W Dropbox obowiązują zasady i procedury określające sposób reagowania na incydenty, które wdrożono w celu rozwiązywania problemów związanych z dostępnością, integralnością, bezpieczeństwem, prywatnością i poufnością świadczonych usług. W ramach naszych procedur reagowania na incydenty funkcjonują oddelegowane zespoły przeszkolone w zakresie:
- Szybkie reagowanie na ostrzeżenia o potencjalnych incydentach
- Określanie powagi incydentu
- W razie potrzeby stosowanie środków zaradczych i ograniczających rozprzestrzenianie się
- Komunikowanie się z właściwymi zainteresowanymi stronami wewnętrznymi i zewnętrznymi, w tym powiadamianie klientów, których dotyczy naruszenie, w celu wypełnienia zobowiązań umownych dotyczących powiadamiania o naruszeniach lub incydentach oraz przestrzegania odpowiednich przepisów
- Gromadzenie i przechowywanie dowodów na potrzeby działań dochodzeniowych
- Udokumentuj analizę po wystąpieniu incydentu i opracuj plan łagodzenia jego skutków
Zasady i procesy reagowania na incydenty podlegają audytowi w ramach certyfikatów SOC 2+, ISO/IEC 27001 i innych ocen bezpieczeństwa.
Dropbox postępuje zgodnie ze standardowym cyklem reagowania na incydenty:
- Wykrycie
- Powiadomienie
- ODPOWIEDŹ
- Ocena
- Działania naprawcze
Po zgłoszeniu incydentu mającego wpływ na klientów, spowodowanego przez podmioty zewnętrzne lub osoby z autoryzowanym dostępem, przeprowadzana jest ocena wpływu w celu opracowania planu działania i podjęcia działań zaradczych w zakresie zidentyfikowanych problemów. Jeśli jest to wymagane przez obowiązujące prawo, zobowiązania umowne lub z innych powodów, Dropbox powiadamia klientów o incydencie w sposób opisany w Umowie o przetwarzaniu danych Dropbox.
Problemy zidentyfikowane w ramach incydentu są podzielone na dwie główne kategorie:
- Czynności do wykonania: działania do podjęcia w krótkim terminie, które mają na celu ograniczyć ryzyko i powstrzymać incydent; oraz
- Zagadnienia związane z bezpieczeństwem: projekty o dłuższym terminie realizacji, związane z konkretnymi technologiami lub systemami, które mają ograniczyć oddziaływanie negatywnych czynników wpływających na zwiększenie ryzyka związanego z bezpieczeństwem.
Działania do wykonania są przypisywane do odpowiednich stanowisk w firmie, które koordynują je w celu usunięcia problemu, komunikują się z wewnętrznymi zainteresowanymi stronami i zapewniają dostępność niezbędnych zasobów.
Rozwiązanie błędu następuje, gdy wszystkie zaplanowane działania zostaną ukończone.
Po wystąpieniu incydentu i po złagodzeniu jego skutków przeprowadzana jest analiza, której celem jest pełna diagnoza głównej przyczyny (lub przyczyn) problemu, określenie czynności do wykonania oraz identyfikacja zagadnień związanych z bezpieczeństwem, a także dokończenie wszelkich pozostałych zadań, aby zapobiec ponownemu wystąpieniu problemów. Incydenty poddawane są serii przeglądów, aby zebrać informacje i spostrzeżenia na różnych poziomach organizacji. Im poważniejszy problem, tym wyższy szczebel, na którym przeprowadzany jest przegląd incydentu. Do sprintów i planów działania dodawane są długoterminowe przepływy pracy, a wyciągnięte wnioski są przekazywane odpowiednim zespołom.
To etapowe podejście gwarantuje koncentrację Dropbox na najważniejszej pracy w odpowiednich momentach, co pomaga zapobiec przyszłym problemom.