Zasady i procedury reagowania na incydenty w Dropbox
W Dropbox obowiązują zasady i procedury reagowania na incydenty dotyczące dostępności usług, integralności, bezpieczeństwa, prywatności i poufności. Częścią procedur reagowania na incydenty są wydzielone zespoły, które są przeszkolone w takich kwestiach jak:
- Szybkie reagowanie na ostrzeżenia o potencjalnych incydentach
- Określanie powagi incydentu
- W razie potrzeby stosowanie środków zaradczych i ograniczających rozprzestrzenianie się
- Komunikowanie się z właściwymi zainteresowanymi stronami wewnętrznymi i zewnętrznymi, w tym powiadamianie klientów, których dotyczy naruszenie, w celu wypełnienia zobowiązań umownych dotyczących powiadamiania o naruszeniach lub incydentach oraz przestrzegania odpowiednich przepisów
- Gromadzenie i przechowywanie dowodów na potrzeby działań dochodzeniowych
- Dokumentowanie podsumowania i analizy sytuacji oraz opracowywanie stałego planu działania
Zasady i procesy reagowania na incydenty podlegają audytowi w ramach certyfikatów SOC 2+, ISO/IEC 27001 i innych ocen bezpieczeństwa.
Dropbox postępuje zgodnie ze standardowym cyklem reagowania na incydenty:
- Wykrycie
- Powiadomienie
- Reakcja
- Ocena i
- Działania naprawcze
Po zgłoszeniu incydentu mającego wpływ na klientów, spowodowanego przez podmioty zewnętrzne lub osoby z autoryzowanym dostępem, przeprowadzana jest ocena wpływu w celu opracowania planu działania i podjęcia działań zaradczych w zakresie zidentyfikowanych problemów. Jeśli jest to wymagane przez obowiązujące prawo, zobowiązania umowne lub z innych powodów, Dropbox powiadamia klientów o incydencie w sposób opisany w Umowie o przetwarzaniu danych Dropbox.
Problemy zidentyfikowane w ramach incydentu są podzielone na dwie główne kategorie:
- Działania do wykonania, czyli krótkoterminowe działania mające na celu ograniczenie ryzyka i powstrzymanie incydentu.
- Luki zabezpieczeń, które są długoterminowymi projektami związanymi z określonymi technologiami lub systemami w celu usunięcia negatywnego wpływu na ryzyko związane z bezpieczeństwem.
Działania do wykonania są przypisywane do odpowiednich stanowisk w firmie, które koordynują je w celu usunięcia problemu, komunikują się z wewnętrznymi zainteresowanymi stronami i zapewniają dostępność niezbędnych zasobów.
Rozwiązanie błędu następuje, gdy wszystkie zaplanowane działania zostaną ukończone.
Po usunięciu incydentu przeprowadzana jest analiza, aby w pełni zrozumieć pierwotne przyczyny problemu, zidentyfikować możliwe działania do wykonania i luki zabezpieczeń oraz zakończyć wszelkie pozostałe prace, aby zapobiec ponownemu wystąpieniu problemów. Incydenty przechodzą serię przeglądów w celu zebrania informacji i spostrzeżeń na różnych poziomach organizacji. Im poważniejsza sprawa, tym bardziej szczegółowa ocena incydentu. Długoterminowe strumienie prac są dodawane do przebiegów i harmonogramów działań, a wyciągnięte wnioski są przekazywane odpowiednim zespołom.
To etapowe podejście gwarantuje koncentrację Dropbox na najważniejszej pracy w odpowiednich momentach, co pomaga zapobiec przyszłym problemom.