Dropbox dispone di politiche e procedure di risposta agli incidenti per gestire problemi di disponibilità del servizio, integrità, sicurezza, privacy e riservatezza. Come parte delle nostre procedure di risposta agli incidenti, disponiamo di team dedicati e addestrati a:
- Rispondere rapidamente agli avvisi di potenziali eventi imprevisti
- Determinare la gravità dell'evento imprevisto
- Se necessario, adottare misure di attenuazione e contenimento
- Comunicare con le parti interessate interne ed esterne, compresa la notifica ai clienti coinvolti, per ottemperare agli obblighi contrattuali di notifica in caso di violazione o evento imprevisto e alle leggi e alle normative pertinenti
- Raccogliere e conservare prove a scopo investigativo
- Documentare un'analisi postmortem e sviluppare un piano di mitigazione
Le norme e le procedure in materia di risposta agli eventi imprevisti sono controllate nell'ambito degli audit SOC 2+, ISO/IEC 27001 e di altre valutazioni di sicurezza.
Dropbox segue una procedura standard di risposta agli eventi imprevisti che prevede:
- Rilevamento
- Notifica
- Risposta
- Valutazione
- Azione correttiva
Dopo la segnalazione di un evento imprevisto che interessa i clienti, sia esso causato da utenti esterni o da persone con accesso autorizzato, viene condotta una valutazione dell’impatto per generare un piano d’azione al fine di risolvere i problemi identificati. Laddove richiesto dalla legge applicabile, dagli obblighi contrattuali o per altri motivi pertinenti, Dropbox invia una notifica ai clienti riguardo all’evento imprevisto, come descritto nel Contratto per il trattamento dei dati Dropbox.
I problemi identificati nell’ambito di un evento imprevisto si suddividono in due categorie principali:
- Elenco azioni: misure a breve termine per mitigare un rischio e prevenire un incidente; e
- Problemi di sicurezza: progetti a lungo termine legati a tecnologie o sistemi specifici per mitigare eventuali impatti negativi sulla sicurezza.
Le attività vengono assegnate agli utenti con i ruoli appropriati all’interno dell’azienda, che si coordinano per far fronte al problema, comunicare con le parti interne interessate e garantire la disponibilità delle risorse necessarie.
La risoluzione avviene quando tutte le attività della procedura sono state completate.
Dopo la mitigazione di un incidente, viene condotta un'analisi postmortem per comprendere appieno le cause originarie del problema, individuare le azioni necessarie, affrontare eventuali questioni di sicurezza e completare il lavoro residuo per prevenire il ripetersi dello stesso problema. Gli incidenti vengono sottoposti a una serie di revisioni per raccogliere input e approfondimenti ai vari livelli dell'organizzazione. Più serio è il problema, più elevato sarà il livello di revisione assegnato all'incidente. I flussi di lavoro a lungo termine vengono integrati negli sprint e nelle roadmap, mentre le lesson learned vengono condivise con i team interessati.
Questo approccio graduale consente a Dropbox di concentrarsi sugli aspetti più importanti al momento giusto, al fine di prevenire problemi futuri.
