Kebijakan dan prosedur tanggap insiden Dropbox
Dropbox memiliki kebijakan dan prosedur tanggap insiden untuk mengatasi masalah ketersediaan layanan, integritas, keamanan, privasi, dan kerahasiaan. Sebagai bagian dari prosedur tanggap insiden, kami memiliki tim khusus yang telah terlatih untuk:
- Cepat tanggap atas peringatan potensi insiden
- Menentukan tingkat keparahan insiden
- Jika diperlukan, melaksanakan tindakan mitigasi dan pengendalian
- Berkomunikasi dengan pemangku kepentingan internal dan eksternal yang relevan, termasuk menyampaikan pemberitahuan kepada pelanggan yang terdampak untuk memenuhi kewajiban kontrak terkait pemberitahuan tentang pelanggaran atau insiden, serta mematuhi hukum dan peraturan yang terkait
- Mengumpulkan dan menyimpan bukti untuk upaya investigasi
- Mendokumentasikan pelaksanaan postmortem dan membuat rencana penentuan prioritas permanen
Kebijakan dan proses tanggap insiden diaudit sebagai bagian dari SOC 2+, ISO/IEC 27001, dan pemeriksaan keamanan kami lainnya.
Dropbox menerapkan prosedur tanggap insiden standar berupa:
- Penemuan;
- Notifikasi;
- Tanggapan;
- Evaluasi; dan
- Tindakan Perbaikan
Setelah suatu insiden yang berdampak pada pelanggan dilaporkan, baik disebabkan oleh orang luar maupun orang yang memiliki akses resmi, akan dilakukan pemeriksaan dampak untuk membuat rencana tindakan guna menyelesaikan masalah yang teridentifikasi. Jika diwajibkan oleh hukum yang berlaku, kewajiban kontrak, atau jika dianggap sesuai, Dropbox akan memberi tahu pelanggan tentang suatu insiden sebagaimana diuraikan dalam Perjanjian Pemrosesan Data Dropbox.
Masalah yang teridentifikasi sebagai bagian dari suatu insiden akan dikelompokkan ke dalam dua kategori utama:
- Item Tindakan, yaitu tindakan jangka pendek untuk memitigasi risiko dan menghentikan insiden; dan
- Masalah Keamanan, yaitu proyek berjangka lebih panjang yang berkaitan dengan teknologi atau sistem tertentu untuk memitigasi pengaruh negatif terhadap risiko keamanan.
Penanganan Item Tindakan ditugaskan kepada peran yang sesuai di perusahaan, yang mengoordinasikan mitigasi masalah, menyampaikan kepada pemangku kepentingan internal, dan memastikan ketersediaan sumber daya untuk membantu.
Resolusi tercapai apabila semua aktivitas dalam rencana tindakan berhasil diselesaikan.
Setelah mitigasi suatu insiden, postmortem dilaksanakan untuk benar-benar memahami akar penyebab suatu masalah, mengidentifikasi Item Tindakan dan Masalah Keamanan, serta menyelesaikan semua pekerjaan yang masih tersisa untuk mencegah masalah terulang kembali. Insiden akan melalui serangkaian peninjauan untuk mengumpulkan masukan dan data pada berbagai tingkatan organisasi. Makin berat suatu masalah, makin tinggi tingkatan peninjauan yang akan dilaksanakan pada suatu insiden. Alur kerja jangka panjang ditambahkan pada sprint dan roadmap, sementara pelajaran yang dapat dipetik akan disampaikan kepada tim yang relevan.
Pendekatan bertahap ini memastikan bahwa Dropbox berfokus pada pekerjaan bernilai tertinggi pada waktu yang tepat, sehingga membantu mencegah timbulnya masalah pada masa mendatang.