Dropbox' politikker og procedurer for reaktion på hændelser

Dropbox har politikker for reaktion på hændelser og procedurer for håndteringen af problemer med tjenestens tilgængelighed, integritet, sikkerhed, beskyttelse af persondata og fortrolighed. Som en del af vores procedurer for reaktion på hændelser har vi dedikerede teams, der er uddannet til at:

• Reagere hurtigt på advarsler om potentielle hændelser.
• Bestemme, hvor alvorlig hændelsen er.
• Om nødvendigt udføre handlinger for at afhjælpe og begrænse problemer.
• Kommunikere med relevante interne og eksterne interessenter. Det kan være i form af meddelelser til berørte kunder, for at overholde kontraktmæssige forpligtelser samt relevante love og bestemmelser vedrørende underretning om misligholdelse eller andre hændelser.
• Indsamle og opbevare beviser som led i en efterforskning.
• Dokumentere det arbejde, der foretages efter en sikkerhedsbrist, og udarbejd en permanent prioriteringsplan.

Politikker og processer for hændelsessvar revideres som en del af vores SOC 2+, ISO/IEC 27001 og andre sikkerhedsvurderinger.

Dropbox følger en standardlivscyklus for reaktion på hændelser:

1. Registrering
2. Meddelelse
3. Reaktion
4. Evaluering
5. Afhjælpning

Efter rapportering af en hændelse, der berører kunder, uanset om den er forårsaget af eksterne aktører eller personer med autoriseret adgang, udføres der en vurdering af påvirkningen for at oprette en plan til afhjælpning af de identificerede problemer. Hvor det er lovpligtigt, kontraktbestemt eller på anden måde relevant, giver Dropbox kunderne besked om en hændelse som beskrevet i Dropbox' aftale om databehandling.

Problemer, der identificeres som en del af en hændelse, inddeles i to hovedkategorier:

1. Handlingspunkter, som er kortsigtede handlinger til at afhjælpe en risiko og stoppe en hændelse, og
2. Sikkerhedsproblemer, som er langsigtede projekter, der er knyttet til bestemte teknologier eller systemer, og som skal afhjælpe en negativ påvirkning af en sikkerhedsrisiko.

Handlingspunkter er knyttet til de relevante roller i virksomheden, som koordinerer afhjælpningen af problemet, kommunikerer med interne interessenter og sikrer, at der er ressourcer til afhjælpningen

Løsningen arkiveres, når alle aktiviteter i planen over handlinger er fuldført. 

Når en hændelse er afhjulpet, udføres der en opfølgning for at forstå rodårsagerne til et problem, identificere handlingspunkter og sikkerhedsproblemer og fuldføre resterende arbejde for at forhindre, at problemer opstår igen. Hændelser skal gennem flere gennemgange for at indsamle input og indsigt på forskellige niveauer i organisationen.  Jo mere alvorligt problemet er, jo højere niveau af gennemgang udføres der for hændelsen. Længerevarende arbejdsprocesser føjes til sprints og køreplaner, og de fundne resultater kommunikeres til de relevante teams.  

Denne faseinddelte tilgang sikrer, at Dropbox fokuserer på det mest nyttige arbejde på de rette tidspunkter, som vil hjælpe med at forhindre fremtidige problemer.