O Dropbox tem políticas e procedimentos de resposta a incidentes para resolver questões de disponibilidade de serviço, integridade, segurança, privacidade e confidencialidade. Como parte dos nossos procedimentos de resposta a incidentes, temos equipes dedicadas treinadas para:
- Responder a alertas de potenciais incidentes de forma imediata
- Determinar a gravidade do incidente
- Se for necessário, tomar medidas de mitigação e contenção
- Comunicar-se com as partes interessadas relevantes, internas e externas, incluindo a notificação a clientes afetados, para cumprir obrigações contratuais relativas a violações e à notificação de incidentes, além das leis e dos regulamentos relevantes
- Reunir e conservar provas para auxiliar nos esforços investigativos
- Documente um relatório de análise de incidente e desenvolva um plano de mitigação
As políticas e os processos de resposta a incidentes passam por auditoria, como parte do nosso SOC 2+, ISO/IEC 27001 e outras avaliações de segurança.
O Dropbox segue um processo-padrão de resposta a incidentes, que consiste no seguinte:
- Descoberta
- Notificação
- Resposta
- Avaliação
- Ação corretiva.
Após o relato de um incidente que afeta os clientes, seja causado por agentes externos ou por pessoas com acesso autorizado, é realizada uma avaliação do impacto com o intuito de gerar um plano de ação para remediar os problemas identificados. Quando exigido pela lei aplicável, por obrigações contratuais ou por outro motivo quando apropriado, o Dropbox notifica os clientes sobre o incidente conforme descrito no Contrato de processamento de dados do Dropbox.
Os problemas identificados como parte de um incidente são agrupados em duas categorias principais:
- Itens de ação: ações de curto prazo para mitigar um risco e interromper um incidente; e
- Questões de segurança: projetos de longo prazo vinculados a tecnologias ou sistemas específicos para mitigar um impacto negativo no risco de segurança.
Os itens de ação são atribuídos às funções apropriadas em toda a empresa, que se coordenam para mitigar o problema, informar as partes interessadas internas e garantir a disponibilidade dos recursos necessários.
A resolução é alcançada quando todas as atividades do plano de ação são concluídas.
Após a mitigação de um incidente, é realizada uma análise de incidente para entender completamente as causas raízes do problema, identificar itens de ação e problemas de segurança e concluir qualquer trabalho restante para evitar que o problema ocorra novamente. Os incidentes passam por uma série de análises para coletar informações e estatísticas nos diferentes níveis da organização. Quanto mais grave o problema, maior será o nível de análise do incidente. Os fluxos de trabalho de longo prazo são adicionados a sprints e roteiros, e as lições aprendidas são comunicadas às equipes aplicáveis.
Essa abordagem em fases garante que o Dropbox se concentre no trabalho de maior prioridade nos momentos adequados, o que ajudará a evitar problemas no futuro.