Procedimientos y políticas de respuesta a incidentes de Dropbox

Dropbox cuenta con procedimientos y políticas de respuesta a incidentes para abordar los problemas de disponibilidad, integridad, seguridad, privacidad y confidencialidad del servicio. Como parte de nuestros procedimientos de respuesta ante incidentes, contamos con equipos formados para:

• Responder rápidamente a alertas de posibles incidentes
• Determinar la gravedad del incidente
• Si fuera necesario, tomar las medidas necesarias para mitigar y contener el problema
• Establecer contacto con las partes interesadas internas y externas, además de notificar a los clientes afectados para cumplir las obligaciones contractuales de notificación de incidentes o incumplimiento, y para satisfacer la normativa y regulación relevante
• Recopilar y preservar información relevante para ponerla a disposición de los agentes investigadores
• Elaborar un análisis de los resultados y desarrollar un plan permanente de evaluación de prioridades

Los procesos y políticas de respuesta a incidentes se revisan durante las auditorías de SOC 2+, ISO/IEC 27001, entre otras.

Dropbox sigue un ciclo de respuesta ante incidentes estándar de:

1. Descubrimiento
2. Notificación
3. Respuesta
4. Evaluación
5. Acción correctiva

Después de informar sobre un incidente que afecte a los clientes, ya sea causado por agentes externos como por personas con acceso autorizado, se lleva a cabo una evaluación del impacto para generar un plan de acción y solucionar los problemas identificados. Cuando lo requieren la ley pertinente o las obligaciones contractuales, o cuando resulta necesario por cualquier otro motivo, Dropbox notifica a los clientes sobre los incidentes como se describe en el Acuerdo de procesamiento de datos de Dropbox.

Los problemas identificados como parte de un incidente se engloban en dos categorías principales:

1. Elementos de acción, que son acciones a corto plazo para mitigar un riesgo y detener un incidente.
2. Problemas de seguridad, que son proyectos a largo plazo vinculados a tecnologías o sistemas específicos para mitigar un riesgo de impacto negativo en la seguridad.

Los elementos de acción se asignarán a los roles pertinentes en la empresa, quienes se coordinarán para mitigar el problema, se comunicarán con las partes internas interesadas y garantizarán que los recursos estén disponibles para ayudar.

La resolución se alcanza cuando se completan todas las actividades del plan de acción. 

Tras la mitigación de un incidente, se efectúa un análisis para comprender la raíz del problema, identificar los elementos de acción y los problemas de seguridad, y completar cualquier trabajo restante para evitar que el problema vuelva a ocurrir. Los incidentes pasan por una serie de revisiones para recopilar información y conocimientos en los distintos niveles de la organización.  Cuanto más grave sea el problema, el incidente se revisará con mayor profundidad. Los flujos de trabajo a largo plazo se incorporan a los sprints y a las hojas de ruta, y las lecciones aprendidas se comunican a los equipos correspondientes.  

Este enfoque por etapas garantiza que Dropbox se centre en un trabajo de mayor valor en los momentos oportunos, lo que ayudará a evitar problemas en el futuro.