Nuestras políticas de seguridad y tecnología en Atlassian
En Atlassian hemos establecido un programa de gestión de seguridad de la información (ISMP, Information Security Management Program) en el que se exponen los principios y las reglas que rigen nuestros programas de confianza y seguridad. Para lograr este fin, evaluamos continuamente los riesgos de nuestras operaciones y mejoramos la seguridad, la confidencialidad, la integridad y la disponibilidad de nuestro entorno de Atlassian. Revisamos y actualizamos periódicamente las políticas de seguridad, realizamos pruebas de seguridad de las aplicaciones y las redes de nuestro entorno, y monitorizamos el cumplimiento de las políticas de seguridad.
A continuación, se muestra una lista y una breve descripción de las principales políticas de seguridad y tecnología que hemos implantado en Atlassian para nuestros entornos internos y en la nube.
Política de seguridad, riesgo y gobernanza
En esta política se establecen los principios y directrices generales por los que se gestiona la seguridad en Atlassian.
Aquí tienes un resumen de los principios básicos:
- Gestionaremos el acceso a la información de la empresa y a la del cliente en función de las necesidades empresariales y de acuerdo con los valores de Atlassian.
- En Atlassian implantaremos una serie de controles para gestionar la implementación de la seguridad de conformidad con nuestra política.
- En Atlassian revisaremos periódicamente los riesgos y la eficacia de los controles diseñados para gestionar dichos riesgos.
- Atlassian mantendrá el soporte y mostrará su compromiso por cumplir la legislación aplicable en materia de protección de información de identificación personal (PII) y los términos contractuales de los clientes de Cloud.
Gestión de accesos
En esta política se establecen los principios y directrices generales para gestionar los accesos.
Aquí tienes un resumen de los principios básicos:
- En Atlassian mantendremos una política de control de accesos en la que se exponga cómo gestionamos el acceso a los sistemas.
- Se utilizarán cuentas de usuario para gestionar el acceso.
- Todos los usuarios tienen la responsabilidad de gestionar el acceso a sus respectivos sistemas.
- Los sistemas se someterán a un registro y monitorización en busca de posibles accesos indebidos.
- El acceso remoto se habilitará mediante la autenticación de varios factores.
- Cuando corresponda, deberán separarse las obligaciones.
Gestión de activos
En esta política se establecen los principios y directrices generales para la gestión de los activos informáticos de Atlassian y la forma en que deben manejarse dichos activos.
Aquí tienes un resumen de los principios básicos de gestión de activos en Atlassian:
- En Atlassian mantendremos un inventario de los activos.
- Los activos conservados en una base de datos de gestión de activos tendrán propietarios identificados.
- Se identificará, documentará e implementará el uso aceptable de los activos.
- Los activos se devolverán a Atlassian si se extingue la relación laboral.
Continuidad empresarial y recuperación ante desastres
En esta política se plasman los principios generales que establecen nuestro enfoque hacia la resiliencia, la disponibilidad y la continuidad de los procesos, sistemas y servicios en Atlassian. Asimismo, en ella se definen los requisitos relativos a los procesos de continuidad empresarial, de recuperación ante desastres y de gestión de crisis.
Este es un resumen de los principios básicos:
- Los propietarios de los servicios, procesos o sistemas críticos deben garantizar una continuidad empresarial y/o una recuperación ante desastres adecuadas que concuerden con la tolerancia a las interrupciones en caso de desastre.
- Los planes de continuidad deben incluir un entorno apropiado de “último recurso”, que aporte (como mínimo) una funcionalidad básica, así como un plan en caso de que dicho entorno falle. También deben incluirse consideraciones para reanudar las actividades con normalidad.
- Ningún sistema, proceso o función fundamental debe poder implementarse en la producción sin un plan de continuidad adecuado
- Hay que probar los planes trimestralmente, así como identificar y solucionar las incidencias.
- El tiempo máximo de recuperación (RTO) comienza en el momento en que se detecta un evento y dura hasta que la funcionalidad básica vuelve a estar operativa. Los servicios se agrupan en niveles que definen el RTO y el RPO máximos.
Seguridad de las comunicaciones
En esta política se establecen los principios y directrices generales para gestionar la seguridad de nuestras comunicaciones y redes.
Aquí tienes un resumen de los principios básicos:
- El acceso a la red debe estar controlado.
- Se proporciona acceso a la red y todos los usuarios deben estar familiarizados con la política de comunicaciones y sistemas electrónicos.
- Las redes deben separarse en función de su criticidad.
Criptografía y cifrado
En esta política se establecen los principios generales para asegurar que Atlassian implemente el cifrado y la criptografía adecuados y, de este modo, garantizar la confidencialidad de los datos más importantes. En Atlassian implementamos mecanismos criptográficos para mitigar los riesgos que implica el almacenamiento de información confidencial y su transmisión a través de redes, incluidas las de acceso público (como, por ejemplo, Internet). Facilitar el uso de tecnologías de cifrado fiables, seguras y de eficacia probada es un objetivo clave de este estándar para reducir el riesgo de acceso no autorizado o modificación de información confidencial de la empresa.
Aquí tienes un resumen de los principios básicos:
- Los datos confidenciales deben cifrarse adecuadamente.
- La seguridad del cifrado seleccionado debe corresponderse con la clasificación de la información.
- Las claves criptográficas se gestionarán de forma segura.
- Solo se utilizarán algoritmos criptográficos y módulos de software aprobados.
Clasificación de datos
Esta política establece y define las calificaciones de la clasificación de datos e incluye descripciones, ejemplos, requisitos y pautas con respecto al tratamiento de los datos incluidos en cada calificación. Las calificaciones de la clasificación de datos se basan en los requisitos legales, la confidencialidad, el valor y la importancia de los datos para Atlassian y para nuestros clientes, partners y proveedores.
Aquí tienes un resumen de los principios básicos:
- Los datos deben clasificarse en términos de requisitos legales, valor e importancia para Atlassian.
- Los datos deben identificarse, etiquetarse y mantenerse actualizados en un mapa de flujo de datos para garantizar que se gestionan de forma adecuada.
- Los medios que se vayan a desechar deben borrarse de forma segura.
- Los medios que contengan información de la empresa deben protegerse para que nadie acceda a ellos sin autorización, para que nadie los use indebidamente y para que no se dañen durante el transporte.
Dispositivos móviles y Bring Your Own Device (BYOD)
En esta política se establecen los principios y directrices generales para usar dispositivos personales con redes y sistemas de Atlassian.
Este es un resumen de los principios básicos:
- El objetivo de esta política de Bring Your Own Device (BYOD, uso de dispositivos personales para trabajar) es que sea tan discreta y flexible como sea posible con respecto al uso de BYOD para mantener la autonomía de los Atlassians y que, al mismo tiempo, asegure que tengamos la capacidad de proteger los datos de nuestros clientes y de la empresa.
- Teniendo esto en cuenta, nos centraremos en comprobar la configuración y la postura, así como en supervisar la conformidad de los dispositivos, aplicando los principios menos restrictivos que permitan lograr razonablemente los objetivos de seguridad requeridos, en vez de imponer restricciones. En los casos en los que haya que aplicar restricciones, esto se hará de forma selectiva en función de los datos a los que se pueda acceder.
- De que esta política satisfaga nuestras necesidades actuales y las previstas en el futuro. Es posible que algunas de las capacidades descritas no se implementen inmediatamente.
Operaciones
En esta política se establecen los principios y directrices generales para las prácticas operativas tecnológicas en Atlassian.
Aquí tienes un resumen de los principios básicos:
- Hay que documentar los procedimientos relativos a las actividades operativas.
- Hay que efectuar copias de seguridad con regularidad y probarlas.
- Los cambios deben gestionarlos y evaluarlos varias personas.
- Hay que evaluar y planificar la capacidad.
- Hay que limitar la instalación de software y restringir el software innecesario.
- Hay que configurar los registros y reenviarlos a la plataforma de registro centralizada.
- Hay que gestionar cualquier incidente operativo conforme a nuestro proceso HOT estándar.
Seguridad del personal
En esta política se establecen los principios y directrices generales de seguridad personal en Atlassian.
Aquí tienes un resumen de los principios básicos:
- De que las responsabilidades en materia de seguridad queden delimitadas en las definiciones de los puestos de trabajo.
- Todos los empleados y usuarios harán periódicamente cursos de concienciación sobre seguridad.
- De que todos los empleados y contratistas tengan el deber de informar sobre incidentes de seguridad o debilidades.
- De que, una vez rescindida la relación laboral con un empleado, el acceso a los activos y su devolución se produzca en un plazo razonable.
Seguridad física y ambiental
En esta política se establecen los principios y directrices generales para proteger nuestros edificios, nuestras oficinas y nuestros equipos.
Aquí tienes un resumen de los principios básicos:
- Proporcionar áreas de trabajo seguras.
- Proteger nuestros equipos informáticos dondequiera que estén.
- Restringir el acceso a nuestros edificios y oficinas.
Privacidad
En esta política se establecen los principios para garantizar que Atlassian implemente las medidas de seguridad adecuadas para proteger la confidencialidad de los datos.
En Atlassian sabemos que, a pesar de que el cifrado y otras tecnologías de mejora de la privacidad (PET) son herramientas potentes, hay que analizar detenidamente la elección e implementación de estas tecnologías. Nuestro enfoque para la privacidad basado en el riesgo tiene en cuenta la naturaleza, el alcance, el contexto y la finalidad del tratamiento de los datos, así como la probabilidad y la gravedad de los riesgos para los derechos y libertades de las personas físicas.
Aquí tienes un resumen de los principios básicos:
- Las PET deben elegirse de acuerdo con un enfoque basado en el riesgo.
- Las PET no deben impedir que Atlassian cumpla con los requisitos legales relativos a los derechos de privacidad.
- Las PET no deben afectar a la seguridad de los sistemas y servicios que procesan datos.
- Las PET no deben afectar a la capacidad de restaurar el acceso y la disponibilidad de los datos privados en caso de vulneración de los datos.
- Las PET deben permitir realizar pruebas, análisis y evaluaciones periódicos de la eficacia.
Gestión de incidentes de seguridad
En esta política se establecen los principios y directrices generales para garantizar que en Atlassian reaccionemos adecuadamente ante cualquier incidente de seguridad real o posible. Tenemos la responsabilidad de supervisar los incidentes que se produzcan dentro de la organización y que puedan infringir la confidencialidad, la integridad o la disponibilidad de la información o de los sistemas de información. Hay que notificar y evaluar todos los posibles incidentes. El objetivo de esta política es que el equipo de seguridad de Atlassian pueda limitar la duración y el impacto negativo de dichos incidentes en Atlassian y sus clientes, así como aprender de ellos.
Aquí tienes un resumen de los principios básicos:
- Prever los incidentes de seguridad y prepararse para afrontarlos.
- Contener los incidentes, erradicarlos y recuperarse de ellos.
- Invertir en nuestro personal, nuestros procesos y nuestras tecnologías para asegurarnos de que tenemos la capacidad de detectar y analizar un incidente en cuanto se produzca.
- Establecer como máxima prioridad la protección de los datos personales y de los clientes durante los incidentes de seguridad.
- Probar periódicamente el proceso de respuesta ante incidentes de seguridad.
- Aprender de la función de gestión de incidentes de seguridad y mejorarla.
- Comunicar los incidentes de seguridad críticos al equipo de liderazgo de Atlassian.
Gestión de proveedores
Esta política establece los principios y directrices generales para seleccionar, contratar y supervisar a los proveedores, así como para poner fin a la colaboración con ellos.
Entre los principios básicos se incluyen los siguientes:
- De gestionar con resolución nuestro proceso de selección de proveedores.
- Todos los proveedores deben incorporarse y gestionarse de acuerdo con los procesos de evaluación de riesgos y diligencia debida para proveedores de Atlassian.
- De que el propietario de la empresa que solicite la relación de proveedor se responsabilice de utilizar los contratos estándares de Atlassian.
- Atlassian supervisará dicha relación para asegurarse de que cumpla con nuestros estándares.
- Atlassian se reserva el derecho a rescindir el contrato con cualquier proveedor cuando el servicio deje de ser necesario.
Adquisición, desarrollo y mantenimiento de sistemas
En esta política se establecen los principios y directrices generales para desarrollar aplicaciones, tanto internas como dirigidas a los clientes, así como para crear limitaciones sobre cómo gestionar los entornos de preproducción y para incorporar software de código abierto en cualquiera de nuestros productos y servicios.
Este es un resumen de los principios básicos:
- Se incluirán e incorporarán requisitos de seguridad en cualquier proceso de desarrollo o adquisición de entornos o aplicaciones.
- El desarrollo de productos seguirá nuestro proceso interno de control de calidad, el cual incluye la integración de comprobaciones de seguridad.
- Los datos de producción restringidos de acuerdo con la política de gestión de la seguridad de los datos y del ciclo de vida de la información se anonimizarán o enmascararán cuando se utilicen en entornos de preproducción.
- La integración de cualquier biblioteca o marco de código abierto seguirá nuestro estándar interno acerca del uso de código de terceros en un producto de Atlassian.
Gestión de amenazas y vulnerabilidades
En esta política se establecen los principios y directrices generales para gestionar las amenazas y vulnerabilidades de seguridad, tanto en nuestro entorno como en nuestros productos.
Aquí tienes un resumen de los principios básicos:
- Gestionar las vulnerabilidades de seguridad de nuestros productos y servicios, lo que incluye la publicación de actualizaciones, parches o recomendaciones.
- Gestionar las amenazas y vulnerabilidades de seguridad en todo nuestro entorno, tanto en los entornos internos como en los alojados.
- Gestionar las amenazas de malware en el entorno.
Gestión de auditorías y del cumplimiento normativo
Esta política establece los principios generales para gestionar y auditar el cumplimiento de los controles de Atlassian.
Aquí tienes un resumen de los principios básicos:
- Implementamos controles para gestionar adecuadamente el riesgo y garantizar el cumplimiento de las políticas, las normas y los estándares externos del sector pertinentes.
- Utilizamos las auditorías como una forma de verificar la idoneidad y la eficacia operativa de nuestros controles.
- Coordinar y llevar a cabo adecuadamente las auditorías para alcanzar un elevado nivel de confianza en nuestro entorno de control, así como para lograr certificaciones internas o externas.
- Solicitamos la validación externa de nuestros controles.
- Mantenemos una visión unificada de todos nuestros objetivos, actividades y pruebas de control relevantes.