Dropbox 사고 대응 정책 및 절차

Dropbox는 사고 대응에 관한 정책과 절차를 갖춰 서비스 가용성, 무결성, 보안, 개인정보 보호, 기밀성과 관련된 문제에 대응하고 있습니다. 사고 대응 절차의 일환으로 Dropbox의 사고대응팀은 다음과 같은 교육을 받습니다.

• 잠재적 사고 알림에 신속하게 대응
• 사고의 심각도 결정
• 필요한 경우 완화 조치와 억제 조치 실행
• 관련된 내외부 이해 당사자에게 연락(피해를 입은 고객에게 통보해 위반 또는 사고 알림에 관한 계약상 의무를 이행하고, 관련된 법과 규정 준수하기 위한 목적)
• 조사를 위해 관련 증거를 수집하고 보존
• 사고 후 결과를 기록하고 영구적인 데이터 분류 계획 구축

Dropbox는 SOC 2+, ISO/IEC 27001, 기타 보안 평가의 일환으로 사고 대응 정책과 프로세스에 대한 감사를 실행합니다.

Dropbox는 다음과 같은 표준 사고 대응 라이프사이클을 따릅니다.

1. 발견
2. 알림
3. 대응
4. 평가
5. 시정 조치

고객에게 영향을 미치는 사고(외부 행위자 또는 액세스 권한이 있는 사람에 의해 발생한)가 보고된 후, 확인된 문제를 해결하기 위한 조치 계획을 수립하기 위해 영향이 평가됩니다. 관련 법률, 계약상 의무 또는 기타 적절한 상황에 의해 요구되는 경우, Dropbox는 Dropbox 데이터 처리 계약에 명시된 대로 고객에게 사고 사실을 알립니다.

사고의 일부로 확인되는 문제는 두 가지 주요 카테고리로 분류됩니다.

1. 리스크를 완화하고 사고를 막기 위한 단기 조치인 조치 항목
2. 보안 리스크에 대한 부정적인 영향을 완화하기 위해 특정 기술이나 시스템과 관련된 장기 프로젝트인 보안 문제

조치 항목은 회사 전반에서 적절한 역할에 할당되어 문제를 완화하고, 내부 이해 관계자와 소통하며, 도움을 줄 수 있는 리소스를 확보할 수 있도록 조율합니다.

조치 계획의 모든 활동이 완료되면 문제가 해결됩니다. 

사고를 완화한 후에 포스트모텀을 수행하여 문제의 근본 원인을 완전히 이해하고, 조치 계획 및 보안 문제를 확인하고, 문제가 다시 발생하지 않도록 남은 작업을 완료합니다. 그리고 일련의 사고 검토를 거쳐 조직의 다양한 수준에서 의견 및 인사이트를 수집합니다. 문제가 심각할수록 사고는 더 높은 수준으로 검토됩니다. 장기적인 작업 흐름이 스프린트 및 로드맵에 추가되고 이를 통해 얻은 교훈은 적용 가능한 팀에 전달됩니다.  

단계적 접근 방식을 사용하면 Dropbox는 적절한 시점에 가장 가치 있는 업무에 집중하여 향후 문제를 예방할 수 있습니다.