Procedimentos e políticas de resposta a incidentes do Dropbox

Atualizado Aug 13, 2023

O Dropbox tem políticas de respostas a incidentes e procedimentos para lidar com questões de disponibilidade, integridade, segurança, privacidade e confidencialidade do serviço. Como parte dos nossos procedimentos de resposta a incidentes, temos equipes dedicadas e treinadas para:

  • Responder a alertas de potenciais incidentes de forma imediata
  • Determinar a gravidade do incidente
  • Se for necessário, tomar medidas de mitigação e contenção
  • Comunicar-se com as partes interessadas relevantes, internas e externas, incluindo a notificação a clientes afetados, para cumprir obrigações contratuais relativas a violações e à notificação de incidentes, além das leis e dos regulamentos relevantes
  • Reunir e conservar provas para auxiliar nos esforços investigativos
  • Documentar um post-mortem e desenvolver um plano de triagem permanente

As políticas e os processos de resposta a incidentes passam por auditoria, como parte do nosso SOC 2+, ISO/IEC 27001 e outras avaliações de segurança.

O Dropbox segue um processo-padrão de resposta a incidentes, que consiste no seguinte:

  1. Descoberta,
  2. Notificação,
  3. Resposta,
  4. Avaliação e
  5. Ação corretiva.

Após o relato de um incidente que afeta os clientes, seja causado por agentes externos ou por pessoas com acesso autorizado, é realizada uma avaliação do impacto com o intuito de gerar um plano de ação para remediar os problemas identificados. Quando exigido pela lei aplicável, por obrigações contratuais ou por outro motivo quando apropriado, o Dropbox notifica os clientes sobre o incidente conforme descrito no Contrato de processamento de dados do Dropbox.

Os problemas identificados como parte de um incidente são agrupados em duas categorias principais:

  1. Itens de ação, que são ações de curto prazo, cuja função é mitigar um risco e deter um incidente; e
  2. Problemas de segurança, que são projetos de longo prazo, vinculados a tecnologias ou sistemas específicos com o fim de mitigar o impacto negativo associado ao risco de segurança.

Os itens de ação são atribuídos às funções apropriadas em toda a empresa, que se coordenam para mitigar o problema, informar as partes interessadas internas e garantir a disponibilidade dos recursos necessários.

A resolução é alcançada quando todas as atividades do plano de ação são concluídas. 

Após a mitigação de um incidente, é realizada uma análise retrospectiva para compreender as causas do problema, identificar os itens de ação e os problemas de segurança, além de concluir qualquer outro processo necessário para impedir que os problemas ocorram novamente. Os incidentes passam por uma série de revisões para coletar informações e estatísticas nos diferentes níveis da organização. Quanto mais grave for o problema, maior será o nível de análise que o incidente receberá. Os fluxos de trabalho de longo prazo são adicionados a cronogramas e roteiros, e as lições aprendidas são comunicadas às equipes correspondentes.  

Essa abordagem em fases garante que o Dropbox se concentre no trabalho de maior prioridade nos momentos adequados, o que ajudará a evitar problemas no futuro.

Este artigo foi útil?

Let us know how why it didn't help:

Thanks for letting us know!

Agradecemos sua opinião!