Le policy sulla sicurezza e la tecnologia di Atlassian
Atlassian ha istituito un programma di gestione della sicurezza delle informazioni (ISMP) che descrive i principi e le regole per la gestione dei programmi Fiducia e sicurezza. Realizziamo questo obiettivo valutando continuamente i rischi per le nostre operazioni e migliorando la sicurezza, la riservatezza, l'integrità e la disponibilità del nostro ambiente Atlassian. Rivediamo e aggiorniamo regolarmente le policy di sicurezza, monitoriamo la conformità a tali policy e conduciamo test di sicurezza delle applicazioni e della rete del nostro ambiente.
Di seguito è riportato un elenco e una breve descrizione delle principali policy in materia di sicurezza e tecnologia che Atlassian ha adottato per i propri ambienti interni e cloud.
Policy, rischio e governance relativi alla sicurezza
Questa policy stabilisce i principi e le linee guida generali per la gestione della sicurezza in Atlassian.
I principi di base (riepilogo) includono quanto segue:
- Atlassian gestirà l'accesso alle informazioni di aziende e clienti in base alle esigenze del business e in linea con i propri valori.
- Atlassian implementerà una serie di controlli per gestire l'implementazione della sicurezza in linea con questa policy.
- Atlassian esaminerà periodicamente i rischi e l'efficacia dei controlli destinati a gestirli.
- Atlassian continuerà a fornire assistenza e a dare prova di impegno per il raggiungimento della conformità alla legislazione applicabile in materia di protezione delle informazioni personali e ai termini contrattuali dei clienti del cloud.
Gestione dell'accesso
Questa policy stabilisce i principi e le linee guida generali per la gestione degli accessi.
I principi di base (riepilogo) includono quanto segue:
- Atlassian manterrà una policy di controllo degli accessi che indica come gestire l'accesso ai sistemi.
- Gli account utente verranno utilizzati per gestire l'accesso.
- Tutti gli utenti hanno la responsabilità di gestire l'accesso ai propri sistemi.
- I sistemi verranno registrati e monitorati per controllare potenziali accessi inappropriati.
- L'accesso remoto sarà abilitato tramite l'autenticazione a più fattori.
- I doveri dovrebbero essere separati, laddove appropriato.
Gestione delle risorse
Questa policy stabilisce i principi e le linee guida generali per la gestione degli asset IT di Atlassian e il modo in cui devono essere gestiti.
I principi di base (riepilogo) della gestione degli asset in Atlassian includono quanto segue:
- Atlassian manterrà un inventario degli asset.
- Gli asset gestiti in un database di gestione degli asset avranno responsabili identificati.
- L'uso accettabile degli asset sarà identificato, documentato e implementato.
- Gli asset verranno restituiti ad Atlassian in caso di cessazione del rapporto di lavoro.
Continuità aziendale e ripristino di emergenza
Questa policy illustra i principi generali che stabiliscono il nostro approccio verso la resilienza, la disponibilità e la continuità di processi, sistemi e servizi in Atlassian. Definisce i requisiti relativi ai processi di continuità aziendale, ripristino di emergenza e gestione delle crisi.
I principi di base (riepilogo) includono quanto segue:
- I responsabili di sistemi, processi o servizi mission critical devono garantire continuità aziendale e/o ripristino di emergenza adeguati che siano in linea con la tolleranza alle interruzioni prevista in caso di emergenza.
- I piani di continuità devono includere un ambiente di "ultima resistenza" appropriato, che offra funzionalità di base (come requisito minimo) e un piano che conduca a quell'ambiente in caso di emergenza. Devono essere incluse anche considerazioni per il ripristino della normale operatività.
- Nessun sistema, processo o funzione mission-critical può essere distribuito in produzione in assenza di un adeguato piano di continuità.
- I piani devono essere testati trimestralmente e i problemi devono essere identificati e risolti.
- Il tempo di ripristino (RTO) massimo inizia dal rilevamento degli eventi fino a quando la funzionalità principale è operativa. I servizi sono raggruppati in livelli che definiscono gli RTO e RPO massimi.
Sicurezza delle comunicazioni
Questa policy stabilisce i principi e le linee guida generali per la gestione della sicurezza delle nostre comunicazioni e delle nostre reti.
I principi di base (riepilogo) includono quanto segue:
- L'accesso alle reti deve essere controllato.
- Viene fornito l'accesso alla rete e tutti gli utenti devono avere familiarità con la policy sulle comunicazioni e i sistemi elettronici.
- Le reti devono essere separate in base alla criticità.
Crittografia
Questa policy stabilisce i principi generali per garantire che Atlassian implementi la crittografia appropriata per tutelare la riservatezza e l'integrità dei dati critici. Atlassian utilizza meccanismi crittografici per mitigare i rischi connessi all'archiviazione di informazioni sensibili e alla loro trasmissione su reti, comprese quelle accessibili al pubblico (come Internet). Facilitare l'uso di tecnologie di crittografia affidabili, sicure e di comprovata efficacia è un obiettivo chiave di questo standard al fine di mitigare il rischio di accesso non autorizzato e/o modifica di informazioni aziendali sensibili.
I principi di base (riepilogo) includono quanto segue:
- I dati sensibili sono crittografati in modo appropriato.
- Il livello di crittografia selezionato corrisponde alla classificazione delle informazioni.
- Le chiavi crittografiche saranno gestite in modo sicuro.
- Saranno utilizzati solo algoritmi crittografici e moduli software approvati.
Classificazione dei dati
Questa policy stabilisce e definisce le classificazioni dei dati e include descrizioni, esempi, requisiti e linee guida riguardanti il trattamento dei dati inclusi in ciascuna classificazione. Le classificazioni si basano sui requisiti legali, sulla sensibilità, sul valore e sulla criticità dei dati per Atlassian, i clienti di Atlassian, nonché i partner e i fornitori di Atlassian.
I principi di base (riepilogo) includono quanto segue:
- I dati devono essere classificati in termini di requisiti legali, valore e criticità per Atlassian.
- I dati devono essere identificati, etichettati e tenuti aggiornati in una mappa del flusso di dati per garantirne una gestione appropriata.
- Lo smaltimento dei supporti deve avvenire in modo sicuro.
- I supporti contenenti informazioni aziendali devono essere protetti da accessi non autorizzati, uso improprio o danneggiamento durante il trasporto.
Dispositivi mobili e Bring Your Own Device (BYOD)
Questa policy stabilisce i principi e le linee guida generali per l'uso di dispositivi personali con reti e sistemi Atlassian.
I principi di base (riepilogo) includono quanto segue:
- La filosofia alla base della presente policy Bring Your Own Device (qui indicata come Policy BYOD o Policy) è quella di essere il più possibile discreta e flessibile per quanto riguarda l'utilizzo di BYOD per mantenere l'autonomia degli Atlassiani e di garantire al contempo la possibilità di proteggere i nostri dati aziendali e i dati dei nostri clienti.
- Pertanto, l'attenzione sarà incentrata sul controllo della configurazione/dell'approccio e sul monitoraggio della conformità dei dispositivi applicando i principi meno restrittivi che consentano ragionevolmente di raggiungere gli obiettivi di sicurezza richiesti. L'eventuale necessità di applicare restrizioni verrà valutata caso per caso a seconda dei dati a cui è possibile effettuare l'acceso.
- Questa policy copre sia le nostre esigenze attuali che quelle future previste. Alcune delle funzionalità descritte potrebbero non essere implementate immediatamente.
Operazioni
Questa policy stabilisce i principi e le linee guida generali per le pratiche operative in materia di tecnologia adottate da Atlassian.
I principi di base (riepilogo) includono quanto segue:
- Le procedure devono essere documentate per le attività operative.
- I backup devono essere eseguiti regolarmente e testati.
- Le modifiche devono essere gestite e valutate da più persone.
- La capacità deve essere valutata e pianificata.
- L'installazione del software deve essere limitata e il software non necessario deve essere sottoposto a restrizioni.
- I log devono essere configurati e inoltrati alla piattaforma di registrazione centralizzata.
- Eventuali imprevisti operativi devono essere gestiti secondo il nostro processo HOT standard.
Sicurezza personale
Questa policy stabilisce i principi e le linee guida generali per la sicurezza del personale in Atlassian.
I principi di base (riepilogo) includono quanto segue:
- Le responsabilità della sicurezza devono essere indicate nelle definizioni delle mansioni.
- Tutti i dipendenti e gli utenti devono seguire regolarmente la formazione sulla consapevolezza in materia di sicurezza.
- Tutti i dipendenti e i collaboratori esterni hanno il dovere di segnalare imprevisti o vulnerabilità della sicurezza
- In caso di licenziamento dei dipendenti, l'accesso e la restituzione degli asset dovranno avvenire in un lasso di tempo ragionevole.
Sicurezza fisica e ambientale
Questa policy stabilisce i principi e le linee guida generali per la protezione dei nostri edifici, dei nostri uffici e delle nostre apparecchiature.
I principi di base (riepilogo) includono quanto segue:
- Presenza di aree di lavoro sicure.
- Protezione delle nostre apparecchiature IT ovunque si trovino.
- Limitare l'accesso ai nostri edifici e uffici.
Privacy
Questa policy stabilisce i principi volti a garantire che Atlassian implementi misure di sicurezza appropriate per contribuire a proteggere la privacy dei dati.
Atlassian riconosce che, per quanto la crittografia e altre tecnologie per il miglioramento della privacy (PET) siano strumenti potenti, è necessaria una valutazione attenta durante la selezione e l'implementazione della tecnologia. Atlassian adotta un approccio alla privacy basato sul rischio che considera la natura, l'ambito, il contesto e le finalità del trattamento dei dati, nonché la probabilità e la gravità dei rischi per i diritti e le libertà delle persone fisiche.
I principi di base (riepilogo) includono quanto segue:
- Le PET devono essere scelte secondo un approccio basato sul rischio.
- Le PET non devono impedire ad Atlassian di soddisfare i requisiti normativi relativi ai diritti alla privacy.
- Le PET non devono compromettere la sicurezza dei sistemi e servizi che effettuano l'elaborazione dei dati.
- Le PET non devono compromettere la capacità di ripristinare l'accesso e la disponibilità dei dati privati in caso di violazione.
- Le PET devono consentire di eseguire regolarmente test e valutazioni dell'efficacia.
Gestione degli imprevisti di sicurezza
Questa policy stabilisce i principi e le linee guida generali per garantire che Atlassian reagisca in modo appropriato a qualsiasi imprevisto di sicurezza effettivo o sospetto. Atlassian ha la responsabilità di monitorare gli imprevisti che si verificano all'interno dell'organizzazione e che potrebbero violare la riservatezza, l'integrità o la disponibilità delle informazioni o dei sistemi informativi. Tutti gli imprevisti sospetti devono essere segnalati e valutati. La policy è stata implementata in modo che il personale Atlassian addetto alla sicurezza possa limitarne la durata e l'impatto negativo su Atlassian e sui suoi clienti, nonché acquisire informazioni dagli imprevisti.
I principi di base (riepilogo) includono quanto segue:
- Anticipare gli imprevisti di sicurezza e prepararsi per la risposta agli imprevisti.
- Contenere ed eliminare gli imprevisti, ed effettuare il ripristino dagli imprevisti.
- Investire nelle nostre persone, nei nostri processi e nelle nostre tecnologie per avere la certezza di disporre della capacità di rilevare e analizzare un imprevisto di sicurezza, qualora si verifichi.
- Adoperarsi affinché la protezione dei dati personali e dei dati dei clienti siano la massima priorità durante gli imprevisti di sicurezza.
- Condurre regolarmente il processo di risposta agli imprevisti di sicurezza.
- Acquisire informazioni dalla funzione di gestione degli imprevisti di sicurezza e migliorarla.
- Comunicare gli imprevisti di sicurezza critici al gruppo dirigenziale Atlassian.
Gestione dei fornitori
Questa policy stabilisce i principi e le linee guida generali per selezionare, inserire, monitorare ed escludere fornitori.
I principi di base includono quanto segue:
- Atlassian sarà determinata nella gestione del proprio processo di selezione dei fornitori.
- L'onboarding e la gestione di tutti i fornitori devono avvenire in conformità ai processi di valutazione dei rischi e due diligence di Atlassian.
- Il proprietario dell'azienda che richiede il coinvolgimento del fornitore è responsabile dell'utilizzo dei contratti Atlassian standard.
- Atlassian si occuperà della supervisione della relazione per assicurarsi che soddisfi i propri standard.
- Atlassian si riserva il diritto di risolvere il contratto con qualsiasi fornitore qualora il servizio non sia più necessario.
Acquisizione, sviluppo e manutenzione di sistemi
Questa policy stabilisce i principi e le linee guida generali per lo sviluppo di applicazioni, sia internamente che rivolte al cliente, oltre a creare limitazioni su come gestire gli ambienti di pre-produzione e includere software open source in uno qualsiasi dei nostri prodotti e servizi.
I principi di base (riepilogo) includono quanto segue:
- I requisiti di sicurezza saranno inclusi e integrati in qualsiasi ambiente o in qualsiasi attività di sviluppo o acquisizione di applicazioni.
- Lo sviluppo del prodotto seguirà il nostro processo interno di garanzia della qualità, che include l'integrazione dei controlli di sicurezza.
- I dati di produzione soggetti a restrizioni in base alla policy di gestione del ciclo di vita delle informazioni sulla sicurezza dei dati saranno resi anonimi o mascherati quando vengono utilizzati in ambienti di pre-produzione.
- L'integrazione di qualsiasi framework o libreria open source seguirà il nostro standard interno "Utilizzo di codice di terze parti in un prodotto Atlassian".
Gestione delle minacce e vulnerabilità
Questa policy stabilisce i principi e le linee guida generali per la gestione delle minacce e delle vulnerabilità della sicurezza sia nel nostro ambiente che nei nostri prodotti.
I principi di base (riepilogo) includono quanto segue:
- Gestire le vulnerabilità di sicurezza nei nostri prodotti e servizi, inclusa la pubblicazione di aggiornamenti, patch o avvisi.
- Gestire le minacce alla sicurezza e le vulnerabilità in tutto il nostro ambiente, sia interno che in hosting.
- Gestire la minaccia di malware nell'ambiente.
Gestione degli audit e della conformità
Questa policy stabilisce i principi generali per la gestione e la verifica della conformità dei controlli in Atlassian.
I principi di base (riepilogo) includono quanto segue:
- Implementiamo controlli per gestire correttamente il rischio e garantire la conformità alle policy, alle normative e agli standard di settore esterni pertinenti.
- Utilizziamo gli audit come mezzo per verificare l'adeguatezza e l'efficacia operativa dei nostri controlli.
- Gli audit sono coordinati ed eseguiti come necessario per raggiungere un livello elevato di fiducia nel nostro ambiente di controllo, nonché per ottenere una certificazione interna o esterna.
- Atlassian chiede la convalida esterna dei controlli.
- Atlassian mantiene una visione consolidata di tutti i suoi obiettivi di controllo, attività di controllo e test pertinenti.