Procedimentos e políticas de resposta a incidentes do Dropbox

O Dropbox tem políticas de respostas a incidentes e procedimentos para lidar com questões de disponibilidade, integridade, segurança, privacidade e confidencialidade do serviço. Como parte dos nossos procedimentos de resposta a incidentes, temos equipes dedicadas e treinadas para:

• Responder a alertas de potenciais incidentes de forma imediata
• Determinar a gravidade do incidente
• Se for necessário, tomar medidas de mitigação e contenção
• Comunicar-se com as partes interessadas relevantes, internas e externas, incluindo a notificação a clientes afetados, para cumprir obrigações contratuais relativas a violações e à notificação de incidentes, além das leis e dos regulamentos relevantes
• Reunir e conservar provas para auxiliar nos esforços investigativos
• Documentar um post-mortem e desenvolver um plano de triagem permanente

As políticas e os processos de resposta a incidentes passam por auditoria, como parte do nosso SOC 2+, ISO/IEC 27001 e outras avaliações de segurança.

O Dropbox segue um processo-padrão de resposta a incidentes, que consiste no seguinte:

1. Descoberta,
2. Notificação,
3. Resposta,
4. Avaliação e
5. Ação corretiva.

Após o relato de um incidente que afeta os clientes, seja causado por agentes externos ou por pessoas com acesso autorizado, é realizada uma avaliação do impacto com o intuito de gerar um plano de ação para remediar os problemas identificados. Quando exigido pela lei aplicável, por obrigações contratuais ou por outro motivo quando apropriado, o Dropbox notifica os clientes sobre o incidente conforme descrito no Contrato de processamento de dados do Dropbox.

Os problemas identificados como parte de um incidente são agrupados em duas categorias principais:

1. Itens de ação, que são ações de curto prazo, cuja função é mitigar um risco e deter um incidente; e
2. Problemas de segurança, que são projetos de longo prazo, vinculados a tecnologias ou sistemas específicos com o fim de mitigar o impacto negativo associado ao risco de segurança.

Os itens de ação são atribuídos às funções apropriadas em toda a empresa, que se coordenam para mitigar o problema, informar as partes interessadas internas e garantir a disponibilidade dos recursos necessários.

A resolução é alcançada quando todas as atividades do plano de ação são concluídas. 

Após a mitigação de um incidente, é realizada uma análise retrospectiva para compreender as causas do problema, identificar os itens de ação e os problemas de segurança, além de concluir qualquer outro processo necessário para impedir que os problemas ocorram novamente. Os incidentes passam por uma série de revisões para coletar informações e estatísticas nos diferentes níveis da organização. Quanto mais grave for o problema, maior será o nível de análise que o incidente receberá. Os fluxos de trabalho de longo prazo são adicionados a cronogramas e roteiros, e as lições aprendidas são comunicadas às equipes correspondentes.  

Essa abordagem em fases garante que o Dropbox se concentre no trabalho de maior prioridade nos momentos adequados, o que ajudará a evitar problemas no futuro.