Sicherheit bei Intercom: Wie unser InfoSec-Team die Daten und das Vertrauen unserer Kunden schützt
Veröffentlicht: 2022-05-06Bei Intercom denken wir gründlich darüber nach, wie wir unseren Kunden und deren Kunden das sicherste Erlebnis bieten können.
Als SaaS-Unternehmen ist Intercom ein Datenverarbeiter: Unsere Kunden vertrauen uns ihre Daten an, die wir in ihrem Auftrag speichern und verarbeiten. Von Anfang an haben wir Kundendaten als eines der wichtigsten Vermögenswerte von Intercom betrachtet und unsere Bemühungen darauf konzentriert, sie zu schützen, indem wir starke interne Sicherheitsgrundlagen für unser Produkt und unsere Infrastruktur aufbauen.
Während wir skalieren, arbeiten wir mit größeren mittelständischen und Unternehmenskunden mit komplexeren Anforderungen und Spezifikationen zusammen. Wir verpflichten uns, die höchsten Sicherheitsstandards zu erfüllen, um das Vertrauen und die Liebe unserer Kunden zu unserem Produkt zu schützen. Wir machen das durch:
- Investition in Ihr Vertrauen durch die Einhaltung von ISO-Standards für Sicherheit und Datenschutz der Branche oder von Frameworks wie SOC 2
- Versand schnell und sicher
- Kontinuierliches Risikomanagement
- Einstellung und Förderung unglaublicher Talente in unserem Informationssicherheitsteam
Erhebliche Investitionen, um das Vertrauen unserer Kunden zu wahren
Die Mission des Intercom Information Security (InfoSec)-Teams ist es, das Vertrauen der Kunden zu fördern und zu schützen – und wir denken viel darüber nach, wie wir die Agilität von Intercom bewahren und gleichzeitig die am höchsten bewerteten Sicherheitsrisiken erkennen und mindern können.
Der Aufgabenbereich des Teams umfasst: Sicherheit und Missbrauch; Governance, Risiko und Compliance; und es. Jeder Bereich wird durch ein separates Arbeitsprogramm definiert und von einem oder mehreren spezifischen Teams unterstützt. Die Überschneidungen und Synergien zwischen diesen Teams bedeuten, dass wir die Automatisierung nutzen können, um Probleme in großem Umfang effizient zu lösen und gleichzeitig schlank zu bleiben.
„Wir haben massiv in überzeugende Sicherheitsgarantien investiert, um das Vertrauen unserer Kunden in Intercom zu fördern und zu schützen, was durch unsere SOC2 Typ II- und HIPAA -Bescheinigungsberichte und die ISO27001-Zertifizierung belegt wird.“
Wir haben massiv in überzeugende Sicherheitsgarantien investiert, um das Vertrauen unserer Kunden in Intercom als Produkt, aber auch als Unternehmen zu fördern und zu schützen, was durch unsere SOC2 Typ II- und HIPAA-Bescheinigungsberichte und die ISO27001 -Zertifizierung belegt wird.
Versand schnell – und sicher
Der Erfolg von Intercom hängt von der Fähigkeit ab, durch die Implementierung robuster, effizienter und sicherer Geschäftsprozesse schnell voranzukommen. Unsere InfoSec-Teammitglieder implementieren Leitplanken anstelle von Toren, indem sie unsere Fähigkeiten nutzen, um ausgewogene Entscheidungen zum Sicherheitsrisikomanagement zu treffen.
„Um die Leitplanken zu verstehen, die wir aufbauen müssen, müssen wir bedeutende Änderungen bei Intercom genau verfolgen und sicherstellen, dass wir bei neuen Initiativen auf dem Laufenden sind.“
Das Verständnis der Leitplanken, die wir aufbauen müssen, bedeutet, dass wir bedeutsame Änderungen bei Intercom genau verfolgen und sicherstellen, dass wir bei neuen Initiativen auf dem Laufenden sind. In den meisten SaaS-Unternehmen ist F&E die Organisation, die am meisten innovativ ist und daher das höchste Maß an potenziell riskanten Änderungen einführt.
Gegensprechanlage ist keine Ausnahme. „ Versand ist unser Herzschlag “ war von Anfang an das Motto der Intercom R&D-Organisation, und Ingenieure versenden Dutzende Male am Tag Code an unsere kundenorientierte Produktions-App. Hier werden Produkte geboren, entwickelt und verändern die Anfälligkeit des Unternehmens für das Internet und insbesondere für Sicherheitsbedrohungen im Internet.
„Die Einbettung in die F&E-Organisation bedeutet, dass das InfoSec-Team von Intercom diesem Risiko näher ist und gleichzeitig die unternehmensweite Sichtbarkeit und Wirkung behält.“
Dieses Geschwindigkeitsniveau ist sowohl für unsere Kunden als auch für Ingenieure eine Freude, birgt jedoch das Potenzial für riskante Änderungen. Aus diesem Grund haben wir das InfoSec-Team von Intercom in die F&E-Organisation eingebettet und berichtet direkt an den CTO, was bedeutet, dass wir diesem Risiko näher sind und gleichzeitig die unternehmensweite Sichtbarkeit und Wirkung beibehalten.
Da wir selbst Ingenieure und Technical Program Managers (TPMs) sind, kann unser Team jedes Risiko effizienter mindern, indem es Prozesse und Sicherheitskontrollen entwickelt, die die Fähigkeit der Ingenieure erhalten, sich schnell zu bewegen – wir sind effektiv in der Lage, Sicherheit von innen in das Produkt und die Kultur einzubauen.
Weiterentwicklung unseres Sicherheitsprogramms durch einen kontinuierlichen Prozess des Risikomanagements
Das Security-Engineering-Programm von Intercom wurde entwickelt, um die Forschung und Entwicklung bei der Sicherung einer ihrer wichtigsten Geschäftsaktivitäten zu unterstützen: dem schnellen, frühen und häufigen Versand sicherer Produkte . Es wird von zwei Teams unterstützt, die sich auf Vorfallsmanagement und Bedrohungserkennung, die Beseitigung von Klassen von Schwachstellen durch Aufbau auf den sicheren Standardeinstellungen unseres Rails -Monolithen und rollenbasierte Sicherheitsschulung konzentrieren.
„Der Sicherheitsansatz von Intercom ist grundsätzlich risikobasiert und stützt sich stark auf die Weiterentwicklung unseres kontinuierlichen internen Sicherheitsrisikomanagementprozesses.“
Während sich einige Sicherheitsprogramme in erster Linie auf Compliance-Frameworks stützen, um ihre Roadmaps zu leiten, ist der Sicherheitsansatz von Intercom grundsätzlich risikobasiert und stützt sich stark auf die Weiterentwicklung unseres kontinuierlichen internen Sicherheitsrisikomanagementprozesses.
Externe Risikobewertungsaktivitäten wie die Überwachung der Angriffsfläche, halbjährliche Penetrationstests und vor allem das öffentliche Bug-Bounty-Programm von Intercom stellen sicher, dass die Wirksamkeit unserer Sicherheitskontrollen kontinuierlich und unabhängig überprüft wird. Alle diese Kontrollen und Aktivitäten bilden eine starke Grundlage für unser Compliance-Programm, um darauf aufzubauen und kundenorientierte Sicherheitsgarantien zu liefern, um die Geschäfte unseres Vertriebsteams zu informieren.
All das stimmt uns zuversichtlich, aber wir bleiben bescheiden, wie es in unseren Unternehmenswerten zum Ausdruck kommt . Menschen, Prozesse und Tools bringen jeweils ein gewisses Maß an Komplexität mit sich – es ist einfach unrealistisch, jederzeit 100 % Sicherheit und damit keine Sicherheitsvorfälle zu gewährleisten.
„Jeder bei Intercom ist dafür verantwortlich, Sicherheit in unsere täglichen Entscheidungen einzubeziehen“
Bei Intercom erwarten wir das Auftreten von Vorfällen, bereiten uns darauf vor und ergreifen, wenn sie eintreten, die Gelegenheit, unsere bestehenden Kontrollen und Prozesse zu testen und zu optimieren. Unser Team weiß, dass wir alleine nicht erfolgreich sein können; Während wir dafür verantwortlich sind, ein robustes Sicherheitsprogramm voranzutreiben, schulen, befähigen und befähigen wir Menschen im gesamten Unternehmen, die Fähigkeit von Intercom zu schützen, sich schnell und sicher zu bewegen . Jeder bei Intercom ist dafür verantwortlich, Sicherheit in unsere täglichen Entscheidungen einzubeziehen.
Wie die meisten mit dem Internet verbundenen Websites wurden wir im Dezember 2021 vom log4j-Vorfall getroffen, den wir effizient eindämmen und entschärfen konnten . Wir haben eine Vorfallprüfung durchgeführt , wichtige Lehren gezogen und die Gelegenheit genutzt, um unseren Prozess zur Reaktion auf Sicherheitsvorfälle zu verfeinern und unsere internen Sicherheitskontrollen in Bezug auf die Lieferkette zu verbessern.
Überwindung des InfoSec-Fachkräftemangels durch Förderung von Intercom-Talenten
Ein Teil der F&E-Organisation von Intercom zu sein, hat auch andere Vorteile. Wir haben alle vom Fachkräftemangel in der InfoSec-Branche gehört. Die Technologiebranche ist ständig auf der Suche nach ihrem Einhorn-Senior-10x-Entwickler, und InfoSec ist da nicht anders.
„Um Intercom als Ganzes zu schützen, ist es wichtig, das Produkt, die zugrunde liegende Infrastruktur und die Art und Weise, wie unsere Kunden es verwenden oder missbrauchen, zu verstehen.“
Das InfoSec-Team von Intercom ist zwar immer auf der Suche nach großartigen spezialisierten Talenten, hat aber den alternativen Ansatz gewählt, frühzeitig in interne Transfers zu investieren. Um Intercom als Ganzes zu schützen, ist es wichtig, das Produkt, die zugrunde liegende Infrastruktur und die Art und Weise, wie unsere Kunden es verwenden oder missbrauchen, zu verstehen. Aus diesem Grund hat das Team den Ansatz gewählt, intern Produkt-, System- und IT-Ingenieure sowie Sicherheits- und Compliance-TPMs mit umfassenden Kenntnissen über Intercom auszuwählen und einzugliedern, die sie lernen können, auf die Sicherheit anzuwenden.
Mit der Hilfe von erfahrenen InfoSec-Führungskräften und -Managern nutzen die internen Transfers von Intercom ihr Fachwissen und ihre Wachstumsmentalität, um die oft entmutigende InfoSec-Lernkurve zu meistern. Infolgedessen erzielen neue Teammitglieder durch gegenseitige Befruchtung und die starken Beziehungen, die sie zu ihren ehemaligen Teams pflegen, schnell Wirkung.
Sich entwickelnde Sicherheitslandschaft
Während wir die Zukunft der Kundenkommunikation gestalten, das Intercom-Team vergrößern und immer größere Kunden gewinnen, entwickeln sich die Risikotoleranz und die Bedrohungslandschaft von Intercom weiter. In den letzten Monaten haben wir unsere Bemühungen zur Einführung einer Gerätevertrauensinfrastruktur verstärkt, um den Zugriff von Intercomrades auf Schlüsselsysteme weiter zu sichern, und Sicherheits- und Datenschutzbausteine in das Produkt eingebaut, um einen robusten Lebenszyklus von Kundendaten zu ermöglichen.
Es werden noch viele weitere Herausforderungen auf uns zukommen. Da Intercom groß träumt und den Kunden mehr Wert bietet, wird sich das InfoSec-Team bemühen, das Vertrauen der Kunden in die Art und Weise, wie Intercom ihre Daten speichert, verarbeitet und verwaltet, weiter zu fördern und zu wahren.