Procedimentos e políticas de resposta a incidentes do Dropbox
O Dropbox tem políticas de respostas a incidentes e procedimentos para lidar com questões de disponibilidade, integridade, segurança, privacidade e confidencialidade do serviço. Como parte dos nossos procedimentos de resposta a incidentes, temos equipes dedicadas e treinadas para:
- Responder a alertas de potenciais incidentes de forma imediata
- Determinar a gravidade do incidente
- Se for necessário, tomar medidas de mitigação e contenção
- Comunicar-se com as partes interessadas relevantes, internas e externas, incluindo a notificação a clientes afetados, para cumprir obrigações contratuais relativas a violações e à notificação de incidentes, além das leis e dos regulamentos relevantes
- Reunir e conservar provas para auxiliar nos esforços investigativos
- Documentar um post-mortem e desenvolver um plano de triagem permanente
As políticas e os processos de resposta a incidentes passam por auditoria, como parte do nosso SOC 2+, ISO/IEC 27001 e outras avaliações de segurança.
O Dropbox segue um processo-padrão de resposta a incidentes, que consiste no seguinte:
- Descoberta,
- Notificação,
- Resposta,
- Avaliação e
- Ação corretiva.
Após o relato de um incidente que afeta os clientes, seja causado por agentes externos ou por pessoas com acesso autorizado, é realizada uma avaliação do impacto com o intuito de gerar um plano de ação para remediar os problemas identificados. Quando exigido pela lei aplicável, por obrigações contratuais ou por outro motivo quando apropriado, o Dropbox notifica os clientes sobre o incidente conforme descrito no Contrato de processamento de dados do Dropbox.
Os problemas identificados como parte de um incidente são agrupados em duas categorias principais:
- Itens de ação, que são ações de curto prazo, cuja função é mitigar um risco e deter um incidente; e
- Problemas de segurança, que são projetos de longo prazo, vinculados a tecnologias ou sistemas específicos com o fim de mitigar o impacto negativo associado ao risco de segurança.
Os itens de ação são atribuídos às funções apropriadas em toda a empresa, que se coordenam para mitigar o problema, informar as partes interessadas internas e garantir a disponibilidade dos recursos necessários.
A resolução é alcançada quando todas as atividades do plano de ação são concluídas.
Após a mitigação de um incidente, é realizada uma análise retrospectiva para compreender as causas do problema, identificar os itens de ação e os problemas de segurança, além de concluir qualquer outro processo necessário para impedir que os problemas ocorram novamente. Os incidentes passam por uma série de revisões para coletar informações e estatísticas nos diferentes níveis da organização. Quanto mais grave for o problema, maior será o nível de análise que o incidente receberá. Os fluxos de trabalho de longo prazo são adicionados a cronogramas e roteiros, e as lições aprendidas são comunicadas às equipes correspondentes.
Essa abordagem em fases garante que o Dropbox se concentre no trabalho de maior prioridade nos momentos adequados, o que ajudará a evitar problemas no futuro.