Dropbox memiliki kebijakan dan prosedur tanggap insiden untuk mengatasi masalah ketersediaan layanan, integritas, keamanan, privasi, dan kerahasiaan. Sebagai bagian dari prosedur tanggap insiden kami, kami memiliki tim khusus yang terlatih untuk:
- Cepat tanggap atas peringatan potensi insiden
- Menentukan tingkat keparahan insiden
- Jika diperlukan, melaksanakan tindakan mitigasi dan pengendalian
- Berkomunikasi dengan pemangku kepentingan internal dan eksternal yang relevan, termasuk menyampaikan pemberitahuan kepada pelanggan yang terdampak untuk memenuhi kewajiban kontrak terkait pemberitahuan tentang pelanggaran atau insiden, serta mematuhi hukum dan peraturan yang terkait
- Mengumpulkan dan menyimpan bukti untuk upaya investigasi
- Dokumentasikan postmortem dan kembangkan rencana mitigasi
Kebijakan dan proses tanggap insiden diaudit sebagai bagian dari SOC 2+, ISO/IEC 27001, dan pemeriksaan keamanan kami lainnya.
Dropbox menerapkan prosedur tanggap insiden standar berupa:
- Penemuan
- Notifikasi
- Tanggapan
- Evaluasi
- Tindakan Perbaikan
Setelah suatu insiden yang berdampak pada pelanggan dilaporkan, baik disebabkan oleh orang luar maupun orang yang memiliki akses resmi, akan dilakukan pemeriksaan dampak untuk membuat rencana tindakan guna menyelesaikan masalah yang teridentifikasi. Jika diwajibkan oleh hukum yang berlaku, kewajiban kontrak, atau jika dianggap sesuai, Dropbox akan memberi tahu pelanggan tentang suatu insiden sebagaimana diuraikan dalam Perjanjian Pemrosesan Data Dropbox.
Masalah yang teridentifikasi sebagai bagian dari suatu insiden akan dikelompokkan ke dalam dua kategori utama:
- Item tindakan: Tindakan jangka pendek untuk mengurangi risiko dan menghentikan insiden; dan
- Masalah keamanan: Proyek jangka panjang yang terkait dengan teknologi atau sistem tertentu untuk mengurangi pengaruh negatif pada risiko keamanan.
Penanganan Item Tindakan ditugaskan kepada peran yang sesuai di perusahaan, yang mengoordinasikan mitigasi masalah, menyampaikan kepada pemangku kepentingan internal, dan memastikan ketersediaan sumber daya untuk membantu.
Resolusi tercapai apabila semua aktivitas dalam rencana tindakan berhasil diselesaikan.
Setelah mitigasi insiden, postmortem dilakukan untuk sepenuhnya memahami akar penyebab masalah, mengidentifikasi item tindakan dan masalah keamanan, dan menyelesaikan pekerjaan yang tersisa untuk mencegah masalah terulang kembali. Insiden-insiden tersebut melewati serangkaian peninjauan untuk mengumpulkan masukan dan wawasan di berbagai level organisasi. Semakin parah masalahnya, semakin tinggi level peninjauan yang akan diperoleh insiden tersebut. Aliran pekerjaan jangka panjang ditambahkan ke dalam sprint dan peta jalan, dan pelajaran yang didapat kemudian dikomunikasikan kepada tim yang sesuai.
Pendekatan bertahap ini memastikan bahwa Dropbox berfokus pada pekerjaan bernilai tertinggi pada waktu yang tepat, sehingga membantu mencegah timbulnya masalah pada masa mendatang.