Dropbox-Richtlinien zum Umgang mit Sicherheitsvorfällen
Dropbox hat Richtlinien zum Umgang mit Sicherheitsvorfällen implementiert, um auf Probleme hinsichtlich Verfügbarkeit, Integrität, Sicherheit, Datenschutz und Vertraulichkeit reagieren zu können. Außerdem haben wir für derartige Vorfälle spezielle Teams, die in folgenden Bereichen geschult sind:
- Umgehende Reaktion auf Hinweise zu potenziellen Sicherheitsvorfällen
- Bestimmung des Schweregrads eines Vorfalls
- Gegebenenfalls Ergreifen von Maßnahmen zur Schadensbegrenzung und -minderung
- Kommunikation mit relevanten internen und externen Beteiligten, dazu gehört die Benachrichtigung betroffener Kunden, um unserer Meldepflicht bei Zwischenfällen nachzukommen und die jeweiligen gesetzlichen Vorschriften und Bestimmungen zu erfüllen
- Sicherung der Beweise zu Untersuchungszwecken
- Dokumentation einer nachträglichen Analyse und Entwicklung eines nachhaltigen Triage-Plans
Unsere Richtlinien zum Umgang mit Sicherheitsvorfällen werden im Rahmen unserer SOC 2+, ISO/IEC 27001 und anderer Sicherheitsabschätzungen überprüft.
Zur Behandlung von Sicherheitsvorfällen hat Dropbox standardmäßig folgendes Verfahren etabliert:
- Ermittlung
- Benachrichtigung
- Reaktion
- Auswertung und
- Korrekturmaßnahme
Nachdem ein Vorfall mit Auswirkungen auf Kunden gemeldet wurde, unabhängig davon, ob dieser durch externe Akteure oder Personen mit autorisiertem Zugriff verursacht wurde, wird eine Bewertung der Auswirkungen vorgenommen, um einen Maßnahmenplan zur Behebung der identifizierten Probleme zu erstellen. Sofern dies durch geltendes Recht oder vertragliche Verpflichtungen erforderlich ist oder wenn anderweitig Bedarf hierfür besteht, benachrichtigt Dropbox die betroffenen Kunden über den Vorfall, wie im Dropbox-Datenverarbeitungsvertrag beschrieben.
Die im Rahmen eines Vorfalls ermittelten Probleme werden in zwei Hauptkategorien eingeteilt:
- Aktionselemente, die sich über kurzfristige Maßnahmen zur Minderung eines Risikos und zur Behebung eines Vorfalls behandeln lassen, sowie
- Sicherheitsprobleme, die längerfristige Projekte erforderlich machen, um negative Auswirkungen auf das Sicherheitsrisiko zu mindern. Diese Kategorie zielt jeweils auf bestimmte Technologien oder Systeme.
Aktionselemente werden den entsprechenden Mitarbeitenden im Unternehmen zugewiesen. Diese koordinieren dann die Behebung des Problems, informieren die internen Beteiligten und stellen sicher, dass Ressourcen zur Unterstützung bereitgestellt werden.
Das Problem gilt als gelöst, wenn alle Punkte des Maßnahmenplans abgeschlossen sind.
Nach der Behebung eines Vorfalls wird eine Post-mortem-Analyse durchgeführt, um die Grundursache(n) eines Problems vollständig zu verstehen, Aktionselemente und Sicherheitsprobleme zu identifizieren und alle verbleibenden Arbeiten abzuschließen, damit ein erneutes Auftreten der Probleme verhindert wird. Alle Vorfälle werden einer Reihe von Überprüfungen unterzogen, um Vorschläge und Erkenntnisse von den verschiedenen Ebenen des Unternehmens einzuholen. Je schwerwiegender das Problem ist, desto intensiver wird der Vorfall geprüft. Langfristige Arbeitsabläufe werden in Sprints und Roadmaps aufgenommen und die gewonnenen Erkenntnisse an die entsprechenden Teams weitergegeben.
Durch diesen stufenweisen Ansatz wird sichergestellt, dass Dropbox immer alle erforderlichen Schritte zur Behebung von Sicherheitsvorfällen unternimmt, wodurch zukünftige Probleme vermieden werden können.