Dropbox tiene políticas y procedimientos de respuesta a incidentes para abordar los problemas de disponibilidad, integridad, seguridad, privacidad y confidencialidad del servicio. Como parte de nuestros procedimientos de respuesta a incidentes, contamos con equipos dedicados que están capacitados para:
- Responder con rapidez a las alertas de posibles incidentes.
- Determinar la gravedad del incidente.
- De ser necesario, poner en práctica medidas de mitigación y contención.
- Comunicarse con las partes interesadas correspondientes a nivel interno y externo; por ejemplo, informar a los clientes afectados para satisfacer las obligaciones contractuales de notificación de infracciones o incumplimientos, y para cumplir con las leyes y reglamentaciones pertinentes.
- Recopilar y preservar evidencia para investigaciones.
- Documentar un análisis retrospectivo y desarrollar un plan de mitigación
Las políticas y los procedimientos de respuesta ante incidentes se controlan en nuestras auditorías de SOC 2+, ISO/IEC 27001 y otras evaluaciones de seguridad.
Dropbox se adhiere al ciclo de vida estándar de respuesta ante incidentes, que consiste en lo siguiente:
- Descubrimiento
- Notificación
- RESPUESTA:
- Evaluación
- acción correctiva
Tras el informe de un incidente que impacta a los clientes, ya sea causado por agentes externos o por personas con acceso autorizado, se lleva a cabo una evaluación del impacto con el fin de generar un plan de acción que remedie los problemas identificados. Cuando así lo exijan las leyes aplicables o las obligaciones contractuales, o cuando sea adecuado por algún otro motivo, Dropbox notificará a los clientes del incidente como se describe en el Acuerdo de procesamiento de datos de Dropbox.
Los problemas identificados como parte de un incidente se agrupan en dos categorías principales:
- Elementos de acción: acciones a corto plazo para mitigar un riesgo y detener un incidente.
- Problemas de seguridad: proyectos a largo plazo vinculados a tecnologías o sistemas específicos para mitigar un impacto negativo que pone en riesgo la seguridad.
Los elementos de acción se asignan a los roles adecuados en la empresa, quienes se coordinan para mitigar el problema, comunicarse con las partes interesadas internas y garantizar la disponibilidad de los recursos necesarios.
La resolución se logra cuando se completan todas las actividades del plan de acción.
Después de mitigar un incidente, se lleva a cabo un análisis retrospectivo para comprender por completo las causas fundamentales del problema, identificar los elementos de acción y los problemas de seguridad, y completar cualquier tarea restante para evitar que los problemas vuelvan a ocurrir. Los incidentes pasan por una serie de revisiones para recopilar información y estadísticas en los distintos niveles de la organización. Cuanto más grave sea el problema, mayor será el nivel de revisión por el que pasará. Los flujos de trabajo a largo plazo se agregan a los sprints y hojas de ruta, y las lecciones aprendidas se comunican a los equipos correspondientes.
Este enfoque por fases garantiza que Dropbox se centre en el trabajo de mayor prioridad en el momento adecuado, lo que ayudará a prevenir problemas en el futuro.
