Beleid en procedures van Dropbox voor reacties op calamiteiten
Dropbox heeft beleid en procedures voor calamiteiten ingericht om problemen op het gebied van de beschikbaarheid, integriteit, beveiliging, privacy en vertrouwelijkheid van de service het hoofd te bieden. Als onderdeel van onze procedures voor reacties op calamiteiten hebben we speciale teams getraind die zich toeleggen op de volgende taken:
- Snel reageren op meldingen van mogelijke incidenten
- De ernst van het incident bepalen
- Waar nodig maatregelen voor risicobeperking en indamming uitvoeren
- Communiceren met relevante interne en externe betrokkenen, inclusief een melding aan betrokken klanten, om te voldoen aan contractuele verplichtingen voor het melden van incidenten en om de wet- en regelgeving op dit gebied na te leven
- Bewijs verzamelen en bewaren voor onderzoek
- Een nabespreking documenteren en een permanent diagnoseplan ontwikkelen
De regels en processen van ons calamiteitenplan zijn gecontroleerd in onze veiligheidsbeoordelingen voor onder meer SOC 2+ en ISO/IEC 27001.
De standaardlevenscyclus bij reacties op calamiteiten ziet er bij Dropbox zo uit:
- Detecteren
- Melden
- Reageren
- Evalueren, en
- Corrigerende maatregelen treffen.
Nadat een calamiteit is gemeld die gevolgen heeft voor klanten, of die nu is veroorzaakt door externe invloeden of door bevoegde personen, wordt eerst een beoordeling van de impact uitgevoerd en een actieplan opgesteld om de geïdentificeerde problemen op te lossen. Waar vereist door toepasselijke wetgeving, contractuele verplichtingen of anderszins van toepassing, stelt Dropbox klanten op de hoogte van een calamiteit zoals beschreven in de Overeenkomst inzake gegevensverwerking van Dropbox.
Problemen die zijn geïdentificeerd als onderdeel van een calamiteit, worden onderverdeeld in twee hoofdcategorieën:
- Actiepunten: acties op korte termijn om een risico te verkleinen en een einde te maken aan een calamiteit, en
- Beveiligingsproblemen: langetermijnprojecten die zijn gekoppeld aan specifieke technologieën of systemen teneinde een negatieve invloed op het beveiligingsrisico te verminderen.
Actiepunten worden toegewezen aan de relevante medewerkers in het bedrijf, die het probleem coördineren om het te beperken, erover communiceren met interne belanghebbenden en ervoor zorgen dat middelen beschikbaar worden gesteld om het te verhelpen.
Een actiepunt is 'opgelost' wanneer alle activiteiten in het actieplan zijn voltooid.
Nadat een calamiteit is verholpen, wordt nog een 'autopsie' uitgevoerd, om de hoofdoorzaak/hoofdoorzaken van een probleem volledig te begrijpen, actiepunten en beveiligingsproblemen te identificeren en eventueel resterende werkzaamheden te voltooien om te voorkomen dat de problemen zich opnieuw voordoen. Calamiteiten doorlopen een reeks beoordelingen om input en inzichten te verzamelen uit alle lagen van de organisatie. Daarbij geldt dat hoe ernstiger het probleem is, hoe hoger het beoordelingsniveau is dat wordt toegekend aan de calamiteit. Er worden werkstromen toegevoegd aan sprints en roadmaps voor de langere termijn, en 'geleerde lessen' worden gecommuniceerd naar toepasselijke teams.
Deze gefaseerde aanpak zorgt ervoor dat Dropbox zich op het juiste moment richt op het werk met het hoogste belang, wat toekomstige problemen zo effectief mogelijk helpt voorkomen.