Framework di controlli comuni di Atlassian
Analogamente a molte aziende, Atlassian dispone di una serie di standard di controllo internazionali applicabili allo sviluppo dei propri prodotti e ambienti operativi. Abbiamo deciso di valutare la sovrapposizione tra molti di questi standard indipendenti, in modo da avere un'unica visione dell'applicazione di tali standard ai nostri ambienti interni. La nostra piattaforma di cloud hosting è l'ambiente principale in cui applichiamo questi standard, poiché dobbiamo dimostrare che adottiamo le misure necessarie per proteggere i clienti e i loro dati. Tuttavia, non tutti gli standard sono applicabili a tutti gli ambienti. Ad esempio, la legge Sarbanes-Oxley (SOX) è focalizzata sui sistemi che sono alla base dei nostri report finanziari, per i quali i nostri servizi cloud sono, nel migliore dei casi, secondari. Esaminiamo gli standard che valutiamo e per quali motivi.
Standard internazionali applicabili
Di seguito è riportato un elenco degli standard che abbiamo incluso nella creazione del nostro framework interno di controlli comuni:
Standard | Sponsor |
| ISO 27001 | Organizzazione internazionale per la standardizzazione |
| ISO 27002 | Organizzazione internazionale per la standardizzazione |
| ISO 27018 | Organizzazione internazionale per la standardizzazione |
| SOC2 | American Institute of Certified Public Accountants (AICPA) |
| NIST SP 800-53 Rev 4 | National Institute of Standards and Technology |
| FedRAMP | Governo federale degli Stati Uniti |
| CSA CCM | Cloud Security Alliance |
| HIPAA | Governo federale degli Stati Uniti |
| SOX 404 (IT) | Governo federale degli Stati Uniti |
| PCI DSS | PCI Security Standards Council |
Framework di controlli comuni
Come si può vedere dalla tabella precedente, esiste una serie di requisiti diversi e disparati, molti dei quali vengono applicati agli stessi ambienti, sistemi o team. Al fine di rendere un po' più semplice la comprensione della sovrapposizione e delle analogie di molti di questi standard da parte dei nostri team, abbiamo valutato ogni requisito di controllo e identificato le aree in cui era presente una sovrapposizione che determinava la valutazione dello stesso dominio da parte di standard diversi. Di conseguenza, disponiamo di un framework di controlli comuni che sono facilmente mappabili a ciascuno di questi standard.
Conclusione
L'organizzazione del framework di controlli comuni di Atlassian era importante affinché i nostri team potessero adottare un approccio che prevede numerose valutazioni, ma una sola esecuzione. Invece di rivolgersi diverse volte a più team diversi, abbiamo utilizzato l'efficienza di questo framework per definire le aree in cui potevamo organizzare e applicare i controlli in modo che l'intera azienda potesse comprendere i requisiti e il modo in cui ogni parte della nostra organizzazione si comporta collettivamente per fornire sicurezza a tutti i nostri clienti.