Nuestras responsabilidades sobre incidentes de seguridad de Atlassian
Introducción
Al igual que cualquier otro proveedor de servicios en la nube, hacemos todo lo posible para asegurarnos de que nuestros clientes no experimenten interrupciones del servicio o incidentes de seguridad. Sin embargo, sabemos que estos pueden producirse. Es importante para nosotros que los clientes entiendan cómo encajan en nuestro proceso de respuesta ante incidentes de seguridad y qué responsabilidades tienen en el transcurso de un incidente. Nos preparamos para lo peor, de modo que, si algo ocurre, estamos preparados y no #@!% a nuestro cliente.
Hacemos todo lo posible por gestionar la totalidad de cualquier incidente de seguridad que afecte a nuestros servicios e infraestructura. Tomamos todas las medidas que sean necesarias, desde la detección de la infracción hasta la contención e incluso su divulgación. Sin embargo, no podemos verlo todo; a veces necesitamos que nuestros clientes nos informen de un incidente o la ayuda de una consultoría externa para poder ofrecer habilidades de investigación o periciales especializadas.
Funciones
Hemos revisado y utilizado una serie de modelos de gestión de incidentes de seguridad para asegurarnos de que nuestros procesos de respuesta ante incidentes no solo sean exhaustivos, sino de primer nivel. Hemos sacado las actividades más significativas de esos modelos y hemos descrito la responsabilidad de cada una.
Parte | Función | Descripción |
|---|---|---|
| Atlassian | Función Coordinador de respuesta ante incidentes de seguridad | Descripción Cada incidente de seguridad cuenta con un coordinador principal de incidentes de nuestro equipo de seguridad de Atlassian, que toma las decisiones de seguridad, supervisa el proceso y asigna las tareas. |
| Atlassian | Función Analista de incidentes de seguridad | Descripción Los analistas de seguridad realizan la mayoría de las investigaciones y los análisis de los incidentes. Cuando hay incidentes menores, el coordinador de respuesta ante incidentes de seguridad suele asumir el papel. |
| Atlassian | Función Responsable de comunicación con los clientes | Descripción Se asigna un responsable de comunicación con los clientes para cada incidente, que decide cómo se debe interactuar con los clientes. Por lo general, esta persona también se encarga de gran parte de la comunicación con los clientes. |
| Atlassian | Función Equipo rojo | Descripción El equipo rojo de Atlassian imita a los ciberadversarios del mundo real y ejecuta simulaciones diseñadas para evaluar e identificar las mejoras en nuestras propias capacidades de detección y respuesta. |
| Atlassian | Función Asesor de apoyo | Descripción Los equipos de gestión de incidentes de seguridad de Atlassian buscan el consejo de varios expertos internos en la materia (p. ej., legislación, privacidad, riesgos, recursos humanos, etc.). Estos asesores ofrecen orientación especializada sobre temas que afectan a sus áreas de especialización. |
| Consultoría de seguridad | Función Consultor | Descripción Atlassian contrata los servicios de una consultora especializada en ciberseguridad si se produce un incidente. La consultoría suele proporcionar recursos adicionales en caso de escasez, capacidades especializadas si no se dispone de ellas internamente y asesoramiento y revisión independientes de los incidentes. |
| Cliente | Función Informador | Descripción Se anima a los clientes a denunciar cualquier acceso no autorizado o comportamiento malintencionado a los activos de Atlassian. |
| Cliente | Función Contacto de seguridad | Descripción Si se confirma un incidente que afecta a un cliente, se informará al contacto de seguridad del cliente. El contacto de seguridad suele ser el contacto técnico de la cuenta, pero puede cambiar si el cliente tiene un equipo de seguridad específico. El contacto de seguridad asegura que el cliente gestione el incidente adecuadamente fuera del alcance de los activos de Atlassian. |
Responsabilidades
Definimos nuestras responsabilidades de gestión de incidentes de seguridad utilizando el modelo RACI. Si bien hacemos todo lo posible para cumplir con nuestras responsabilidades definidas, los clientes son responsables en última instancia de la seguridad de sus datos según el Acuerdo de Cliente de Atlassian.
- Encargada: la parte que hará el trabajo correspondiente para completar la tarea.
- Responsable: la parte responsable en última instancia de la finalización correcta y completa de la actividad.
- Consultada: la parte cuya opinión se solicita y con la que existe una comunicación bidireccional.
- Informada: la parte a la que se mantiene al día sobre el progreso y con la que solo existe una comunicación unidireccional.
Actividad | Atlassian | Cliente |
|---|---|---|
| Detección | Atlassian Responsable | Customer
|
| Evaluación | Atlassian Responsable | Customer
|
| Investigación | Atlassian Responsable | Customer
|
| Contención | Atlassian Responsable | Customer
|
| Erradicación | Atlassian Responsable | Cliente Destinatario de la información |
| Recuperación | Atlassian Responsable | Cliente Destinatario de la información |
| Notificación (al cliente) | Atlassian Responsable | Cliente Destinatario de la información |
| Notificación (a Atlassian) | Atlassian Destinatario de la información | Cliente Responsable |
| Mejora | Atlassian Responsable | Customer
|
| Pruebas | Atlassian Responsable | Customer
|
| Informes externos (aplicación de la ley y cumplimiento) | Atlassian Encargado, responsable | Cliente Destinatario de la información |
| Publicación de datos agregados | Atlassian Responsable | Cliente Destinatario de la información |