Nuestro enfoque de gestión de incidentes de seguridad
Nuestro enfoque sobre la gestión de incidentes de seguridad
En Atlassian, contamos con un amplio conjunto de medidas de seguridad para garantizar la protección de la información de los clientes y ofrecer los servicios más fiables y seguros posibles. Sin embargo, también reconocemos que los incidentes de seguridad pueden ocurrir (y ocurren), por lo que es igual de importante contar con métodos eficaces para gestionarlos en caso de que surjan.
Como resultado, tenemos un enfoque claramente definido para responder a los incidentes de seguridad que afectan a nuestros servicios o infraestructura. Nuestro enfoque de respuesta ante incidentes incluye un registro y supervisión completos de nuestros productos e infraestructura para garantizar que detectamos de forma rápida los posibles incidentes, con la ayuda de procesos cuidadosamente definidos que garantizan que haya claridad en lo que tenemos que hacer en todas las etapas de un incidente. Esto recibe el soporte de un equipo de gestores de incidentes de guardia altamente cualificados y con una experiencia significativa en la coordinación de una respuesta eficaz. También tenemos acceso a una serie de expertos externos que nos ayudan a investigar y responder de la manera más eficaz posible. Hemos estructurado nuestro enfoque de gestión de incidentes siguiendo las directrices de la NIST 800-61 Computer Security Incident Handling Guide y catalogamos nuestros incidentes conforme al marco de trabajo VERIS de Verizon.
Más información sobre nuestra filosofía y enfoque
Consideramos que un incidente de seguridad es cualquier instancia en la que existe o es inminente un impacto negativo sobre la confidencialidad, la integridad o la disponibilidad de los datos de nuestros clientes, los de Atlassian o los de sus servicios.
Anteriormente, habíamos calificado el impacto con la palabra "intencional"; sin embargo, este adjetivo se ha eliminado para incluir las filtraciones accidentales de datos, etc.
Lo fundamental en la forma en la que respondemos a los incidentes de seguridad es asegurarnos de que mantenemos nuestros valores y, en particular, asegurarnos de seguir el de "No #@!% al cliente" (DFTC). Nos centramos en poner en marcha los mejores procesos para gestionar los incidentes de seguridad, de modo que siempre estén en consonancia con los mejores intereses de nuestros clientes, y garantizar que sigan teniendo una experiencia excepcional al utilizar nuestros productos. Para ello, hemos desarrollado un proceso de respuesta ante incidentes sólido y que incorpora varias funciones que analizamos a continuación.
Varias vías para detectar posibles incidentes rápidamente
Disponemos de varios mecanismos de supervisión para detectar fallos o anomalías en nuestros productos e infraestructura que pueden ser un indicador de un posible incidente de seguridad. Estos sistemas nos alertan inmediatamente si se detecta una actividad que requiera una investigación más exhaustiva. Disponemos de una plataforma de análisis y captura de registros acumulados que reúne registros en un solo lugar, de modo que nuestros analistas puedan investigar rápidamente y a fondo, y nuestros ingenieros de fiabilidad del sitio supervisen la plataforma para asegurarse de que siempre esté disponible. También creamos alertas en nuestra aplicación de información y eventos de seguridad que notifican a nuestros equipos de forma proactiva.
También mantenemos canales de información externos a través de los cuales podemos enterarnos de vulnerabilidades o incidentes, que incluyen nuestro programa de recompensas por errores, nuestro portal de soporte al cliente, así como buzones de correo electrónico y números de teléfono de seguridad definidos.
Un marco de trabajo establecido para la gestión de los incidentes de seguridad
Para garantizar que nuestro proceso de respuesta ante incidentes sea uniforme, repetible y eficiente, disponemos de un marco de trabajo interno claramente definido que abarca los pasos que debemos dar en cada fase del proceso de respuesta. Hemos documentado manuales de estrategias que se actualizan continuamente y que definen en detalle los pasos que debemos dar para responder de forma eficaz a los diferentes tipos de incidentes. A grandes rasgos, nuestro marco de trabajo de respuesta abarca lo siguiente:
Detección y análisis de incidentes: desde los pasos que damos tras las notificaciones iniciales que recibimos sobre un posible incidente, incluida la forma en la que confirmamos si este se ha producido (con el fin de reducir al mínimo los falsos positivos), hasta la comprensión de los vectores de ataque, el alcance de la vulneración y el impacto para Atlassian y sus clientes.
Categorización de la gravedad de los incidentes: una vez que entendemos lo que ha sucedido mediante un análisis adecuado, utilizamos esta información para determinar la gravedad del incidente y le asignamos uno de los cuatro niveles de gravedad posibles:
| Descripción de la gravedad del incidente | |
| "Severity" (Gravedad) | Descripción |
| 0 | Incidente de crisis con máximo impacto |
| 1 | Incidente crítico de muy alto impacto |
| 2 | Incidente grave con un impacto significativo |
| 3 | Incidente menor de bajo impacto |
Utilizamos una variedad de indicadores para determinar la gravedad de un incidente: estos varían en función del producto involucrado, pero incluyen la consideración de si hay una interrupción del servicio total (y el número de clientes afectados), si la funcionalidad básica está dañada y si ha habido pérdida de datos.
Contención, erradicación y recuperación: teniendo en cuenta la gravedad del incidente, determinamos e implementamos los pasos necesarios para contenerlo, erradicar las causas subyacentes e iniciar nuestros procesos de recuperación para garantizar que volvamos a las operaciones habituales lo antes posible. Naturalmente, los pasos que tomemos en esta fase variarán de manera significativa dependiendo de la naturaleza del incidente. Siempre que beneficie a nuestros clientes (o según lo requieran nuestras obligaciones legales o contractuales), Atlassian también se comunicará con sus clientes sobre el incidente y su posible impacto para ellos durante esta fase del proceso de respuesta ante incidentes.
Notificación: Nuestro objetivo es informar a cualquier cliente sin demoras indebidas en caso de que sus datos estén implicados en un incidente confirmado. Al principio, la información puede ser muy general, pero proporcionaremos todos los detalles en cuanto estén disponibles.
Un sólido proceso de revisión posincidente: una vez resuelto cada incidente, examinamos las lecciones que podemos aprender de lo ocurrido que pueden servir de base para el desarrollo de soluciones técnicas, la mejora de los procesos y la introducción de nuevas prácticas recomendadas, de modo que podamos seguir proporcionando la mejor experiencia a nuestros clientes y hacer que el trabajo de los agentes maliciosos sea aún más difícil la próxima vez.
Funciones y responsabilidades claramente definidas
Cada incidente que experimentamos lo gestiona uno de nuestros gestores de incidentes graves (o MIM, por sus siglas en inglés), que están muy cualificados y tienen mucha experiencia. Los MIM suelen tomar decisiones relacionadas con la seguridad, supervisan el proceso de respuesta y asignan tareas internamente para facilitar nuestro proceso de respuesta. Los MIM cuentan, además, con el apoyo de analistas de incidentes que dirigen la investigación y el análisis de los incidentes, así como de otras funciones para ayudar en el proceso de respuesta. En muchos casos, si un incidente tiene repercusiones en más de un lugar, se asignan dos MIM al incidente para garantizar que siempre haya alguien responsable de mantener el proceso de respuesta en marcha y de que las actividades de contención o recuperación no se retrasen o se vean afectadas de otro modo por las diferencias horarias.
En el caso de incidentes a muy gran escala, puede haber situaciones en las que se llame a un MIM de un equipo diferente (normalmente de ingeniería de fiabilidad del sitio) para ayudar a gestionar el proceso de respuesta. Puedes leer más detalles sobre las funciones y responsabilidades que asignamos en materia de incidentes de seguridad.
Acceso a expertos externos cuando sea necesario
A veces, podemos solicitar la asistencia de un experto externo para que nos ayude a investigar un incidente. Contratamos los servicios de consultores especializados en ciberseguridad y de expertos forenses para los casos en los que podemos necesitar un análisis exhaustivo o percepciones periciales para el descubrimiento electrónico a favor de un litigio.
Cómo utilizamos nuestras propias herramientas para gestionar los incidentes de seguridad
Utilizamos versiones especialmente configuradas de muchos de nuestros propios productos para asegurarnos de que somos capaces de ser tan metódicos, coherentes y dinámicos con la gestión de incidentes como sea posible. Estas incluyen las siguientes:
Confluence: usamos Confluence para crear, documentar y actualizar de manera colaborativa nuestros procesos de respuesta ante incidentes en un espacio centralizado, asegurándonos de que esos procesos se difundan a todo el personal y que puedan actualizarse rápidamente a raíz de las lecciones aprendidas en incidentes pasados. También utilizamos Confluence para documentar nuestros escenarios y búsquedas.
Jira: usamos Jira para crear tickets con el fin de gestionar tanto la investigación inicial de los posibles incidentes, como para facilitar y hacer un seguimiento de nuestro proceso de respuesta, siempre que nuestras investigaciones iniciales confirmen que se ha producido un incidente. Estos tickets nos ayudan a añadir información relativa a un incidente, desarrollar resoluciones y realizar otras tareas logísticas (como delegar tareas como parte del proceso de respuesta y contactar con otros equipos dentro de la empresa cuando sea necesario). También usamos Jira para hacer un seguimiento de las búsquedas que ejecutamos, así como el éxito o fracaso de cada una de ellas.
Bitbucket: usamos Bitbucket como herramienta de control de código fuente cuando desarrollamos soluciones basadas en código para problemas de casos extremos únicos que surgen con determinados tipos de incidentes. Las soluciones que desarrollamos pueden entonces usarse internamente de forma colaborativa y probada, sin que dejen de ser privadas y facilitando las iteraciones rápidas según sea necesario. También utilizamos Bitbucket en combinación con un plan de integración y entrega continuas, implementamos código para ayudar a mitigar la causa de un incidente o ayudar en la detección o prevención de incidentes futuros.
En última instancia, el uso de estas herramientas nos ayuda a establecer un marco de trabajo de respuesta que garantiza que los incidentes, independientemente del tipo que sean, comiencen a tener un cierto nivel de estructura y familiaridad para que podamos actuar lo más rápido posible para encontrar una resolución.
El resumen
Atlassian emplea un enfoque sólido y completo para gestionar los incidentes de seguridad, centrado en el uso de las mismas herramientas que ponemos a disposición de nuestros clientes. Esto nos permite responder a los incidentes con un alto grado de uniformidad, previsibilidad y eficacia, y minimizar los posibles daños a nuestros clientes, socios y al propio Atlassian.
¿Quieres profundizar?
Hemos publicado una serie de recursos adicionales a los que puedes acceder para conocer nuestro enfoque sobre la gestión de incidentes de seguridad y nuestro enfoque general de seguridad.