Ons Atlassian Trust Management System (ATMS)
Introductie van ons Atlassian Trust Management System (ATMS)
Wij bij Atlassian zijn behoorlijk trots op onze bedrijfswaarden. Deze waarden begeleiden ons bij alles wat we doen. Eén specifieke waarde die opvallend is, is onze waarde Open bedrijf, geen flauwekul. Waar deze specifieke waarde voor staat is precies hoe het op onze pagina Waarden wordt uitgelegd:
En we begrijpen dat als je wil zeggen wat je denkt, je twee hersenhelften nodig hebt (wat te zeggen), bedachtzaamheid (wanneer je iets moet zeggen) en zorgvuldigheid (hoe je iets zegt).
We hebben vaak van onze klanten gehoord dat je meer wil weten over hoe we ons bedrijf runnen en hoe onze bedrijfsvoering in elkaar steekt. We nemen graag even de tijd om je te vertellen hoe ons Trust Management Program werkt, of zoals de ISO27001 norm voor beveiligingsbeheer het noemt: ons Atlassian Trust Management System (ATMS).
Bij Atlassian zijn we er trots op dat we een beetje anders dan anderen zijn, of het nu gaat om onze unieke verkoopbenadering, onze bedrijfswaarden of hoe wij filantropie zien. Deze aanpak zetten we ook in bij ons Trust Management Program.
Het belang van een gestructureerd managementprogramma
Managementsystemen zijn waardevol, of je nu kijkt naar systemen voor kwaliteitsbeheer, systemen voor defectbeheer, de Kaizen-methode voor continue verbetering, of een gestructureerde methodologie om de ontwikkeling van capaciteit te beoordelen. Deze managementprogramma´s zijn in de praktijk getest, gepubliceerd, aan peerreview onderworpen en verfijnd. Ons Atlassian Trust Management Program is gebaseerd op de ISO27001 Information Security Management System-norm. De basis van de ISO27001-norm is:
Deze internationale norm kan gebruikt worden door interne en externe partijen om te beoordelen of de organisatie in staat is om te voldoen aan de eigen vereisten voor informatiebeveiliging.
Waarde van internationale normen als handleiding (maar niet als 'zo moet je het doen')
Zoals bij elk bedrijf, en zeker bedrijven die verantwoordelijk zijn voor het bewaren en verwerken van klantgegevens, komen er natuurlijk veel vragen van onze klanten over hoe Atlassian als cloudserviceprovider de nodige zorg draagt voor de bescherming en vertrouwelijkheid van de gegevens van onze klanten. Elke klant die overweegt cloudservices te gaan gebruiken komt voor vergelijkbare keuzes te staan bij het besluit om belangrijke applicaties of services te hosten.
Elk van onze klanten heeft eigen vereisten voor beveiliging. Het Trust Management Program van Atlassian neemt deze vereisten in overweging en komt met een set vereisten die uniek zijn voor ons bedrijf en onze omgeving. De ISO27001-benadering van planning, werken, beoordelen, presteren en verbeteren maakt het mogelijk om doorlopend te beoordelen hoe ons programma functioneert en het programma steeds te verbeteren om nieuwe bedreigingen en nieuwe vereisten mee te nemen of de algehele werking te verbeteren.
We beoordelen internationale normen als een set goed gestructureerde richtlijnen, maar we overwegen elk van de controles en overwegen of ze geschikt zijn voor onze specifieke omgeving. We gebruiken een vergelijkbare aanpak om de algehele toepasbaarheid van deze internationale normen op onze omgeving te beoordelen.
Programma voor beleidsbeheer
De basis van het Trust Management System wordt gevormd door ons Policy Management Program (PMP). We hebben onze beleidsregels zo gestructureerd dat ze alle domeinen omvatten die genoemd worden in zowel de ISO27001-norm als de Cloud Controls Matrix (CCM) van Cloud Security Alliance (CSA). We hebben een aantal basisprincipes ontwikkeld voor ons Policy Management Program:
- Gepubliceerd en beschikbaar zijn: we willen niemand ergens in laten trappen, we maken duidelijk aan welke normen onze teams moeten voldoen
- Ondersteund worden door het beveiligingsteam waardoor compliance vergemakkelijkt wordt; wij zijn er om onze teams te helpen ons te helpen
- Onze beveiligingsdoelen uiteenzetten; wij hebben onze doelen en zijn daar duidelijk over
- Inzet tonen om aan onze verplichtingen qua regelgeving te voldoen; we willen niet de gevangenis in
- Gericht zijn op doorlopende iteraties en verbeteringen: we blijven risico's in onze omgeving en ons programma beoordelen en weerspiegelen deze in onze beleidsregels
- Een uitzonderingsproces opzetten: voor wanneer er voor een korte periode echt absoluut geen enkele kans is dat onze teams aan de beleidsregels kunnen voldoen
- Jaarlijks beoordelen: hieronder valt ook het bijwerken van ons beleid wanneer we nieuwe bedreigingen en risico's ontdekken
Lees een overzicht en uittreksels van ons Technologiebeleid.
Risicobeheerprogramma
Om de risico's voor onze omgevingen en producten continu te kunnen beoordelen, voeren we doorlopende risicobeoordelingen uit. In veel gevallen worden deze uitgevoerd als technische risicobeoordelingen of codebeoordelingen, zeker als het gaat om onze producten. We beoordelen echter ook onze volledige productcatalogus of een deel van onze organisatie om bedrijfsrisico's op een hoger niveau te ontdekken. Over het algemeen gebruiken we de risicobeheermethode van ISO27005 of ISO31010 en passen we dit toe op een specifieke scope. Onze aanpak van risicobeheer omvat:
- Risicobeoordelingsactiviteiten uitvoeren; inclusief risicobeoordelingen uitvoeren voor beslissingen om risico's aan te pakken. Hieronder valt het vaststellen van de scope en de assets binnen die scope, het vaststellen van de risico's, het beoordelen van de waarschijnlijkheid en het effect, en het beoordelen van en rapporteren over de risico's.
- Monitoring en rapportage van projecten bedoeld om beveiligingsrisico's te beheren: doorlopend monitoren van en rapporteren over programma's of projecten die bedoeld zijn om beveiligingsrisico's te beheren.
- De SMP ondersteunen; door middel van doorlopende risicobeoordelingen om zo de omgeving te verbeteren en te zorgen dat de geïmplementeerde beveiligingsmaatregelen de geïdentificeerde beveiligingsrisico's effectief beheren.
Zie ons Enterprise Risk Management Program voor meer informatie.
Atlassian Trust Management Forum (ATMF)
Tot slot beheren we een gestructureerd forum voor Trust Management dat vertegenwoordigers van elk van de pijlers van ons Trust-programma omvat om er zeker van te zijn dat we niet alleen beveiligingscontroles maar ook controles voor betrouwbaarheid, privacy en compliance toepassen en dat we risico's beheren in elk van deze pijlers. We hebben aparte forumvergaderingen opgezet om er zeker van te zijn dat bepaalde onderwerpen behandeld worden en we de juiste input krijgen.
Het doel van de ATMF is:
- Overeenstemming bereiken over prioriteiten en vereiste acties om Atlassian en onze klanten te beschermen tegen beveiligingsrisico's
- Binnen elk bedrijfsonderdeel activiteiten bepleiten en stimuleren om tekortkomingen of kwetsbaarheden waardoor een aanval mogelijk wordt aan te pakken
- Werkgroepen richting en ondersteuning geven voor kritische beveiligingsrisico's en complianceprogramma's
- Een beveiligingsbewustzijncultuur overal in het bedrijf bepleiten
We behouden de volgende forumbijeenkomsten:
- ATMF: Management Review (jaarlijks, in lijn met jaarlijkse budgettering)
- ATMF: Resource Review (jaarlijks, in lijn met jaarlijkse budgettering)
- ATMF: Risk Review (elk kwartaal)
- ATMF: Security Health Review (maandelijks)
- ATMF: Compliance Health Review (maandelijks)
- ATMF: Management Reviews (wekelijks, elk functieteam heeft een Management Review)
Dankzij de structuur en frequentie van deze bijeenkomsten kunnen we er zeker van zijn dat we ons bedreigingsprofiel en onze reactie op die bedreigingen voortdurend beoordelen.
Er bestaan evenveel verschillende manieren om een beveiligingsorganisatie te beheren als er organisaties bestaan. Bij Atlassian geloven we dat we een programma hebben opgezet dat flexibel en responsief is, maar ook voldoende structuur heeft om er zeker van te zijn dat we nieuwe bedreigen en risico's voor zowel ons als onze klanten beoordelen en aanpakken.