Nuestras responsabilidades sobre incidentes de seguridad de Atlassian
Introducción
Al igual que cualquier otro proveedor de servicios en la nube, hacemos todo lo posible para asegurarnos de que nuestros clientes no experimenten interrupciones del servicio o incidentes de seguridad. Sin embargo, sabemos que estos pueden producirse. Es importante para nosotros que los clientes entiendan cómo encajan en nuestro proceso de respuesta ante incidentes de seguridad y qué responsabilidades tienen en el transcurso de un incidente. Nos preparamos para lo peor, de modo que, si algo ocurre, estamos preparados y no #@!% a nuestro cliente.
Hacemos todo lo posible por gestionar la totalidad de cualquier incidente de seguridad que afecte a nuestros servicios e infraestructura. Tomamos todas las medidas que sean necesarias, desde la detección de la infracción hasta la contención e incluso su divulgación. Sin embargo, no podemos verlo todo; a veces necesitamos que nuestros clientes nos informen de un incidente o la ayuda de una consultoría externa para poder ofrecer habilidades de investigación o periciales especializadas.
Funciones
Hemos revisado y utilizado una serie de modelos de gestión de incidentes de seguridad para asegurarnos de que nuestros procesos de respuesta ante incidentes no solo sean exhaustivos, sino de primer nivel. Hemos sacado las actividades más significativas de esos modelos y hemos descrito la responsabilidad de cada una.
| | Parte | Función | Descripción |
|---|---|---|---|
|
| Parte Atlassian | Función Coordinador de respuestas ante incidentes de seguridad | Descripción Cada incidente de seguridad tiene un coordinador principal de incidentes de nuestro equipo de seguridad de Atlassian para tomar decisiones de seguridad, supervisar el proceso y asignar tareas. |
|
| Parte Atlassian | Función Analista de incidentes de seguridad | Descripción Los analistas de seguridad realizan la mayoría de las investigaciones y análisis de incidentes. En incidentes menores, esto es a menudo asumido por el coordinador de respuestas ante incidentes de seguridad. |
|
| Parte Atlassian | Función Responsable de comunicaciones con los clientes | Descripción A cada incidente se le asigna un responsable de comunicaciones con los clientes para tomar decisiones sobre la forma en que se debe involucrar a los clientes. Normalmente, esta persona también se encarga de gran parte de la comunicación con el cliente. |
|
| Parte Atlassian | Función Equipo rojo | Descripción El equipo rojo de Atlassian imita a los adversarios cibernéticos del mundo real y ejecuta escenarios de prueba definidos diseñados para evaluar e identificar mejoras en nuestras propias capacidades de detección y respuesta. |
|
| Parte Atlassian | Función Asesor de soporte | Descripción Los equipos de gestión de incidentes de seguridad de Atlassian buscan el asesoramiento de diversos expertos internos en la materia (por ejemplo, legal, privacidad, riesgo, recursos humanos, etc.). Estos asesores proporcionan orientación especializada sobre cuestiones que afectan a sus áreas de especialización. |
|
| Parte Consultoría de seguridad | Función Consultor | Descripción Atlassian contrata los servicios de una consultoría especializada en ciberseguridad en caso de un incidente. En general, la consultoría se utiliza para proporcionar recursos adicionales en caso de limitación, conocimientos especializados si no se dispone de ellos internamente, y asesoramiento y revisión independientes de los incidentes. |
|
| Parte Cliente | Función Informador | Descripción Se anima a los clientes a que informen de cualquier acceso no autorizado o comportamiento malicioso hacia los activos de Atlassian. |
|
| Parte Cliente | Función Contacto de seguridad | Descripción Si se confirma un incidente que afecta a un cliente, se informará al contacto de seguridad del cliente. El contacto de seguridad suele ser el contacto técnico de la cuenta, pero puede cambiar si el cliente tiene un equipo de seguridad específico. El contacto de seguridad asegura que el cliente gestione el incidente adecuadamente fuera del alcance de los activos de Atlassian. |
Responsabilidades
Definimos nuestras responsabilidades de gestión de incidentes de seguridad utilizando el modelo RACI. Si bien hacemos todo lo posible para cumplir con nuestras responsabilidades definidas, los clientes son responsables en última instancia de la seguridad de sus datos según el Acuerdo de Cliente de Atlassian.
- Encargada: la parte que hará el trabajo correspondiente para completar la tarea.
- Responsable: la parte responsable en última instancia de la finalización correcta y completa de la actividad.
- Consultada: la parte cuya opinión se solicita y con la que existe una comunicación bidireccional.
- Informada: la parte a la que se mantiene al día sobre el progreso y con la que solo existe una comunicación unidireccional.
| | Actividad | Atlassian | Cliente |
|---|---|---|---|
|
| Actividad Detección | Atlassian Responsable | Cliente
|
|
| Actividad Clasificación | Atlassian Responsable | Cliente
|
|
| Actividad Investigación | Atlassian Responsable | Cliente
|
|
| Actividad Contención | Atlassian Responsable | Cliente
|
|
| Actividad Erradicación | Atlassian Responsable | Cliente Informado |
|
| Actividad Recuperación | Atlassian Responsable | Cliente Informado |
|
| Actividad Notificación (al cliente) | Atlassian Responsable | Cliente Informado |
|
| Actividad Notificación (a Atlassian) | Atlassian Informado | Cliente Responsable |
|
| Actividad Mejora | Atlassian Responsable | Cliente
|
|
| Actividad Prueba | Atlassian Responsable | Cliente
|
|
| Actividad Presentación de informes externos (cumplimiento y aplicación de la ley) | Atlassian Encargado Responsable | Cliente Informado |
|
| Actividad Publicación de datos agregados | Atlassian Responsable | Cliente Informado |