Reducción de los riesgos y las vulnerabilidades, realización de evaluaciones técnicas y no técnicas periódicas en respuesta a cambios operativos o del entorno

Cada año hacemos una evaluación de brechas, actualizamos nuestro análisis de riesgos de seguridad y obtenemos una certificación HIPAA de una autoridad de certificación independiente.

Llevamos a cabo evaluaciones de riesgos que incluyen la identificación, evaluación, asignación, aceptación, corrección y otras actividades de gestión relevantes para garantizar que operamos dentro del margen de riesgo acordado y de acuerdo con los requisitos legales y normativos pertinentes. Evaluamos continuamente el diseño de las estrategias de control y mitigación, lo que incluye la recomendación de cambios en el entorno de control. Contamos con una matriz de riesgos y controles que está incluida en nuestra herramienta de control, riesgo y cumplimiento (GRC).

Verificación de antecedentes y procedimientos de rescisión adecuados

De acuerdo con nuestra política global, las nuevas incorporaciones al equipo de Atlassian deben pasar por un proceso de verificación de antecedentes al aceptar una oferta de empleo. Esta verificación consiste en un amplio conjunto de comprobaciones de antecedentes de los empleados nuevos y los contratistas independientes.

Los empleados y contratistas que tienen acceso a información confidencial están sujetos a sus contratos de trabajo y a los acuerdos de confidencialidad para garantizar que las responsabilidades y obligaciones relacionadas con la seguridad de la información sigan vigentes después del despido, cambio de empleo o fin de la relación contractual.

Sanciones a miembros del personal

Durante la incorporación, los nuevos empleados deben aceptar nuestra política de código de conducta y ética y hacer la formación sobre seguridad. Existen sanciones formales que se aplican a las personas que no cumplen con las políticas y los procedimientos establecidos en materia de seguridad de la información.

Autorización de acceso para empleados que trabajan con información médica protegida electrónica

La pertenencia a roles de Active Directory se asigna automáticamente según el departamento y el equipo del usuario y está restringida a las personas que necesitan ese tipo de acceso. Si un usuario cambia de equipo, se genera una alerta que, en caso necesario, activa el seguimiento y la eliminación del acceso heredado. Los propietarios de sistemas o servicios han sido designados como aprobadores y pueden conceder o modificar el acceso de los usuarios dentro de los niveles de acceso de Active Directory para varios sistemas.

El acceso con privilegios a los entornos de producción está restringido a los usuarios autorizados y apropiados.

El acceso a la red y a las herramientas internas está restringido a los usuarios autorizados mediante medidas de acceso lógico. Cada cuenta de usuario debe:

• Tener una cuenta de Active Directory activa
• Estar incluida en el grupo de Active Directory apropiado

Concesión adecuada de acceso (privilegios mínimos)

Finalización de la sesión después de un tiempo de inactividad predeterminado

Las aplicaciones móviles y de escritorio tienen un tiempo de espera máximo para la sesión del usuario de acuerdo con nuestros procedimientos operativos estándar (de 8 a 24 horas para las sesiones de escritorio y de 30 a 90 días para las sesiones en dispositivos móviles).

Transcurrido este tiempo, aparece un protector de pantalla para los terminales de macOS y Windows que se desbloquea mediante contraseña.

Registro y detección de auditoría (se incluye el control de los intentos de inicio de sesión)

Conservamos y protegemos los registros de eventos frente a pérdidas o manipulaciones. Revisamos el acceso a los registros periódicamente. Hemos activado los registros en nuestro entorno de AWS y enviamos esos registros a Splunk. Hemos implementado alertas automatizadas para eventos de AWS, Jira y Confluence Cloud en función de los incidentes y eventos de seguridad anteriores ya conocidos.

Disponemos de un proceso de revisión para ajustar y optimizar nuestras alertas y para eliminar los falsos positivos. Contamos con un ingeniero de automatización especializado que se encarga de agilizar el proceso de clasificación y desarrollo de las alertas.

Identificación y respuesta ante incidentes de seguridad sospechados o conocidos. Mitigación y documentación de los incidentes y sus consecuencias.

Junto con el equipo de seguridad responsable del programa, hemos implementado un proceso de gestión de incidentes a nivel de toda la organización que consiste en:

• Registrar cada acción en el sistema de gestión de incidentes con un ticket de incidente cuando se gestiona un incidente. Los registros deben incluir:
  • La hora de inicio del incidente
  • Descripción del incidente
  • "Severity" (Gravedad)
  • Los servicios afectados
  • Impacto
  • El número de clientes afectados
  • "Root cause" (Origen del problema)
  • Las medidas que se han tomado
  • Los SLO afectados (funciones afectadas)
• Asociar los problemas, cuando sea posible, con la causa subyacente o agruparlos con los incidentes principales.
• Hacer una revisión posterior al incidente (PIR) después de incidentes graves y críticos.

Designación de una persona para que se encargue del desarrollo y la implementación del programa de cumplimiento en materia de seguridad de la HIPAA

Contamos con un agente de seguridad de la HIPAA especializado que comprende sus responsabilidades, la regla de seguridad HIPAA y cómo se aplican esas normas a nuestros productos.

Designación de una persona responsable del desarrollo y la implementación del programa de cumplimiento en materia de privacidad de la HIPAA

Contamos con un agente de privacidad de la HIPAA especializado que comprende sus responsabilidades, las normas de privacidad de la HIPAA y cómo se aplican esas normas a nuestros productos.

Formación de concienciación de los usuarios

Como parte del programa de concienciación en materia de seguridad de Atlassian, todos los empleados deben hacer la formación cada año. Además, también facilitamos ejercicios de concienciación relacionados con la seguridad y comunicaciones ad hoc durante todo el año.

Procedimientos para garantizar la continuidad de los procesos empresariales críticos

Hemos definido, revisado y probado procedimientos para la recuperación ante desastres. La política describe, de forma general, el propósito, los objetivos, el alcance, el tiempo de recuperación objetivo, el punto de recuperación objetivo y las funciones o responsabilidades. Probamos los planes oficiales de continuidad del negocio y de recuperación ante desastres trimestralmente. Para respaldar los componentes del plan de contingencia, evaluamos anualmente los servicios y sistemas para determinar su importancia.

Realizamos y probamos copias de seguridad y restauraciones de aplicaciones, sistemas y configuraciones asociados con los activos de Atlassian de acuerdo con nuestros procedimientos operativos estándar.

Los contratos de socio comercial incluyen garantías suficientes de que Atlassian y los proveedores externos protegerán tus datos de forma adecuada

Garantizamos que protegeremos adecuadamente tu información y solo la utilizaremos o divulgaremos según se permita o se requiera siempre que creemos, recibamos, mantengamos o transmitamos información médica protegida en tu nombre. Estas garantías se recogen en los contratos de socio comercial que firmemos contigo. También hemos creado una Guía de implementación que ofrece instrucciones a los clientes sobre cómo deben usar y configurar nuestros servicios para asegurarse de que también ellos protegen adecuadamente la información.

Además, nos aseguramos de que los proveedores externos correspondientes protejan tu información médica protegida solicitándoles que firmen un contrato de socio comercial con nosotros.

Protección de las instalaciones y los equipos físicos frente a robos o manipulación

El personal y los contratistas reciben un distintivo de seguridad durante la incorporación para poder tener acceso a las instalaciones. En caso de rescisión del contrato, nuestro sistema de información de recursos humanos cierra el perfil de la persona en cuestión y revoca automáticamente el acceso físico.

Facilitamos pases temporales a los visitantes de las instalaciones locales, que deben devolverse a la salida del edificio. Si los pases no se devuelven, los cancelaremos automáticamente.

Implementación de protecciones físicas para todos los puestos de trabajo que acceden a información médica protegida electrónica

Hemos implementado una red de confianza cero para permitir el acceso únicamente a dispositivos conocidos que estén inscritos en una plataforma de gestión. Además, hemos asignado niveles de seguridad a nuestras aplicaciones según los datos que almacenan y los sistemas a los que se conectan. La clasificación por niveles de la red es la siguiente: Nivel alto, Nivel bajo y Nivel abierto. El tipo de dispositivo y su postura de seguridad se evalúan para determinar a qué aplicaciones puede acceder.

Gestionamos el cifrado de disco, el bloqueo de contraseñas y los parches de seguridad en todos los portátiles macOS y Windows.

También hemos configurado los dispositivos de almacenamiento USB como de solo lectura en todos los equipos macOS y Windows registrados por Atlassian.

Procedimientos para la disposición final de la información médica protegida electrónica y el hardware en el que se almacena

Borramos cualquier portátil devuelto antes de reutilizarlo o de desecharlo. También contamos con un procedimiento de pérdida o robo de portátiles para evitar el robo de datos.

Conservación de la documentación durante 6 años a partir de la fecha de creación o de la fecha en la que entró en vigor por última vez

Todas nuestras políticas las revisa el responsable de políticas designado al menos una vez al año, y se conservan indefinidamente. Para echar un vistazo a nuestras políticas, consulta la página Nuestras políticas de seguridad y tecnología en Atlassian.

También puedes consultar nuestra política de privacidad aquí.

Medidas de seguridad para garantizar que la información médica protegida electrónica no se modifique indebidamente

Ciframos en reposo todos los datos de los productos en la nube que cumplen con los requisitos de la HIPAA. Además, ciframos los datos transmitidos a través de redes públicas y nos aseguramos de que lleguen a su destino.

Los usuarios externos se conectan a los productos en la nube que cumplen con los requisitos de HIPAA a través de tráfico cifrado mediante el protocolo SSL.

Mecanismos para cifrar la información médica protegida electrónica cuando se considere necesario