الأمان في Intercom: كيف يحمي فريق InfoSec بيانات عملائنا وثقتهم

نشرت: 2022-05-06

في Intercom ، نفكر بعمق في كيفية تقديم التجربة الأكثر أمانًا والأكثر أمانًا لعملائنا وعملائهم.

بصفتنا شركة SaaS ، فإن Intercom هي معالج بيانات: يأتمننا عملاؤنا على بياناتهم ، والتي نقوم بتخزينها ومعالجتها نيابة عنهم. منذ البداية ، اعتبرنا بيانات العملاء أحد أهم أصول Intercom وركزنا جهودنا على حمايتها من خلال بناء أسس أمنية داخلية قوية لمنتجاتنا وبنيتنا التحتية.

نظرًا لتوسيع نطاقنا ، فإننا نعمل مع عملاء أكبر من السوق المتوسطة والشركات لديهم احتياجات ومواصفات أكثر تعقيدًا. نحن ملتزمون بتلبية أعلى معايير الأمان لحماية ثقة عملائنا وحبهم لمنتجنا. نقوم بذلك عن طريق:

  1. استثمر في ثقتك من خلال الامتثال لمعايير أو أطر عمل ISO الخاصة بأمان الصناعة والخصوصية مثل SOC 2
  2. الشحن بسرعة وأمان
  3. إدارة المخاطر المستمرة
  4. توظيف وتنمية المواهب المذهلة في فريق أمن المعلومات لدينا

الاستثمار بشكل كبير في حماية ثقة عملائنا

تتمثل مهمة فريق أمن معلومات الاتصال الداخلي (InfoSec) في تعزيز ثقة العملاء وحمايتها - ونفكر كثيرًا في كيفية الحفاظ على مرونة الاتصال الداخلي مع التعرف على مخاطر الأمان الأعلى تصنيفًا والتخفيف من حدتها.

يشمل اختصاص الفريق ما يلي: الأمن وسوء المعاملة ؛ الحكم، والمخاطر والامتثال؛ وتكنولوجيا المعلومات. يتم تحديد كل منطقة من خلال برنامج عمل منفصل ويتم دعمها من قبل فريق محدد أو أكثر. إن التداخل والتآزر بين هذه الفرق يعني أنه يمكننا استخدام الأتمتة لحل المشكلات بكفاءة على نطاق واسع مع الحفاظ على الهزيل.

"لقد استثمرنا بشكل كبير في ضمان الأمان المقنع لتعزيز وحماية ثقة عملائنا في الاتصال الداخلي ، كما يتضح من تقارير تصديق SOC2 Type II و HIPAA وشهادة ISO27001"

لقد استثمرنا بشكل كبير في ضمان الأمان المقنع لتعزيز وحماية ثقة عملائنا في Intercom كمنتج ، ولكن أيضًا كشركة ، كما يتضح من تقارير تصديق SOC2 Type II و HIPAA وشهادة ISO27001 c .

الشحن السريع والآمن

يعتمد نجاح الاتصال الداخلي على القدرة على التحرك بسرعة من خلال تنفيذ عمليات تجارية قوية وفعالة وآمنة. يقوم أعضاء فريق InfoSec لدينا بتنفيذ حواجز الحماية بدلاً من البوابات من خلال الاستفادة من مهاراتنا لاتخاذ قرارات إدارة مخاطر الأمان المتوازنة.

"فهم الحواجز التي نحتاج إلى بنائها يعني تتبع التغيير الهادف عن كثب عبر الاتصال الداخلي والتأكد من أننا في صدارة المبادرات الجديدة"

إن فهم الحواجز التي نحتاج إلى بنائها يعني تتبع التغيير الهادف عن كثب عبر الاتصال الداخلي والتأكد من أننا على رأس المبادرات الجديدة. في معظم شركات SaaS ، يكون البحث والتطوير هو المنظمة التي تبتكر أكثر من غيرها ، وبالتالي تقدم أعلى مستوى من التغيير الذي يحتمل أن يكون محفوفًا بالمخاطر.

الاتصال الداخلي ليس استثناء. كان " الشحن هو نبض قلبنا " هو شعار منظمة Intercom R&D منذ البداية ويقوم المهندسون بشحن الكود إلى تطبيق الإنتاج الذي يواجه العملاء عشرات المرات في اليوم. هذا هو المكان الذي تولد فيه المنتجات ، حيث يتم تطويرها ، وحيث تقوم بتعديل تعرض الشركة للإنترنت وتهديدات أمان الويب على وجه الخصوص.

"أن تكون جزءًا لا يتجزأ من منظمة البحث والتطوير يعني أن فريق InfoSec التابع لشركة Intercom أقرب إلى هذه المخاطر مع الاحتفاظ برؤية الشركة وتأثيرها الواسعين"

يُعد هذا المستوى من السرعة متعة لكل من عملائنا ومهندسينا ، ولكنه يقدم إمكانية حدوث تغييرات محفوفة بالمخاطر. لهذا السبب قمنا بتضمين فريق InfoSec الخاص بشركة Intercom داخل منظمة البحث والتطوير ولماذا يقدم تقاريره مباشرة إلى كبير المسؤولين التنفيذيين ، مما يعني أننا أقرب إلى هذه المخاطر مع الحفاظ على الرؤية والتأثير على مستوى الشركة.

بصفتنا مهندسين ومديرين تقنيين للبرامج (TPM) ، يمكن لفريقنا أن يخفف من أي مخاطر بشكل أكثر كفاءة من خلال تصميم العمليات وعناصر التحكم الأمنية التي تحافظ على قدرة المهندسين على التحرك بسرعة - فنحن قادرون بشكل فعال على بناء الأمان في المنتج والثقافة من الداخل.

تطوير برنامج الأمن لدينا من خلال عملية مستمرة لإدارة المخاطر

تم تصميم برنامج هندسة الأمن في Intercom لمساعدة البحث والتطوير في تأمين أحد أنشطتهم التجارية الأكثر أهمية: شحن المنتجات الآمنة بسرعة وفي وقت مبكر وفي كثير من الأحيان . يتم دعمه من قبل فريقين يركزان على إدارة الحوادث واكتشاف التهديدات ، والقضاء على فئات من نقاط الضعف من خلال البناء على الافتراضات الآمنة في نظام Rails المترابط ، والتعليم الأمني ​​القائم على الأدوار.

"نهج الاتصال الداخلي للأمن يعتمد بشكل أساسي على المخاطر ويعتمد بشكل كبير على عملية إدارة مخاطر الأمن الداخلي المستمرة لدينا للتطور"

بينما تعتمد بعض برامج الأمان في المقام الأول على أطر الامتثال لتوجيه خرائط الطريق الخاصة بهم ، فإن نهج Intercom للأمن يعتمد بشكل أساسي على المخاطر ويعتمد بشكل كبير على عملية إدارة مخاطر الأمن الداخلي المستمرة لدينا للتطور.

تضمن أنشطة تقييم المخاطر الخارجية ، مثل مراقبة سطح الهجوم ، واختبارات القلم نصف السنوية ، والأهم من ذلك ، برنامج مكافآت الأخطاء العامة الخاص بشركة Intercom ، التحقق من فعالية ضوابط الأمان لدينا بشكل مستمر ومستقل. توفر جميع عناصر التحكم والأنشطة هذه أسسًا قوية لبرنامج الامتثال الخاص بنا للبناء على ضمان الأمان الذي يواجه العملاء وتقديمه لإبلاغ صفقات فريق المبيعات لدينا.

في حين أن كل هذا يجعلنا واثقين من أنفسنا ، إلا أننا نظل متواضعين ، كما هو مذكور في قيم شركتنا . يقدم كل من الأشخاص والعمليات والأدوات درجة من التعقيد - ضمان الأمن بنسبة 100٪ طوال الوقت ، وبالتالي عدم وجود حوادث أمنية ، هو أمر غير واقعي.

"كل شخص في Intercom مسؤول عن مراعاة الأمان في قراراتنا اليومية"

في Intercom ، نتوقع وقوع الحوادث ، والاستعداد لها ، وعندما تتحقق ، اغتنم الفرصة لاختبار وتحسين الضوابط والعمليات الحالية لدينا. يعرف فريقنا أننا لا نستطيع أن ننجح بمفردنا ؛ بينما نتحمل المسؤولية عن قيادة برنامج أمان قوي ، فإننا نقوم أيضًا بتثقيف وتمكين وتمكين الأشخاص في جميع أنحاء الشركة لحماية قدرة Intercom على التحرك بسرعة وأمان . كل شخص في Intercom مسؤول عن مراعاة الأمان في قراراتنا اليومية.

مثل معظم خصائص الويب التي تواجه الإنترنت ، فقد تعرضنا لحادث log4j في ديسمبر 2021 ، والذي تمكنا من احتوائه والتخفيف من حدته بكفاءة . أجرينا مراجعة للحوادث ، واستخلصنا دروسًا مهمة ، واغتنمنا الفرصة لتحسين عملية الاستجابة للحوادث الأمنية وتحسين الضوابط الأمنية المتعلقة بسلسلة التوريد الداخلية الخاصة بنا.

التغلب على نقص مهارات InfoSec من خلال تنمية مواهب الاتصال الداخلي

لكونك جزءًا من منظمة البحث والتطوير الخاصة بـ Intercom ، فإن لها أيضًا مزايا أخرى. لقد سمعنا جميعًا عن نقص مهارات صناعة InfoSec. تبحث صناعة التكنولوجيا باستمرار عن مطور 10x لها من يونيكورن ولا تختلف InfoSec.

"لحماية Intercom ككل ، يعد فهم المنتج والبنية التحتية الأساسية له وكيفية استخدامه أو إساءة استخدامه من قبل عملائنا أمرًا أساسيًا"

بينما يبحث فريق InfoSec في Intercom ، دائمًا عن المواهب المتخصصة الرائعة ، فقد اتخذ النهج البديل للاستثمار في عمليات النقل الداخلية في وقت مبكر. لحماية الاتصال الداخلي ككل ، فإن فهم المنتج والبنية التحتية الأساسية له وكيفية استخدامه أو إساءة استخدامه من قبل عملائنا أمر أساسي. ونتيجة لذلك ، اتخذ الفريق نهج الاختيار الداخلي للمنتج والأنظمة ومهندسي تكنولوجيا المعلومات وإعدادهم داخليًا ، بالإضافة إلى TPMs للأمان والامتثال مع معرفة واسعة بالاتصال الداخلي يمكنهم تعلم تطبيقه على أمانه.

بمساعدة قادة ومديري InfoSec ذوي الخبرة ، تستفيد عمليات النقل الداخلية لـ Intercom من خبراتهم وعقليات النمو للتنقل في منحنى التعلم المرهق في كثير من الأحيان InfoSec. نتيجة لذلك ، يقود أعضاء الفريق الجدد التأثير بسرعة من خلال التلقيح المتبادل والعلاقات القوية التي يحافظون عليها مع فرقهم السابقة.

المشهد الأمني ​​المتطور

نظرًا لأننا نبني مستقبل اتصالات العملاء ، وننمي فريق الاتصال الداخلي ونعمل على ضم عملاء أكبر وأكبر ، فإن تحمل Intercom للمخاطر ومشهد التهديدات يستمر في التطور. في الأشهر الأخيرة ، كثفنا جهودنا لإطلاق بنية تحتية لثقة الجهاز لتأمين وصول شركات Intercomrades إلى الأنظمة الرئيسية ، وقمنا ببناء اللبنات الأساسية للأمان والخصوصية داخل المنتج لتمكين دورة حياة قوية لبيانات العملاء.

سيكون هناك العديد من التحديات المقبلة. نظرًا لأن Intercom يحلم كثيرًا ويقدم قيمة أكبر للعملاء ، فإن فريق InfoSec سوف يسعى جاهداً لمواصلة تعزيز وحماية ثقة العملاء في كيفية تخزين Intercom لبياناتهم ومعالجتها وإدارتها.

أسئلة؟ تواصل مع أحد أعضاء فريق المبيعات لمزيد من التفاصيل ، أو ألق نظرة على صفحة الأمان الخاصة بنا على موقع الاتصال الداخلي.