Seguridad en Intercom: cómo nuestro equipo de InfoSec protege los datos y la confianza de nuestros clientes
Publicado: 2022-05-06En Intercom, pensamos profundamente en cómo brindar la experiencia más segura posible para nuestros clientes y sus clientes.
Como empresa SaaS, Intercom es un procesador de datos: nuestros clientes nos confían sus datos, que almacenamos y procesamos en su nombre. Desde el principio, hemos considerado que los datos de los clientes son uno de los activos más importantes de Intercom y centramos nuestros esfuerzos en protegerlos mediante la creación de bases sólidas de seguridad interna para nuestro producto e infraestructura.
A medida que escalamos, estamos trabajando con clientes empresariales y del mercado medio más grandes con necesidades y especificaciones más complejas. Estamos comprometidos a cumplir con los más altos estándares de seguridad para proteger la confianza y el amor de nuestros clientes por nuestro producto. Hacemos eso por:
- Invertir en su confianza a través del cumplimiento de los estándares o marcos ISO de seguridad y privacidad de la industria, como SOC 2
- Envío rápido y seguro
- Gestión continua de riesgos
- Contratar y cultivar talentos increíbles en nuestro equipo de seguridad de la información
Invertir significativamente en salvaguardar la confianza de nuestros clientes
La misión del equipo de seguridad de la información de Intercom (InfoSec) es fomentar y salvaguardar la confianza del cliente , y pensamos mucho en cómo preservamos la agilidad de Intercom al mismo tiempo que reconocemos y mitigamos los riesgos de seguridad mejor calificados.
El mandato del equipo cubre: seguridad y abuso; riesgo de gobierno y cumplimiento; y TI. Cada área está definida por un programa de trabajo separado y cuenta con el apoyo de uno o más equipos específicos. La superposición y las sinergias entre estos equipos significa que podemos usar la automatización para resolver problemas de manera eficiente a escala sin dejar de ser esbeltos.
“Hemos invertido mucho en garantías de seguridad convincentes para fomentar y salvaguardar la confianza de nuestros clientes en Intercom, como lo demuestran nuestros informes de atestación SOC2 Tipo II y HIPAA , y la certificación ISO27001”
Hemos invertido mucho en garantías de seguridad convincentes para fomentar y salvaguardar la confianza de nuestros clientes en Intercom como producto, pero también como empresa, como lo demuestran nuestros informes de atestación SOC2 Tipo II e HIPAA, y la certificación ISO27001 .
Envío rápido y seguro
El éxito de Intercom depende de poder avanzar rápidamente a través de la implementación de procesos comerciales sólidos, eficientes y seguros. Los miembros de nuestro equipo de InfoSec implementan barandillas en lugar de puertas al aprovechar nuestras habilidades para tomar decisiones equilibradas de gestión de riesgos de seguridad.
“Comprender las barreras que necesitamos construir significa seguir de cerca los cambios significativos en Intercom y asegurarnos de que estamos al tanto de las nuevas iniciativas”
Comprender las barreras que necesitamos construir significa seguir de cerca los cambios significativos en Intercom y asegurarnos de estar al tanto de las nuevas iniciativas. En la mayoría de las empresas SaaS, I+D es la organización que más innova y, por lo tanto, introduce el nivel más alto de cambios potencialmente riesgosos.
Intercom no es una excepción. “ El envío es nuestro latido ” ha sido el lema de la organización de I+D de Intercom desde el principio y los ingenieros envían el código a nuestra aplicación de producción orientada al cliente docenas de veces al día. Aquí es donde nacen los productos, donde se desarrollan y donde modifican la exposición de la empresa a Internet y, en particular, a las amenazas de seguridad web.
“Estar integrado en la organización de I+D significa que el equipo de InfoSec de Intercom está más cerca de este riesgo al tiempo que conserva la visibilidad y el impacto en toda la empresa”
Este nivel de velocidad es una delicia tanto para nuestros clientes como para los ingenieros, pero presenta la posibilidad de cambios riesgosos. Es por eso que integramos el equipo de InfoSec de Intercom dentro de la organización de I+D y por qué informa directamente al CTO, lo que significa que estamos más cerca de este riesgo al mismo tiempo que retenemos la visibilidad y el impacto en toda la empresa.
Como ingenieros y gerentes de programas técnicos (TPM), nuestro equipo puede mitigar de manera más eficiente cualquier riesgo mediante el diseño de procesos y controles de seguridad que preservan la capacidad de los ingenieros para moverse rápidamente: somos capaces de incorporar seguridad en el producto y la cultura desde adentro.
Evolucionar nuestro programa de seguridad a través de un proceso continuo de gestión de riesgos
El programa de ingeniería de seguridad de Intercom está diseñado para ayudar a I+D a proteger una de sus actividades comerciales más críticas: enviar productos seguros de forma rápida, temprana y frecuente . Cuenta con el respaldo de dos equipos que se centran en la gestión de incidentes y la detección de amenazas, la erradicación de clases de vulnerabilidades mediante la creación de valores predeterminados seguros de nuestro monolito Rails y la educación en seguridad basada en funciones.
“El enfoque de seguridad de Intercom se basa fundamentalmente en el riesgo y depende en gran medida de nuestro proceso continuo de gestión de riesgos de seguridad interna para evolucionar”
Si bien algunos programas de seguridad se basan principalmente en marcos de cumplimiento para guiar sus hojas de ruta, el enfoque de seguridad de Intercom se basa fundamentalmente en el riesgo y depende en gran medida de nuestro proceso continuo de gestión de riesgos de seguridad interna para evolucionar.
Las actividades externas de evaluación de riesgos, como el monitoreo de la superficie de ataque, las pruebas de penetración semestrales y, lo que es más importante, el programa público de recompensas por errores de Intercom , garantizan que la eficacia de nuestros controles de seguridad se verifique de forma continua e independiente. Todos estos controles y actividades brindan bases sólidas para que nuestro programa de cumplimiento se base en y brinde garantías de seguridad orientadas al cliente para informar los tratos de nuestro equipo de ventas.
Si bien todo eso nos da confianza, seguimos siendo humildes, como se establece en los valores de nuestra empresa . Las personas, los procesos y las herramientas presentan un grado de complejidad: garantizar el 100 % de seguridad todo el tiempo y, por lo tanto, cero incidentes de seguridad es simplemente poco realista.
“Todos en Intercom son responsables de tener en cuenta la seguridad en nuestras decisiones diarias”
En Intercom, esperamos que ocurran incidentes, nos preparamos para ellos y, cuando se materializan, aprovechamos la oportunidad de probar y optimizar nuestros controles y procesos existentes. Nuestro equipo sabe que no podemos tener éxito solos; Si bien somos responsables de impulsar un programa de seguridad sólido, también educamos, habilitamos y empoderamos a las personas de toda la empresa para proteger la capacidad de Intercom de moverse de manera rápida y segura . Todos en Intercom son responsables de tener en cuenta la seguridad en nuestras decisiones diarias.
Como la mayoría de las propiedades web orientadas a Internet, nos vimos afectados por el incidente log4j en diciembre de 2021, que logramos contener y mitigar de manera eficiente . Realizamos una revisión de incidentes , extrajimos lecciones importantes y aprovechamos la oportunidad para refinar nuestro proceso de respuesta a incidentes de seguridad y mejorar nuestros controles de seguridad relacionados con la cadena de suministro interna.
Superar la escasez de habilidades de InfoSec cultivando el talento de Intercom
Formar parte de la organización de I+D de Intercom también tiene otras ventajas. Todos hemos oído hablar de la escasez de habilidades en la industria de InfoSec. La industria de la tecnología busca constantemente a su desarrollador senior 10x unicornio e InfoSec no es diferente.
“Para proteger a Intercom en su totalidad, comprender el producto, su infraestructura subyacente y cómo nuestros clientes lo usan o lo abusan es clave”
El equipo de InfoSec de Intercom, aunque siempre en busca de un gran talento especializado, ha adoptado el enfoque alternativo de invertir en transferencias internas desde el principio. Para proteger a Intercom en su totalidad, es fundamental comprender el producto, su infraestructura subyacente y cómo nuestros clientes lo usan o abusan de él. Como resultado, el equipo ha adoptado el enfoque de seleccionar e incorporar internamente ingenieros de productos, sistemas y TI, así como TPM de seguridad y cumplimiento con un amplio conocimiento de Intercom que pueden aprender a aplicar a su seguridad.
Con la ayuda de líderes y gerentes experimentados de InfoSec, las transferencias internas de Intercom aprovechan su experiencia y mentalidad de crecimiento para navegar la curva de aprendizaje de InfoSec, que a menudo es desalentadora. Como resultado, los nuevos miembros del equipo impulsan el impacto rápidamente a través de la polinización cruzada y las sólidas relaciones que mantienen con sus equipos anteriores.
Panorama de seguridad en evolución
A medida que construimos el futuro de las comunicaciones con los clientes, hacemos crecer el equipo de Intercom e incorporamos clientes cada vez más grandes, la tolerancia al riesgo y el panorama de amenazas de Intercom continúan evolucionando. En los últimos meses, hemos intensificado nuestros esfuerzos para implementar una infraestructura de confianza de dispositivos para asegurar aún más el acceso de Intercomrades a los sistemas clave, y creamos componentes básicos de seguridad y privacidad dentro del producto para permitir un ciclo de vida sólido de los datos del cliente.
Habrá muchos más desafíos por delante. Mientras Intercom sueña en grande y ofrece más valor a los clientes, el equipo de InfoSec se esforzará por seguir fomentando y salvaguardando la confianza de los clientes en la forma en que Intercom almacena, procesa y administra sus datos.