Contenidos
Por qué la seguridad de tu ecosistema Atlassian necesita atención ahora
Hay una conversación que se repite en las empresas que usan Atlassian desde hace años. Va más o menos así: «Tenemos Jira, Confluence, Bitbucket, JSM, Trello… los equipos trabajan bien, los proyectos avanzan. ¿Por qué deberíamos preocuparnos por la seguridad de todo esto?»
La respuesta corta: porque tu ecosistema Atlassian contiene el ADN operativo de tu empresa. Roadmaps de producto, código fuente, incidencias de clientes, documentación interna, decisiones estratégicas, datos financieros de proyectos. Todo está ahí. Y en muchos casos, la seguridad de ese ecosistema se reduce a «tenemos contraseñas fuertes y ya».
Hemos visto organizaciones con 200 usuarios en Jira Cloud donde cualquier empleado podía exportar el backlog completo de un proyecto confidencial en CSV. Donde un exempleado seguía accediendo a Confluence tres meses después de dejar la empresa porque nadie desactivó su cuenta. Donde los tokens de API se compartían por Slack sin rotación ni registro. Son situaciones más comunes de lo que imaginas.
Atlassian Guard existe precisamente para resolver esto. Es la capa de seguridad y gobernanza que se sitúa por encima de todos tus productos Atlassian Cloud y te da visibilidad, control y protección centralizada. Y sin embargo, la mayoría de organizaciones que conocemos no lo tienen activado — o lo tienen en Standard sin saber que existe Premium.
En 2026, con la transposición de NIS2 a punto de materializarse en España y con el volumen de incidentes de seguridad en herramientas SaaS creciendo un 26% respecto al año anterior según datos de INCIBE, la pregunta no es si necesitas Atlassian Guard. Es cuánto tiempo más puedes permitirte no tenerlo.
Qué es Atlassian Guard y por qué existe
Antes de entrar en funcionalidades, vamos a poner orden en los nombres, porque Atlassian nos ha cambiado la nomenclatura varias veces y es fácil perderse.
Atlassian Guard es la evolución de dos productos que quizás te suenen: Atlassian Access (gestión de identidades y acceso) y Atlassian Beacon (detección de amenazas, que estuvo en beta durante meses). En junio de 2024, Access se convirtió en Atlassian Guard Standard. En octubre de 2024, Beacon se convirtió en Atlassian Guard Premium. Misma tecnología, nueva marca, todo bajo un mismo paraguas.
¿Por qué hizo Atlassian este cambio? Porque la seguridad ya no es solo controlar quién entra. Es controlar qué hace una vez dentro, qué datos toca, qué exporta, qué comparte y con quién. Access cubría la primera parte (identidad). Beacon cubría la segunda (detección). Atlassian Guard las unifica.
En términos prácticos, Atlassian Guard es una suscripción a nivel de organización — no de producto, no de site, no de proyecto. La activas en el Admin Hub (admin.atlassian.com) y sus políticas afectan a todos los usuarios gestionados en todos los productos Atlassian Cloud de tu organización. Esto es importante: no estás configurando seguridad en Jira, luego en Confluence, luego en Bitbucket. Lo haces una vez, en un sitio, y se aplica a todo.
Atlassian Guard está diseñado exclusivamente para Atlassian Cloud. Si estás en Data Center, el equivalente es Crowd para gestión de identidades, pero sin las capacidades de detección de amenazas ni clasificación de datos que ofrece Atlassian Guard Premium. Es una razón más para considerar la migración a Cloud si la seguridad es una prioridad para tu organización.
Guard Standard vs Guard Premium: qué incluye cada plan
Esta es la pregunta que nos hacen siempre: «¿Con Standard me basta o necesito Premium?» La respuesta depende de lo que quieras proteger y de lo que te exija tu sector. Vamos a verlo sin rodeos.
Guard Standard es la base. Se centra en controlar quién accede y cómo. Piensa en él como el portero del edificio: verifica identidades, gestiona las llaves y lleva un registro de quién entra y sale. Incluye SSO con SAML (integración con Entra ID, Okta, Google Workspace, OneLogin), aprovisionamiento y desaprovisionamiento automático de usuarios con SCIM, autenticación en dos pasos obligatoria, gestión de tokens de API, políticas de seguridad para apps móviles (MAM), y un audit log a nivel de organización.
Dato importante: Guard Standard viene incluido sin coste adicional en los planes Cloud Enterprise y en Teamwork Collection Premium. Si ya tienes una de estas licencias, comprueba si lo estás pagando dos veces — hemos visto más de un caso.
Guard Premium es otra liga. Se centra en lo que pasa después de entrar: qué datos se tocan, qué comportamientos son sospechosos y cómo reaccionas. Piensa en él como el sistema de cámaras, alarmas y protocolo de emergencias del edificio. Añade clasificación de datos (Publico, Interno, Confidencial, Restringido), políticas de prevención de pérdida de datos (DLP), detección de datos sensibles, detección de actividades anómalas, alertas centralizadas con pasos de remediación sugeridos, y audit logs extendidos con mayor retención.
Guard Premium actualmente solo cubre Jira y Confluence Cloud. Bitbucket, JSM y Trello aún no están soportados en Premium.
| Funcionalidad | Guard Standard | Guard Premium |
|---|---|---|
| SSO con SAML | Incluido | Incluido |
| Aprovisionamiento SCIM | Incluido | Incluido |
| Autenticación en dos pasos obligatoria | Incluido | Incluido |
| Gestión de tokens de API | Incluido | Incluido |
| Políticas de apps móviles (MAM) | Incluido | Incluido |
| Audit log de organización | Incluido | Extendido (mayor retención) |
| Políticas de seguridad de datos | Incluido | Incluido |
| Clasificación de datos | — | Incluido |
| Prevención de pérdida de datos (DLP) | — | Incluido |
| Detección de datos sensibles | — | Incluido |
| Detección de actividad anómala | — | Incluido |
| Alertas con remediación sugerida | — | Incluido |
| Control de apps de Marketplace | — | Incluido |
| Productos cubiertos | Jira, Confluence, Bitbucket, JSM, Trello, Statuspage | Jira y Confluence (por ahora) |
| Precio (100 usuarios, anual) | ~4 $/usuario/mes | ~8 $/usuario/mes (add-on sobre Standard) |
| Incluido en | Cloud Enterprise, TWC Premium | Solo como add-on |
Guard Premium requiere Guard Standard activo. Precios orientativos para 100 usuarios en facturación anual.
¿Deseas contactar con un especialista en Atlassian?
Las funcionalidades que importan a un directivo
No vamos a recorrer cada botón de la consola. Lo que vamos a hacer es explicarte las cinco capacidades de Atlassian Guard que tienen impacto directo en las decisiones que tomas como CIO, CTO o CISO.
SSO y gestión de identidades
Si tus empleados acceden a Jira con un usuario y contraseña propios de Atlassian, tienes un problema. Cada cuenta independiente es un punto de fallo: contraseñas débiles, reutilización de credenciales, imposibilidad de revocar acceso de forma centralizada cuando alguien deja la empresa.
Atlassian Guard Standard te permite forzar el inicio de sesión único (SSO) con SAML 2.0 a través del proveedor de identidades que ya uses: Entra ID, Okta, Google Workspace, OneLogin, PingIdentity. Una vez configurado, tus empleados acceden a Atlassian con las mismas credenciales corporativas que usan para todo lo demás. Y cuando alguien se va, desactivas su cuenta en el directorio corporativo y pierde acceso a todo Atlassian automáticamente.
El aprovisionamiento SCIM va un paso más allá: automatiza la creación y eliminación de cuentas y la asignación a grupos. Cuando RRHH da de alta a alguien en el directorio, aparece en Jira con los permisos correctos. Cuando lo da de baja, desaparece. Sin tickets a IT, sin esperas, sin olvidos.
Políticas de seguridad y autenticación
Atlassian Guard te permite crear múltiples políticas de autenticación y aplicarlas a distintos grupos de usuarios. Por ejemplo, puedes exigir 2FA a todos los empleados internos pero crear una política diferente para contratistas externos que solo acceden al portal de JSM. O puedes aplicar políticas de gestión de apps móviles (MAM) que bloqueen capturas de pantalla y exportación de datos en dispositivos no gestionados.
También puedes controlar los tokens de API: quién puede crearlos, cuánto tiempo duran, y recibir alertas cuando se creen tokens nuevos. En nuestra experiencia, los tokens de API olvidados y sin rotar son una de las puertas traseras más comunes en organizaciones que llevan años con Atlassian.
Clasificación de datos y DLP (Atlassian Guard Premium)
Con Atlassian Guard Premium puedes crear niveles de clasificación — Público, Interno, Confidencial, Restringido — y aplicarlos a páginas de Confluence e issues de Jira. Una vez clasificado el contenido, puedes crear políticas de seguridad de datos que restrinjan acciones según el nivel: bloquear la exportación a PDF de páginas clasificadas como Confidencial, impedir que se generen enlaces públicos de issues Restringidas, o bloquear el acceso de apps de Marketplace a contenido con clasificación alta.
Audit logs y visibilidad
Atlassian Guard Standard incluye un audit log a nivel de organización que registra las acciones administrativas. Guard Premium extiende este log con mayor retención temporal y mayor granularidad, incluyendo actividad de usuarios dentro de Jira y Confluence. Para un CISO, esto es la diferencia entre poder responder «¿quién accedió a este documento y qué hizo con él?» y encogerse de hombros.
Detección de amenazas y alertas (Guard Premium)
Guard Premium monitoriza patrones de comportamiento y genera alertas cuando detecta anomalías: descargas masivas de contenido, cambios de permisos inusuales, accesos desde ubicaciones geográficas nuevas, o detección de datos sensibles en páginas o issues. Cada alerta incluye el contexto completo — quién, qué, cuándo, desde dónde — y pasos de remediación sugeridos.
Otros artículos que podrían interesarte
¿Qué necesita tu empresa? Matriz de decisión rápida
Hemos condensado años de implantaciones en esta tabla. Busca tu escenario:
¿Quién necesita Atlassian Guard (y quién no)?
Vamos a ser directos, porque Guard tiene un coste y no todas las organizaciones lo necesitan igual.
No necesitas Atlassian Guard si tienes menos de 15 usuarios, todos internos, sin requisitos de cumplimiento normativo y sin datos especialmente sensibles en tus proyectos. En ese escenario, la autenticación en dos pasos nativa de Atlassian Cloud y una buena política de contraseñas te cubren razonablemente.
Necesitas Atlassian Guard Standard si tienes más de 50 usuarios, usas un proveedor de identidades corporativo, quieres automatizar altas y bajas de usuarios, o simplemente necesitas un audit log centralizado para saber qué pasa en tu organización.
Necesitas Atlassian Guard Premium si manejas datos sensibles (financieros, de clientes, propiedad intelectual, datos de salud), operas en un sector regulado (banca, seguros, salud, administración pública, infraestructuras críticas), necesitas cumplir con NIS2, ENS o ISO 27001, o simplemente quieres saber si alguien está haciendo algo que no debería en tu Confluence o tu Jira antes de que se convierta en un incidente.
La frontera entre Standard y Premium, en nuestra experiencia, suele estar en una pregunta: ¿puedes permitirte no saber qué pasa con tus datos dentro de Atlassian? Si la respuesta es no, necesitas Premium.
| Tu escenario | Recomendación |
|---|---|
| Equipo pequeño (<15 usuarios), sin datos sensibles, sin normativa | No necesitas Guard — 2FA nativa + buenas contraseñas |
| +50 usuarios, proveedor de identidades corporativo (Entra ID, Okta...) | Guard Standard — SSO, SCIM, audit log, políticas de autenticación |
| Contratistas o externos accediendo a tus productos Atlassian | Guard Standard — Políticas diferenciadas por grupo de usuarios |
| Datos sensibles en Confluence/Jira (financieros, clientes, IP) | Guard Premium — Clasificación de datos + DLP + alertas |
| Sector regulado (banca, salud, administración pública) | Guard Premium — Cumplimiento NIS2, ENS, ISO 27001 |
| Ya tienes Cloud Enterprise o TWC Premium | Guard Standard incluido — Comprueba que no lo pagas dos veces |
Cuánto cuesta y cómo se licencia
Guard tiene un modelo de facturación que merece atención porque no funciona como el resto de productos Atlassian. No pagas por producto ni por site: pagas por usuario gestionado a nivel de organización.
Atlassian Guard Standard parte de aproximadamente 4 $/usuario/mes en facturación anual. Los usuarios gestionados — aquellos cuyo dominio de email has verificado y reclamado — son los que se facturan. Los usuarios de portal de JSM (los que solo abren tickets desde fuera) no cuentan.
Atlassian Guard Premium cuesta aproximadamente 8 $/usuario/mes en facturación anual. Es un add-on sobre Standard, no un sustituto. Necesitas Standard activo para contratar Premium.
Para una organización de 100 usuarios, estamos hablando de unos 4.800 $/año en Standard o unos 9.600 $/año con Standard + Premium. Para 500 usuarios, las cifras suben a 24.000 $ y 48.000 $ respectivamente. Atlassian aplica descuentos por volumen a partir de ciertos tramos.
Atlassian Guard y NIS2: cómo te ayuda con el cumplimiento normativo
Si tu empresa opera en un sector esencial o importante según la directiva europea NIS2 — energía, transporte, salud, finanzas, administración pública, infraestructuras digitales, alimentación, fabricación, servicios postales, gestión de residuos — esto te afecta directamente. Y aunque España todavía no ha completado la transposición de la directiva, el Anteproyecto de Ley ya está en trámite y 2026 es el año en que se espera que sea exigible.
Con Atlassian Guard Standard cubres el control de accesos (SSO + SCIM + 2FA obligatoria), la gestión del ciclo de vida de identidades (aprovisionamiento y desaprovisionamiento automático), la trazabilidad básica (audit log de organización) y las políticas de seguridad diferenciadas por grupo de usuarios.
Con Atlassian Guard Premium añades la clasificación y protección de datos sensibles (DLP), la detección de comportamientos anómalos y datos expuestos, las alertas con remediación (capacidad de respuesta ante incidentes) y los audit logs extendidos con mayor retención para evidencias forenses.
Esto no significa que activar Atlassian Guard te haga automáticamente cumplidor de NIS2. Significa que cuando el auditor te pregunte «¿cómo controlan el acceso a sus herramientas de gestión de proyectos?» o «¿pueden demostrar quién accedió a esta información confidencial y cuándo?», tendrás respuestas documentadas y verificables en lugar de silencios incómodos.
Los tres errores más comunes al gestionar la seguridad en Atlassian
Error 1: Confiar en que «Atlassian se encarga de la seguridad»
Es el más peligroso porque es invisible. Atlassian se encarga de la seguridad de la plataforma: cifrado en reposo y en tránsito, redundancia, parcheado de vulnerabilidades, disponibilidad. Pero no se encarga de la seguridad de lo que tú haces con la plataforma: quién accede, qué permisos tiene, qué datos comparte, qué exporta, qué tokens crea.
Error 2: Tener Guard Standard activado y no configurar nada
Hemos visto organizaciones que contrataron Guard Standard, activaron SSO y ahí se quedaron. Ni políticas de autenticación diferenciadas, ni revisión de tokens de API, ni audit logs consultados nunca. Si solo usas SSO, estás aprovechando un 20% de lo que pagas.
Error 3: No revisar quién tiene acceso y con qué permisos
Las organizaciones crecen, los proyectos se multiplican, la gente cambia de equipo o se va. El resultado: usuarios con acceso a proyectos que ya no les corresponden, cuentas de exempleados activas durante meses, tokens de API creados para una integración temporal que nadie eliminó. Sin una revisión periódica — nosotros recomendamos trimestral como mínimo — el desorden se acumula silenciosamente hasta que se convierte en un incidente.
Plan de acción: qué hacer mañana
Si no tienes Atlassian Guard activado
Lo primero es verificar tu dominio en el Admin Hub. Es gratuito, no requiere Guard y te da visibilidad sobre todas las cuentas de tu organización. Después, activa el trial gratuito de 30 días de Guard Standard. Configura SSO con tu proveedor de identidades y activa SCIM. En dos semanas tendrás una fotografía real de tu postura de seguridad en Atlassian.
Si ya tienes Atlassian Guard Standard
Haz una auditoría de configuración. Revisa cuántas políticas de autenticación tienes activas, si estás forzando 2FA en todos los grupos, si SCIM está funcionando correctamente, y cuándo fue la última vez que alguien consultó el audit log. Revisa los tokens de API activos y elimina los que no estén en uso. Después, evalúa si necesitas Premium con el trial de 30 días.
Si estás en sector regulado
No esperes a la publicación en el BOE. Empieza por documentar tu postura actual de seguridad en Atlassian, identifica los gaps respecto a NIS2 (control de accesos, trazabilidad, detección, protección de datos, cadena de suministro), y presenta un plan con plazos a dirección. Guard Premium cubre varios de esos controles, pero necesitarás una estrategia más amplia que incluya al resto de tu stack tecnológico.
Preguntas frecuentes
Las dudas más habituales de directivos sobre Atlassian Guard.
¿Atlassian Guard es obligatorio para usar Atlassian Cloud?
No. Puedes usar Jira, Confluence y el resto de productos Cloud sin Guard. Pero estarás gestionando la seguridad de forma manual y sin visibilidad centralizada. Guard es opcional desde el punto de vista de licencia; desde el punto de vista de buenas prácticas, es imprescindible a partir de 50 usuarios.
¿Guard funciona con Data Center?
No. Guard es exclusivo de Atlassian Cloud. El equivalente en Data Center para gestión de identidades es Crowd, pero no ofrece clasificación de datos, DLP ni detección de amenazas. Si necesitas estas capacidades, es un argumento más para planificar la migración a Cloud.
¿Qué productos cubre Guard Standard y cuáles Guard Premium?
Guard Standard cubre Jira, Confluence, Bitbucket, JSM, Trello y Statuspage. Guard Premium actualmente solo cubre Jira y Confluence Cloud. Atlassian ha indicado que ampliará la cobertura de Premium, pero a abril de 2026 no hay fechas confirmadas.
¿Puedo activar Guard solo para algunos usuarios?
Sí. Puedes crear políticas de autenticación no facturables y asignar usuarios a ellas. Esos usuarios quedan excluidos de la suscripción de Guard y no se facturan, pero tampoco están protegidos por sus funcionalidades.
¿Guard Standard viene incluido en alguna licencia?
Sí. Viene incluido sin coste adicional en Cloud Enterprise y en Teamwork Collection Premium. Si tienes una de estas licencias y además pagas Guard Standard como suscripción separada, revisa tu facturación porque podrías estar pagando doble.
¿Cuánto tarda la implantación de Guard?
Guard Standard con SSO y SCIM se configura en uno o dos días si ya tienes un proveedor de identidades. Guard Premium requiere más planificación: definir niveles de clasificación, crear políticas DLP y ajustar reglas de detección. Calcula entre una y tres semanas para una configuración completa.
¿Guard detecta datos sensibles automáticamente?
Guard Premium detecta patrones de datos sensibles como números de tarjeta de crédito, tokens de API, números de identificación y credenciales en Confluence y Jira. No es un DLP de nivel enterprise como Symantec o Microsoft Purview, pero cubre el perímetro de tu ecosistema Atlassian de forma nativa y sin integraciones adicionales.
Marketing & Communications Team 