilitadas las macros de Microsoft Office.
Las macros de Microsoft Office en los archivos que se originan en Internet están bloqueadas.
El análisis antivirus de las macros de Microsoft Office está habilitado.
Los usuarios no pueden cambiar la configuración de seguridad de macros de Microsoft Office.

Nivel de desarrollo dos

Los usuarios sin un requisito empresarial demostrado tienen deshabilitadas las macros de Microsoft Office.
Las macros de Microsoft Office en los archivos que se originan en Internet están bloqueadas. El análisis antivirus de las macros de Microsoft Office está habilitado.
Se bloquean las llamadas de las macros de Microsoft Office a la API de Win32.
Los usuarios no pueden cambiar la configuración de seguridad de macros de Microsoft Office.
Se registran los eventos de ejecución de macros de Microsoft Office permitidos y bloqueados.

Nivel de desarrollo tres

Los usuarios sin un requisito empresarial demostrado tienen deshabilitadas las macros de Microsoft Office.
Solo se permite la ejecución de macros de Microsoft Office en un entorno aislado, en una ubicación de confianza o que tengan la firma digital de un editor de confianza.
Solo los usuarios con privilegios responsables de confirmar que las macros de Microsoft Office están exentas de código malicioso pueden escribir y modificar el contenido en las ubicaciones de confianza.
Las macros de Microsoft Office con la firma digital de un editor que no sea de confianza no se pueden habilitar en la barra de mensajes ni en la vista de Backstage.
La lista de editores de confianza de Microsoft Office se valida anualmente o con mayor frecuencia.
Las macros de Microsoft Office en los archivos que se originan en Internet están bloqueadas.
El análisis antivirus de las macros de Microsoft Office está habilitado.
Se bloquean las llamadas de las macros de Microsoft Office a la API de Win32.
Los usuarios no pueden cambiar la configuración de seguridad de macros de Microsoft Office.
Los eventos de ejecución de macros de Microsoft Office permitidos y bloqueados se registran de forma centralizada.
Los registros de eventos están protegidos contra las modificaciones y las eliminaciones no autorizadas.
Los registros de eventos se supervisan en busca de señales de compromiso y se accionan cuando se detecta alguna señal de compromiso.

Respuesta de Atlassian

Atlassian trabaja con subcontratistas externos para proporcionar sitios web, desarrollo de aplicaciones, alojamiento, mantenimiento, copias de seguridad, almacenamiento, infraestructura virtual, procesamiento de pagos, análisis y otros servicios. Con el fin de proporcionar dichos servicios, estos proveedores pueden tener acceso a la información de identificación personal (PII) o procesarla para nosotros. Atlassian pone en conocimiento de sus clientes todo uso o procesamiento que haga cualquier subcontratista de su información de identificación personal, mediante notificación y antes de que se produzca dicho procesamiento. Encontrarás una lista externa de los subcontratistas con los que trabaja Atlassian en la página de encargados del tratamiento de los datos personales subcontratados de Atlassian, en: Lista de encargados del tratamiento de los datos personales subcontratados. En esta página, se invita a los visitantes a suscribirse a una fuente RSS para recibir una notificación cada vez que se añada un encargado del tratamiento de los datos personales subcontratados de Atlassian nuevo.

Hemos implementado una solución de gestión de sistemas centralizada (gestión de dispositivos móviles) para todos nuestros portátiles Mac.
Hemos implementado una solución de gestión de dispositivos móviles para nuestros teléfonos inteligentes y terminales Windows (VMware Workplace ONE).

Fortalecimiento de las aplicaciones de usuario

Nivel de desarrollo uno

Los navegadores web no procesan Java de Internet.
Los navegadores web no procesan los anuncios web de Internet.
Internet Explorer 11 no procesa el contenido de Internet.
Los usuarios no pueden cambiar la configuración de seguridad de los navegadores web.

Nivel de desarrollo dos

Los navegadores web no procesan Java de Internet.
Los navegadores web no procesan los anuncios web de Internet.
Internet Explorer 11 no procesa el contenido de Internet.
Se ha implementado la guía de refuerzo de ACSC o de los proveedores para los navegadores web.
Los usuarios no pueden cambiar la configuración de seguridad de los navegadores web.
Microsoft Office no puede crear procesos secundarios.
Microsoft Office no puede crear contenido ejecutable.
Microsoft Office no puede inyectar código en otros procesos.
Microsoft Office está configurado para impedir la activación de los paquetes OLE.
Se han implementado las directrices del ACSC o de los proveedores para Microsoft Office.
Los usuarios no pueden cambiar la configuración de seguridad de Microsoft Office.
El software de PDF no puede crear procesos secundarios.
Se han implementado las directrices del ACSC o de los proveedores para el software de PDF.
Los usuarios no pueden cambiar la configuración de seguridad del software de PDF.
Se registran los eventos de ejecución de scripts de PowerShell bloqueados.

Nivel de desarrollo tres

Los navegadores web no procesan Java de Internet.
Los navegadores web no procesan los anuncios web de Internet.
Internet Explorer 11 está deshabilitado o eliminado.
Se ha implementado la guía de refuerzo de ACSC o de los proveedores para los navegadores web.
Los usuarios no pueden cambiar la configuración de seguridad de los navegadores web.
Microsoft Office no puede crear procesos secundarios.
Microsoft Office no puede crear contenido ejecutable.
Microsoft Office no puede inyectar código en otros procesos.
Microsoft Office está configurado para impedir la activación de los paquetes OLE.
Se han implementado las directrices del ACSC o de los proveedores para Microsoft Office.
Los usuarios no pueden cambiar la configuración de seguridad de Microsoft Office.
El software de PDF no puede crear procesos secundarios.
Se han implementado las directrices del ACSC o de los proveedores para el software de PDF.
Los usuarios no pueden cambiar la configuración de seguridad del software de PDF.
.NET Framework 3.5 (incluye .NET 2.0 y 3.0) está deshabilitado o eliminado.
Windows PowerShell 2.0 está deshabilitado o eliminado.
PowerShell está configurado para usar el modo de lenguaje restringido.
Los eventos de ejecución de scripts de PowerShell bloqueados se registran de forma centralizada.
Los registros de eventos están protegidos contra las modificaciones y las eliminaciones no autorizadas.
Los registros de eventos se supervisan en busca de señales de compromiso y se accionan cuando se detecta alguna señal de compromiso.

Respuesta de Atlassian

Las compilaciones de imágenes del sistema operativo base de la AMI de AWS Linux tienen puertos, protocolos y servicios limitados. Comparamos nuestras compilaciones con las de la versión actual de AMI para asegurarnos de que la configuración es adecuada.
Nuestras imágenes de Docker se gestionan en un entorno de cambios estrictamente controlado para asegurar la revisión y aprobación adecuadas de todos los cambios.

Nuestros terminales están reforzados para proteger a nuestros usuarios, pero no limitamos el acceso a los puertos del hardware.

Usamos un producto de proxy HTTP de terceros para nuestro perímetro público de Jira/Confluence y le hemos implementado reglas de seguridad HTTP de capa 7 (se podría llamar WAF: la funcionalidad es básicamente la misma).

Restringir los privilegios administrativos

Nivel de desarrollo uno

Las solicitudes de acceso con privilegios a los sistemas y las aplicaciones se validan cuando se solicitan por primera vez.
Las cuentas con privilegios (excepto las cuentas de servicio con privilegios) no pueden acceder a Internet, al correo electrónico ni a los servicios web.
Los usuarios con privilegios utilizan entornos operativos distintos con y sin privilegios.
Las cuentas sin privilegios no pueden iniciar sesión en entornos operativos privilegiados.
Las cuentas con privilegios (excepto las cuentas de administrador local) no pueden iniciar sesión en entornos operativos sin privilegios.

Nivel de desarrollo dos

Las solicitudes de acceso con privilegios a los sistemas y las aplicaciones se validan cuando se solicitan por primera vez.
El acceso con privilegios a los sistemas y las aplicaciones se desactiva automáticamente después de 12 meses, a menos que se vuelva a validar.
El acceso con privilegios a los sistemas y las aplicaciones se desactiva automáticamente tras 45 días de inactividad.
Las cuentas con privilegios (excepto las cuentas de servicio con privilegios) no pueden acceder a Internet, al correo electrónico ni a los servicios web.
Los usuarios con privilegios utilizan entornos operativos distintos con y sin privilegios.
Los entornos operativos privilegiados no se virtualizan en los entornos operativos sin privilegios.
Las cuentas sin privilegios no pueden iniciar sesión en entornos operativos privilegiados.
Las cuentas con privilegios (excepto las cuentas de administrador local) no pueden iniciar sesión en entornos operativos sin privilegios.
Las actividades administrativas se llevan a cabo a través de servidores de salto.
Las credenciales de las cuentas de administrador local y las cuentas de servicio son largas, únicas e impredecibles, además de estar gestionadas.
Los eventos de acceso con privilegios se registran.
Se registran los eventos de gestión de cuentas y grupos con privilegios.

Nivel de desarrollo tres

Las solicitudes de acceso con privilegios a los sistemas y las aplicaciones se validan cuando se solicitan por primera vez.
El acceso con privilegios a los sistemas y las aplicaciones se desactiva automáticamente después de 12 meses, a menos que se vuelva a validar.
El acceso con privilegios a los sistemas y las aplicaciones se desactiva automáticamente tras 45 días de inactividad.
El acceso con privilegios a los sistemas y las aplicaciones se limita únicamente a lo que los usuarios y servicios necesitan para desempeñar sus funciones.
Las cuentas con privilegios no pueden acceder a Internet, al correo electrónico ni a los servicios web.
Los usuarios con privilegios utilizan entornos operativos distintos con y sin privilegios.
Los entornos operativos privilegiados no se virtualizan en los entornos operativos sin privilegios.
Las cuentas sin privilegios no pueden iniciar sesión en entornos operativos privilegiados.
Las cuentas con privilegios (excepto las cuentas de administrador local) no pueden iniciar sesión en entornos operativos sin privilegios.
La administración just-in-time se utiliza para gestionar sistemas y aplicaciones.
Las actividades administrativas se llevan a cabo a través de servidores de salto.
Las credenciales de las cuentas de administrador local y las cuentas de servicio son largas, únicas e impredecibles, además de estar gestionadas.
Windows Defender Credential Guard y Windows Defender Remote Credential Guard están activados.
Los eventos de acceso con privilegios se registran de forma centralizada.
Los eventos de gestión de cuentas y grupos con privilegios se registran de forma centralizada.
Los registros de eventos están protegidos contra las modificaciones y las eliminaciones no autorizadas.
Los registros de eventos se supervisan en busca de señales de compromiso y se accionan cuando se detecta alguna señal de compromiso.

Respuesta de Atlassian

Atlassian mantiene las restricciones al personal que necesite este acceso para realizar sus funciones y responsabilidades laborales. Todos los sistemas del nivel 1 se gestionan mediante una solución centralizada de inicio de sesión único (SSO) y directorio de Atlassian. Los usuarios reciben los derechos de acceso adecuados en función de estos perfiles, según el flujo de trabajo de nuestro sistema de gestión de recursos humanos. Atlassian utiliza la MFA para acceder a todos los sistemas del nivel 1. Hemos habilitado la autenticación de dos factores en la consola de gestión del hipervisor y en la API de AWS, así como un informe de auditoría diario sobre todos los accesos a las funciones de gestión del hipervisor. Las listas de acceso a la consola de gestión del hipervisor y a la API de AWS se revisan trimestralmente. También mantenemos una sincronización de 8 horas entre nuestro sistema de recursos humanos y nuestro almacén de identidades.

Mantenemos un ciclo de revisión bianual para los servicios críticos en nuestro proceso de revisión de derechos. La validación del acceso de los usuarios se realiza de forma periódica con los propietarios del sistema para las cuentas de usuario corporativas internas.

Parchear los sistemas operativos

Nivel de desarrollo uno

Se utiliza un método automatizado de detección de activos al menos una vez cada quince días para facilitar la detección de activos en las actividades de análisis de vulnerabilidades posteriores.
Se utiliza un analizador de vulnerabilidades con una base de datos de vulnerabilidades actualizada para realizar las actividades de análisis de vulnerabilidades.
Se utiliza un analizador de vulnerabilidades al menos a diario para identificar los parches o las actualizaciones que faltan para las vulnerabilidades en los sistemas operativos de los servicios orientados a Internet.
Se utiliza un analizador de vulnerabilidades al menos cada quince días para identificar los parches o las actualizaciones que faltan para las vulnerabilidades en los sistemas operativos de las estaciones de trabajo, los servidores y los dispositivos de red.
Los parches, las actualizaciones u otras mitigaciones de los proveedores para las vulnerabilidades en los sistemas operativos de los servicios orientados a Internet se aplican a las dos semanas de su publicación o en un plazo de 48 horas si existe una vulnerabilidad.
Los parches, las actualizaciones u otras mitigaciones de los proveedores para las vulnerabilidades en los sistemas operativos de las estaciones de trabajo, los servidores y los dispositivos de red se aplican en el plazo de un mes a partir de su publicación.
Se sustituyen los sistemas operativos que los proveedores ya no admiten.

Nivel de desarrollo dos

Se utiliza un método automatizado de detección de activos al menos una vez cada quince días para facilitar la detección de activos en las actividades de análisis de vulnerabilidades posteriores.
Se utiliza un analizador de vulnerabilidades con una base de datos de vulnerabilidades actualizada para realizar las actividades de análisis de vulnerabilidades.
Se utiliza un analizador de vulnerabilidades al menos a diario para identificar los parches o las actualizaciones que faltan para las vulnerabilidades en los sistemas operativos de los servicios orientados a Internet.
Se utiliza un analizador de vulnerabilidades al menos semanalmente para identificar los parches o las actualizaciones que faltan para las vulnerabilidades en los sistemas operativos de las estaciones de trabajo, los servidores y los dispositivos de red.
Los parches, las actualizaciones u otras mitigaciones de los proveedores para las vulnerabilidades en los sistemas operativos de los servicios orientados a Internet se aplican a las dos semanas de su publicación o en un plazo de 48 horas si existe una vulnerabilidad.
Los parches, las actualizaciones u otras estrategias de mitigación de los proveedores para las vulnerabilidades en los sistemas operativos de las estaciones de trabajo, los servidores y los dispositivos de red se aplican en el plazo de dos semanas a partir de su publicación.
Se sustituyen los sistemas operativos que los proveedores ya no admiten.

Nivel de desarrollo tres

Se utiliza un método automatizado de detección de activos al menos una vez cada quince días para facilitar la detección de activos en las actividades de análisis de vulnerabilidades posteriores.
Se utiliza un analizador de vulnerabilidades con una base de datos de vulnerabilidades actualizada para realizar las actividades de análisis de vulnerabilidades.
Se utiliza un analizador de vulnerabilidades al menos a diario para identificar los parches o las actualizaciones que faltan para las vulnerabilidades en los sistemas operativos de los servicios orientados a Internet.
Se utiliza un analizador de vulnerabilidades al menos semanalmente para identificar los parches o las actualizaciones que faltan para las vulnerabilidades en los sistemas operativos de las estaciones de trabajo, los servidores y los dispositivos de red.
Los parches, las actualizaciones u otras mitigaciones de los proveedores para las vulnerabilidades en los sistemas operativos de los servicios orientados a Internet se aplican a las dos semanas de su publicación o en un plazo de 48 horas si existe una vulnerabilidad.
Los parches, las actualizaciones u otras mitigaciones de los proveedores para las vulnerabilidades en los sistemas operativos de las estaciones de trabajo, los servidores y los dispositivos de red se aplican a las dos semanas de su publicación o en un plazo de 48 horas si existe una vulnerabilidad.
Se utiliza la versión más reciente, o la anterior, de los sistemas operativos. Se sustituyen los sistemas operativos que los proveedores ya no admiten.

Respuesta de Atlassian

En todas nuestras ofertas de productos y servicios, contamos con un extenso proceso de corrección de errores (utilizamos Jira, nuestro propio producto, que detecta las incidencias y nos ayuda a gestionar la resolución de las solicitudes). Nos respaldan numerosas políticas de corrección de errores de seguridad, servicios de asesoramiento y SLO con los que cumplimos. Recibimos los informes de errores a través de nuestro canal de soporte, nuestro programa de recompensas por errores y security@atlassian.com. Encontrarás más información en nuestro Trust Center sobre nuestros SLO de solución de errores de seguridad.

Encontrarás más información sobre nuestro enfoque de pruebas de seguridad en nuestro Trust Center en: Enfoque sobre las pruebas de seguridad externas

Nuestro equipo de seguridad en Atlassian utiliza varios métodos para detectar vulnerabilidades en la infraestructura interna y externa. Los tickets de Jira se crean con fines de seguimiento y corrección y las fechas de vencimiento se asignan de acuerdo con nuestro SLO en función de la gravedad y el origen de la vulnerabilidad. Contamos con un proceso continuo de emisión de tickets de las vulnerabilidades identificadas a los propietarios del sistema; nuestro equipo de gestión de seguridad revisa cualquier vulnerabilidad comunicada y se asegura de que se tomen las medidas necesarias para solucionarla.

Autenticación multifactor

Nivel de desarrollo uno

La autenticación multifactor la utilizan los usuarios de una organización cuando se autentican en los servicios de Internet de esta.
La autenticación multifactor la utilizan los usuarios de una organización cuando se autentican en servicios de terceros con acceso a Internet que procesan, almacenan o comunican los datos confidenciales de su organización.
La autenticación multifactor (cuando está disponible) la utilizan los usuarios de una organización cuando se autentican en servicios de terceros con acceso a Internet que procesan, almacenan o comunican los datos no confidenciales de su organización.
La autenticación multifactor está habilitada de forma predeterminada para los usuarios de una organización que no pertenecen a la organización (pero pueden optar por no participar) cuando se autentican en los servicios de Internet de la organización.

Nivel de desarrollo dos

La autenticación multifactor la utilizan los usuarios de una organización cuando se autentican en los servicios de Internet de esta.
La autenticación multifactor la utilizan los usuarios de una organización cuando se autentican en servicios de terceros con acceso a Internet que procesan, almacenan o comunican los datos confidenciales de su organización.
La autenticación multifactor (cuando está disponible) la utilizan los usuarios de una organización cuando se autentican en servicios de terceros con acceso a Internet que procesan, almacenan o comunican los datos no confidenciales de su organización.
La autenticación multifactor está habilitada de forma predeterminada para los usuarios de una organización que no pertenecen a la organización (pero pueden optar por no participar) cuando se autentican en los servicios de Internet de la organización.
La autenticación multifactor se utiliza para autenticar a los usuarios privilegiados de los sistemas.
La autenticación multifactor utiliza: algo que los usuarios tienen y algo que los usuarios conocen, o algo que tienen los usuarios que se desbloquea con algo que los usuarios conocen o son.
Se registran los eventos correctos y fallidos de autenticación multifactor.

Nivel de desarrollo tres

La autenticación multifactor la utilizan los usuarios de una organización cuando se autentican en los servicios de Internet de esta.
La autenticación multifactor la utilizan los usuarios de una organización cuando se autentican en servicios de terceros con acceso a Internet que procesan, almacenan o comunican los datos confidenciales de su organización.
La autenticación multifactor (cuando está disponible) la utilizan los usuarios de una organización cuando se autentican en servicios de terceros con acceso a Internet que procesan, almacenan o comunican los datos no confidenciales de su organización.
La autenticación multifactor está habilitada de forma predeterminada para los usuarios de una organización que no pertenecen a la organización (pero pueden optar por no participar) cuando se autentican en los servicios de Internet de la organización.
La autenticación multifactor se utiliza para autenticar a los usuarios privilegiados de los sistemas.
La autenticación multifactor se utiliza para autenticar a los usuarios de importantes repositorios de datos.
La autenticación multifactor es resistente a ataques de suplantación de identidad y utiliza: algo que los usuarios tienen y algo que los usuarios conocen, o algo que tienen los usuarios que se desbloquea con algo que los usuarios conocen o son.
Se registran de forma centralizada los eventos correctos y fallidos de autenticación multifactor.
Los registros de eventos están protegidos contra las modificaciones y las eliminaciones no autorizadas.
Los registros de eventos se supervisan en busca de señales de compromiso y se accionan cuando se detecta alguna señal de compromiso.

Respuesta de Atlassian

La autenticación multifactor está disponible para cuentas individuales en Confluence y Jira. Para obtener más información sobre cómo habilitar la autenticación multifactor, consulta: Aplicar la verificación en dos pasos.

BBC sigue siendo compatible con la autenticación en dos fases desde febrero de 2022 y, en general, está integrada con Atlassian Access y es compatible con las funciones adicionales que se ofrecen a través de Access. La autenticación multifactor forzada se puede configurar a nivel organizativo con Atlassian Access. Para obtener más información, consulta: Aplicar la verificación en dos pasos

En relación con productos específicos,

Bitbucket admite el uso de opciones de inicio de sesión único basadas en la autenticación multifactor. Para obtener más información, consulta: Aplicar verificación en dos pasos | Bitbucket Cloud

Halp utiliza el inicio de sesión único a través de Slack, OAuth y MS Teams. Slack y MS Teams ofrecen varias opciones de autenticación multifactor. Para obtener más información, consulta: Inicio de sesión único de SAML y Azure AD Connect: inicio de sesión único perfecto

Opsgenie admite el uso de opciones de inicio de sesión único basadas en autenticación multifactor. Para obtener más información, consulta: Configurar el inicio de sesión único para Opsgenie

Statuspage admite el uso de opciones de inicio de sesión único basadas en autenticación multifactor.

Trello admite la autenticación multifactor. Para obtener más información sobre cómo habilitar la autenticación multifactor, consulta: Activar la autenticación de dos fases para tu cuenta de Trello

Jira Align admite el uso de opciones de inicio de sesión único basadas en autenticación multifactor.

Copias de seguridad periódicas

Nivel de desarrollo uno

Las copias de seguridad de los datos importantes, el software y la configuración se realizan y conservan con una frecuencia y un plazo de retención de acuerdo con los requisitos de continuidad empresarial.
Las copias de seguridad de los datos importantes, el software y la configuración se sincronizan para poder restaurarlos a un punto temporal común.
Las copias de seguridad de los datos importantes, el software y la configuración se conservan de forma segura y resiliente.
La restauración de los datos importantes, el software y la configuración de las copias de seguridad a un punto temporal común se pone a prueba como parte de los ejercicios de recuperación ante desastres.
Las cuentas sin privilegios no pueden acceder a las copias de seguridad de otras cuentas.
Las cuentas sin privilegios no pueden modificar ni eliminar las copias de seguridad.

Nivel de desarrollo dos

Las copias de seguridad de los datos importantes, el software y la configuración se realizan y conservan con una frecuencia y un plazo de retención de acuerdo con los requisitos de continuidad empresarial.
Las copias de seguridad de los datos importantes, el software y la configuración se sincronizan para poder restaurarlos a un punto temporal común.
Las copias de seguridad de los datos importantes, el software y la configuración se conservan de forma segura y resiliente.
La restauración de los datos importantes, el software y la configuración de las copias de seguridad a un punto temporal común se pone a prueba como parte de los ejercicios de recuperación ante desastres.
Las cuentas sin privilegios no pueden acceder a las copias de seguridad de otras cuentas.
Las cuentas con privilegios (excepto las cuentas de administrador de respaldo) no pueden acceder a las copias de seguridad que pertenecen a otras cuentas.
Las cuentas sin privilegios no pueden modificar ni eliminar las copias de seguridad.
Las cuentas con privilegios (excepto las cuentas de administrador de respaldo) no pueden modificar ni eliminar las copias de seguridad.

Nivel de desarrollo tres

Las copias de seguridad de los datos importantes, el software y la configuración se realizan y conservan con una frecuencia y un plazo de retención de acuerdo con los requisitos de continuidad empresarial.
Las copias de seguridad de los datos importantes, el software y la configuración se sincronizan para poder restaurarlos a un punto temporal común.
Las copias de seguridad de los datos importantes, el software y la configuración se conservan de forma segura y resiliente.
La restauración de los datos importantes, el software y la configuración de las copias de seguridad a un punto temporal común se pone a prueba como parte de los ejercicios de recuperación ante desastres.
Las cuentas sin privilegios no pueden acceder a las copias de seguridad de otras cuentas ni a las suyas propias.
Las cuentas con privilegios (excepto las cuentas de administrador de respaldo) no pueden acceder a las copias de seguridad de otras cuentas ni a las suyas propias.
Las cuentas sin privilegios no pueden modificar ni eliminar las copias de seguridad. Las cuentas con privilegios (incluidas las cuentas de administrador de respaldo) no pueden modificar ni eliminar las copias de seguridad durante su período de retención.

Respuesta de Atlassian

Atlassian mantiene un estándar de retención y destrucción de datos que determina cuánto tiempo necesitamos conservar los distintos tipos de datos. Los datos se clasifican de acuerdo con nuestra política de seguridad de datos y ciclo de vida de la información de Atlassian y los controles se implementan en función de ella.
En cuanto a los datos de los clientes, al rescindir un contrato de Atlassian, los datos que pertenezcan al equipo del cliente se eliminarán de la base de datos de producción en vivo y todos los archivos adjuntos subidos directamente a Atlassian se eliminarán en un plazo de 14 días. Los datos del equipo permanecerán en copias de seguridad cifradas hasta que esas copias de seguridad superen el período de retención de 60 días y se destruyan de acuerdo con la política de retención de datos de Atlassian. En caso de que sea necesario restaurar una base de datos en un plazo de 60 días a partir de la solicitud de eliminación de los datos, el equipo de operaciones volverá a borrar los datos en cuanto sea razonablemente posible una vez que el sistema de producción en vivo esté completamente restaurado. Para obtener más información, consulta: Supervisar el almacenamiento y transferir datos entre productos

Contenido destacado

Jira

Confluence

Jira Service Management

Trello

Rovo NUEVO

Jira Product Discovery NUEVO

Compass NUEVO

Guard NUEVO

Loom NUEVO

Desarrolladores

Jira

Bitbucket

Compass NUEVO

Gestores de productos

Jira

Confluence

Jira Product Discovery NUEVO

Profesionales de TI

Jira Service Management

Guard NUEVO

Equipos empresariales

Jira

Confluence

Trello

Loom NUEVO

Equipos de liderazgo

Jira Align

Jira

Confluence

Loom NUEVO

Equipos

software

Marketing

TI

Solución

Por tamaño del equipo

Por sector

¿Por qué Atlassian?

Integraciones

Clientes

FedRAMP

Resistencia

Plataforma

Trust Center

Recursos

Atención al cliente

Buscar un Partner

Programa de migración

Universidad

Soporte

Tutorial

ACSC - Essential 8 Maturity Model - Revisión de las directrices de 2023

Estrategia de mitigación

Nivel de desarrollo uno

Nivel de desarrollo dos

Nivel de desarrollo tres

Respuesta de Atlassian

Productos

Recursos

Tutorial