Procedimientos y políticas de respuesta ante incidentes de Dropbox
La información de este artículo se aplica a todos los clientes con planes de pago de Dropbox.
Dropbox tiene políticas y procedimientos de respuesta a incidentes para abordar los problemas de disponibilidad, integridad, seguridad, privacidad y confidencialidad del servicio. Como parte de nuestros procedimientos de respuesta a incidentes, contamos con equipos dedicados que están capacitados para:
- Responder con rapidez a las alertas de posibles incidentes.
- Determinar la gravedad del incidente.
- De ser necesario, poner en práctica medidas de mitigación y contención.
- Comunicarse con las partes interesadas correspondientes a nivel interno y externo; por ejemplo, informar a los clientes afectados para satisfacer las obligaciones contractuales de notificación de infracciones o incumplimientos, y para cumplir con las leyes y reglamentaciones pertinentes.
- Recopilar y preservar evidencia para investigaciones.
- Documentar posteriormente un balance de resultados y desarrollar un plan para establecer prioridades de forma permanente.
Las políticas y los procedimientos de respuesta ante incidentes se controlan en nuestras auditorías de SOC 2+, ISO/IEC 27001 y otras evaluaciones de seguridad.
Dropbox se adhiere al ciclo de vida estándar de respuesta ante incidentes, que consiste en lo siguiente:
- descubrimiento
- notificación
- respuesta
- evaluación
- acción correctiva
Tras el informe de un incidente que impacta a los clientes, ya sea causado por agentes externos o por personas con acceso autorizado, se lleva a cabo una evaluación del impacto con el fin de generar un plan de acción que remedie los problemas identificados. Cuando así lo exijan las leyes aplicables o las obligaciones contractuales, o cuando sea adecuado por algún otro motivo, Dropbox notificará a los clientes del incidente como se describe en el Acuerdo de procesamiento de datos de Dropbox.
Los problemas identificados como parte de un incidente se agrupan en dos categorías principales:
- Elementos de acción, que consisten en acciones a corto plazo cuya función es mitigar un riesgo y detener un incidente.
- Problemas de seguridad, los cuales son proyectos a largo plazo vinculados a tecnologías o sistemas específicos para mitigar el impacto negativo en el riesgo de seguridad.
Los elementos de acción se asignan a los roles adecuados en la empresa, quienes se coordinan para mitigar el problema, comunicarse con las partes interesadas internas y garantizar la disponibilidad de los recursos necesarios.
La resolución se logra cuando se completan todas las actividades del plan de acción.
Tras la mitigación de un incidente, se realiza un análisis retrospectivo para comprender la causa del problema, identificar los elementos de acción y los problemas de seguridad, y completar cualquier otro proceso necesario para impedir que vuelvan a presentarse los problemas. Los incidentes pasan por una serie de revisiones para recopilar información y estadísticas en distintos niveles de la organización. Entre más severo sea el problema, mayor será el nivel de revisión que reciba el incidente. Los flujos de trabajo a largo plazo se agregan a la planificación y a la hoja de ruta, y el aprendizaje obtenido se transmite a los equipos correspondientes.
Este enfoque por fases garantiza que Dropbox se centre en el trabajo de mayor prioridad en el momento adecuado, lo que ayudará a prevenir problemas en el futuro.