Norme e procedure di Dropbox relative alla risposta agli eventi imprevisti
Le informazioni contenute in questo articolo si applicano a tutti i clienti di Dropbox con un piano a pagamento.
Dropbox dispone di politiche e procedure di risposta agli incidenti per gestire problemi di disponibilità del servizio, integrità, sicurezza, privacy e riservatezza. Come parte delle nostre procedure di risposta agli incidenti, disponiamo di team dedicati e addestrati a:
- Rispondere rapidamente agli avvisi di potenziali eventi imprevisti
- Determinare la gravità dell'evento imprevisto
- Se necessario, adottare misure di attenuazione e contenimento
- Comunicare con le parti interessate interne ed esterne, compresa la notifica ai clienti coinvolti, per ottemperare agli obblighi contrattuali di notifica in caso di violazione o evento imprevisto e alle leggi e alle normative pertinenti
- Raccogliere e conservare prove a scopo investigativo
- Effettuare un'analisi retrospettiva e sviluppare un piano di assegnazione delle priorità definitivo
Le norme e le procedure in materia di risposta agli eventi imprevisti sono controllate nell'ambito degli audit SOC 2+, ISO/IEC 27001 e di altre valutazioni di sicurezza.
Dropbox segue una procedura standard di risposta agli eventi imprevisti che prevede:
- Individuazione
- Notifica
- Risposta
- Valutazione
- Azione correttiva
Dopo la segnalazione di un evento imprevisto che interessa i clienti, sia esso causato da utenti esterni o da persone con accesso autorizzato, viene condotta una valutazione dell’impatto per generare un piano d’azione al fine di risolvere i problemi identificati. Laddove richiesto dalla legge applicabile, dagli obblighi contrattuali o per altri motivi pertinenti, Dropbox invia una notifica ai clienti riguardo all’evento imprevisto, come descritto nel Contratto per il trattamento dei dati Dropbox.
I problemi identificati nell’ambito di un evento imprevisto si suddividono in due categorie principali:
- Attività, ovvero azioni a breve termine per attenuare un rischio e interrompere un evento imprevisto.
- Problemi di sicurezza, ovvero progetti a lungo termine associati a tecnologie o sistemi specifici per attenuare l’impatto negativo associato ai rischi di sicurezza.
Le attività vengono assegnate agli utenti con i ruoli appropriati all’interno dell’azienda, che si coordinano per far fronte al problema, comunicare con le parti interne interessate e garantire la disponibilità delle risorse necessarie.
La risoluzione avviene quando tutte le attività della procedura sono state completate.
Dopo aver risolto un evento imprevisto, viene condotta un’analisi per comprendere appieno le cause di un problema, identificare le attività e i problemi di sicurezza e completare il lavoro rimanente per evitare che i problemi si ripresentino. Gli eventi imprevisti vengono sottoposti a una serie di revisioni per raccogliere consigli e spunti nei vari settori dell’organizzazione. Più grave è il problema, più alto sarà il livello di revisione. I flussi di lavoro a lungo termine vengono aggiunti agli sprint e alle roadmap e le lezioni apprese vengono comunicate ai team interessati.
Questo approccio graduale consente a Dropbox di concentrarsi sugli aspetti più importanti al momento giusto, al fine di prevenire problemi futuri.
