Nuestro Atlassian Trust Management System (ATMS)
Introducción a nuestro Atlassian Trust Management System (ATMS)
En Atlassian, estamos muy orgullosos de nuestros valores de empresa. Estos valores rigen todo lo que hacemos. Uno en particular que destaca es el de Empresa abierta, sin tonterías. Lo que este valor concreto representa es exactamente lo que se describe en nuestra página de Valores.
Sabemos que para compartir una opinión hace falta inteligencia (qué decir), consideración (cuándo decirlo) y sensibilidad (cómo decirlo) a partes iguales.
A menudo, escuchamos a nuestros clientes decir que les gustaría saber más acerca de cómo dirigimos nuestra empresa y nuestras operaciones. Nos gustaría emplear un tiempo en describir cómo dirigimos nuestro Trust Management Program o, como lo denomina el estándar de gestión de seguridad ISO27001, nuestro Atlassian Trust Management System (ATMS).
En Atlassian estamos orgullosos de ser un poco diferentes, ya sea por el exclusivo enfoque de ventas, los valores de nuestra compañía o la forma de abordar la filantropía. Hemos ampliado este enfoque a nuestro Trust Management Program.
¿Cuál es la importancia del programa de gestión estructurada?
Los sistemas de gestión son importantes, independientemente de que se evalúen sistemas de gestión de calidad, sistemas de gestión de defectos, el método kaizen de mejora continua o una metodología estructurada para evaluar la madurez de la capacidad. Estos programas de gestión se han probado in situ, publicado, revisado por compañeros y mejorado. El Atlassian Trust Management Program se basa en el estándar ISO27001: sistema de gestión de seguridad de la información. La base del estándar ISO27001 es:
este estándar internacional pueden utilizarlo agentes internos y externos para evaluar la capacidad de la organización de cumplir sus propios requisitos de seguridad de la información.
Utilidad de los estándares internacionales como guía (aunque no necesariamente como obligación)
Como sucede con los clientes de cualquier tipo de organización, especialmente si esta es responsable de alojar y gestionar sus datos, nuestros clientes se hacen muchas preguntas acerca de si Atlassian, como proveedor de servicios en la nube, se preocupa por la protección y confidencialidad de su información. Cualquier cliente que esté pensando en utilizar servicios en la nube se enfrenta a decisiones similares a la hora de alojar servicios o aplicaciones clave.
Si bien cada cliente tiene sus propios requisitos de seguridad, el Atlassian Trust Management System los tiene en cuenta y, así, obtiene un conjunto de requisitos exclusivos para nuestra empresa y nuestro entorno. El enfoque de ISO27001 con respecto a la planificación, el funcionamiento, la evaluación del rendimiento y la mejora permite examinar el programa de manera continuada y optimizarlo con el tiempo para poder afrontar las nuevas amenazas y requisitos, o para mejorar el rendimiento general de la operación.
Evaluamos los estándares internacionales como un conjunto de orientaciones bien estructuradas, pero analizamos cada uno de los controles y si estos son adecuados para nuestro entorno en particular. Tenemos un enfoque parecido a la hora de aplicar, de forma global, estos estándares internacionales en nuestro entorno.
Programa de gestión de políticas
La base del Trust Management System es nuestro Programa de gestión de políticas (PMP). Hemos estructurado nuestras políticas de modo que cubran los dominios tratados tanto por la norma ISO 27001 como por la Cloud Controls Matrix (matriz de controles en la nube, o CCM) de la Cloud Security Alliance (CSA). Hemos desarrollado unos principios fundacionales para nuestro Programa de gestión de políticas:
- Deben estar publicadas y disponibles: con las políticas no se juega al escondite. Dejamos claro el nivel que deben satisfacer nuestros equipos
- Deben contar con el apoyo del equipo de seguridad para facilitar el cumplimiento: estamos aquí para ayudar a nuestros equipos a ayudarnos
- Deben detallar nuestros objetivos de seguridad: nos gusta tener objetivos y ser claros con respecto a ellos
- Deben mostrar compromiso con el cumplimiento de nuestras obligaciones normativas: no queremos ir a la cárcel
- Deben estar centradas en la iteración y la mejora continuas: seguimos evaluando riesgos en nuestro entorno y en nuestro programa, y los reflejamos en nuestras políticas
- Deben proporcionar un proceso de excepción: para cuando sea total y absolutamente imposible para nuestros equipos cumplir las políticas durante un breve periodo
- Deben revisarse anualmente: lo que incluye la actualización de nuestras políticas al observar nuevos riesgos y amenazas
Lee un resumen y extractos de nuestras Políticas tecnológicas.
Programa de gestión de riesgos
Realizamos evaluaciones continuas de los riesgos en nuestros entornos y productos. En muchos casos, especialmente en el caso de nuestros productos, se realizan como evaluaciones de riesgos técnicos o revisiones de códigos. No obstante, también evaluamos cada elemento de nuestro catálogo completo de productos o una parte de nuestra organización para detectar riesgos empresariales de mayor nivel. En general, hemos adoptado la metodología de gestión de riesgos ISO27005 o ISO31010 y la aplicamos a un ámbito en particular. Nuestro enfoque de la gestión de riesgos incluye:
- Realizar actividades de evaluación de riesgos, como la ejecución de evaluaciones de riesgos, lo que facilita la toma de decisiones sobre el tratamiento de los riesgos. Esto incluye identificar el alcance y los recursos abarcados, identificar los riesgos, evaluar su impacto y probabilidad, y revisar e informar al respecto.
- Supervisar e informar sobre los proyectos destinados a gestionar los riesgos de seguridad: seguir supervisando e informando de los programas o proyectos diseñados para gestionar los riesgos de seguridad.
- Respaldar el SMP: a través de la evaluación continua de riesgos como mecanismo para mejorar el entorno y garantizar que los controles de seguridad implementados gestionan con eficacia los riesgos de seguridad identificados.
Consulta nuestro Programa de gestión de riesgos empresariales para obtener más información.
Atlassian Trust Management Forum (ATMF)
Finalmente, mantenemos un Trust Management Forum estructurado que incluye representantes de cada uno de los pilares de nuestro programa Trust para garantizar que se aplican no solo los controles de seguridad, sino también los controles de fiabilidad, privacidad y cumplimiento, así como para garantizar la correcta gestión de los riesgos en cada uno de estos pilares. Hemos creado reuniones independientes en el foro para asegurar que se tratan temas específicos y que se cuenta con la información adecuada.
La finalidad del ATMF es:
- Llegar a un acuerdo sobre las prioridades y acciones requeridas para proteger Atlassian y a nuestros clientes frente a las amenazas de seguridad
- Apoyar e impulsar actividades en cada división del negocio para gestionar deficiencias o vulnerabilidades que podrían permitir un ataque
- Proporcionar instrucciones y soporte a los grupos de trabajo con respecto a los riesgos de seguridad críticos y los programas de cumplimiento
- Apoyar una cultura de concienciación de la seguridad en toda la organización
Mantenemos las siguientes reuniones en el foro:
- ATMF: Revisión de gestión (Anualmente, en línea con el presupuesto anual)
- ATMF: Revisión de recursos (Anualmente, en línea con el presupuesto anual)
- ATMF: Revisión de riesgos (Trimestralmente)
- ATMF: Revisión de seguridad y salud (Mensualmente)
- ATMF: Revisión de cumplimiento de salud (Mensualmente)
- ATMF: Revisiones de gestión (Semanalmente; cada equipo funcional tiene una revisión de gestión)
La estructura y la frecuencia de estas reuniones garantizan que revisemos constantemente nuestro perfil de amenazas, así como nuestra respuesta a las mismas.
Hay tantos enfoques para gestionar una organización de seguridad como organizaciones. En Atlassian creemos que hemos configurado un programa flexible y ágil, pero también suficientemente estructurado como para garantizar la evaluación y el tratamiento de las nuevas amenazas y riesgos, tanto para nosotros como para nuestros clientes.