Dropbox tiene políticas y procedimientos de respuesta a incidentes para abordar los problemas de disponibilidad, integridad, seguridad, privacidad y confidencialidad del servicio. Como parte de nuestros procedimientos de respuesta a incidentes, contamos con equipos especializados que están formados para:
- Responder rápidamente a alertas de posibles incidentes
- Determinar la gravedad del incidente
- Si fuera necesario, tomar las medidas necesarias para mitigar y contener el problema
- Establecer contacto con las partes interesadas internas y externas, además de notificar a los clientes afectados para cumplir las obligaciones contractuales de notificación de incidentes o incumplimiento, y para satisfacer la normativa y regulación relevante
- Recopilar y preservar información relevante para ponerla a disposición de los agentes investigadores
- Documentar un análisis retrospectivo y desarrollar un plan de mitigación
Los procesos y políticas de respuesta a incidentes se revisan durante las auditorías de SOC 2+, ISO/IEC 27001, entre otras.
Dropbox sigue un ciclo de respuesta ante incidentes estándar de:
- Descubrimiento
- Notificación
- Respuesta
- Evaluación
- Acción correctiva
Después de informar sobre un incidente que afecte a los clientes, ya sea causado por agentes externos como por personas con acceso autorizado, se lleva a cabo una evaluación del impacto para generar un plan de acción y solucionar los problemas identificados. Cuando lo requieren la ley pertinente o las obligaciones contractuales, o cuando resulta necesario por cualquier otro motivo, Dropbox notifica a los clientes sobre los incidentes como se describe en el Acuerdo de procesamiento de datos de Dropbox.
Los problemas identificados como parte de un incidente se engloban en dos categorías principales:
- Elementos de acción: acciones a corto plazo para mitigar un riesgo y detener un incidente.
- Problemas de seguridad: proyectos a largo plazo vinculados a tecnologías o sistemas específicos para mitigar un impacto negativo que pone en riesgo la seguridad.
Los elementos de acción se asignarán a los roles pertinentes en la empresa, quienes se coordinarán para mitigar el problema, se comunicarán con las partes internas interesadas y garantizarán que los recursos estén disponibles para ayudar.
La resolución se alcanza cuando se completan todas las actividades del plan de acción.
Después de mitigar un incidente, se lleva a cabo un análisis retrospectivo para comprender por completo las causas fundamentales del problema, identificar los elementos de acción y los problemas de seguridad, y completar cualquier tarea restante para evitar que los problemas vuelvan a ocurrir. Los incidentes pasan por una serie de revisiones para recopilar información y estadísticas en los distintos niveles de la organización. Cuanto más grave sea el problema, mayor será el nivel de revisión por el que pasará. Los flujos de trabajo a largo plazo se añaden a los sprints y hojas de ruta, y las lecciones aprendidas se comunican a los equipos correspondientes.
Este enfoque por etapas garantiza que Dropbox se centre en un trabajo de mayor valor en los momentos oportunos, lo que ayudará a evitar problemas en el futuro.
