Sécurité chez Intercom : comment notre équipe InfoSec protège les données et la confiance de nos clients
Publié: 2022-05-06Chez Intercom, nous réfléchissons profondément à la manière d'offrir l'expérience la plus sûre et la plus sécurisée possible à nos clients et à leurs clients.
En tant qu'entreprise SaaS, Intercom est un sous-traitant : nos clients nous confient leurs données, que nous stockons et traitons en leur nom. Depuis le début, nous avons considéré les données des clients comme l'un des actifs les plus critiques d'Intercom et avons concentré nos efforts sur leur protection en établissant des bases de sécurité internes solides pour notre produit et notre infrastructure.
Au fur et à mesure que nous évoluons, nous travaillons avec des clients de taille moyenne et d'entreprise plus importants avec des besoins et des spécifications plus complexes. Nous nous engageons à respecter les normes de sécurité les plus élevées pour protéger la confiance et l'amour de nos clients pour notre produit. Nous le faisons en :
- Investir dans votre confiance grâce à la conformité aux normes ou cadres ISO de sécurité et de confidentialité de l'industrie tels que SOC 2
- Expédition rapide et sécurisée
- Gestion continue des risques
- Embaucher et cultiver des talents incroyables au sein de notre équipe de sécurité de l'information
Investir significativement pour conserver la confiance de nos clients
La mission de l'équipe Intercom Information Security (InfoSec) est de favoriser et de préserver la confiance des clients - et nous réfléchissons beaucoup à la manière dont nous préservons l'agilité d'Intercom tout en reconnaissant et en atténuant les risques de sécurité les plus importants.
Les missions de l'équipe couvrent : la sécurité et les abus ; le risque de gouvernance et la conformité ; et cela. Chaque domaine est défini par un programme de travail distinct et est soutenu par une ou plusieurs équipes spécifiques. Le chevauchement et les synergies entre ces équipes signifient que nous pouvons utiliser l'automatisation pour résoudre efficacement les problèmes à grande échelle tout en restant légers.
"Nous avons investi massivement dans une assurance de sécurité convaincante pour favoriser et préserver la confiance de nos clients dans Intercom, comme en témoignent nos rapports d'attestation SOC2 Type II et HIPAA , et la certification ISO27001"
Nous avons investi massivement dans une assurance de sécurité convaincante pour favoriser et préserver la confiance de nos clients dans Intercom en tant que produit, mais aussi en tant qu'entreprise, comme en témoignent nos rapports d'attestation SOC2 Type II et HIPAA, et la certification ISO27001 .
Expédition rapide et sécurisée
Le succès d'Intercom dépend de sa capacité à progresser rapidement dans la mise en œuvre de processus commerciaux robustes, efficaces et sécurisés. Les membres de notre équipe InfoSec mettent en œuvre des garde-fous plutôt que des barrières en tirant parti de nos compétences pour prendre des décisions équilibrées en matière de gestion des risques de sécurité.
"Comprendre les garde-corps que nous devons construire signifie suivre de près les changements significatifs dans Intercom et nous assurer que nous sommes au courant des nouvelles initiatives"
Comprendre les garde-corps que nous devons construire signifie suivre de près les changements significatifs dans Intercom et nous assurer que nous sommes au courant des nouvelles initiatives. Dans la plupart des entreprises SaaS, la R&D est l'organisation qui innove le plus, et donc introduit le plus haut niveau de changement potentiellement risqué.
L'interphone ne fait pas exception. " L'expédition est notre rythme cardiaque " a été la devise de l'organisation R&D d'Intercom depuis le tout début et les ingénieurs expédient le code à notre application de production orientée client des dizaines de fois par jour. C'est là que naissent les produits, qu'ils se développent et qu'ils modifient l'exposition de l'entreprise à Internet et aux menaces de sécurité du Web en particulier.
"Être intégré au sein de l'organisation R&D signifie que l'équipe InfoSec d'Intercom est plus proche de ce risque tout en conservant une visibilité et un impact à l'échelle de l'entreprise"
Ce niveau de vitesse est un plaisir pour nos clients et nos ingénieurs, mais introduit le potentiel de changements risqués. C'est pourquoi nous avons intégré l'équipe InfoSec d'Intercom au sein de l'organisation R&D et pourquoi elle relève directement du CTO, ce qui signifie que nous sommes plus proches de ce risque tout en conservant une visibilité et un impact à l'échelle de l'entreprise.
En tant qu'ingénieurs et responsables de programme technique (TPM) nous-mêmes, notre équipe peut atténuer plus efficacement tout risque en concevant des processus et des contrôles de sécurité qui préservent la capacité des ingénieurs à agir rapidement - nous sommes effectivement en mesure d'intégrer la sécurité dans le produit et la culture de l'intérieur.
Faire évoluer notre programme de sécurité grâce à un processus continu de gestion des risques
Le programme d'ingénierie de sécurité d'Intercom est conçu pour aider la R&D à sécuriser l'une de ses activités commerciales les plus critiques : expédier des produits sécurisés rapidement, tôt et souvent . Il est soutenu par deux équipes qui se concentrent sur la gestion des incidents et la détection des menaces, l'éradication des classes de vulnérabilités en s'appuyant sur les valeurs par défaut sécurisées de notre monolithe Rails et la formation à la sécurité basée sur les rôles.
"L'approche d'Intercom en matière de sécurité est fondamentalement basée sur les risques et s'appuie fortement sur notre processus continu de gestion interne des risques de sécurité pour évoluer"
Alors que certains programmes de sécurité s'appuient principalement sur des cadres de conformité pour guider leurs feuilles de route, l'approche d'Intercom en matière de sécurité est fondamentalement basée sur les risques et s'appuie fortement sur notre processus interne continu de gestion des risques de sécurité pour évoluer.
Les activités d'évaluation des risques externes telles que la surveillance de la surface d'attaque, les tests d'intrusion semestriels et, plus important encore, le programme public de bug bounty d'Intercom , garantissent que l'efficacité de nos contrôles de sécurité est vérifiée de manière continue et indépendante. Tous ces contrôles et activités fournissent des bases solides pour notre programme de conformité afin de s'appuyer sur et de fournir une assurance de sécurité face aux clients pour informer les transactions de notre équipe de vente.
Bien que tout cela nous rende confiants, nous restons humbles, comme l'indiquent les valeurs de notre entreprise . Les personnes, les processus et les outils introduisent chacun un degré de complexité - garantir une sécurité à 100 % à tout moment, et donc zéro incident de sécurité, est tout simplement irréaliste.
"Tout le monde chez Intercom est responsable de la prise en compte de la sécurité dans nos décisions quotidiennes"
Chez Intercom, nous nous attendons à ce que des incidents se produisent, nous nous y préparons et, lorsqu'ils se matérialisent, saisissons l'opportunité de tester et d'optimiser nos contrôles et processus existants. Notre équipe sait que nous ne pouvons pas réussir seuls. alors que nous sommes responsables de la conduite d'un programme de sécurité robuste, nous éduquons, habilitons et autonomisons également les personnes de l'entreprise pour protéger la capacité d'Intercom à se déplacer rapidement et en toute sécurité . Tout le monde chez Intercom est responsable de la prise en compte de la sécurité dans nos décisions quotidiennes.
Comme la plupart des propriétés Web accessibles sur Internet, nous avons été touchés par l' incident log4j en décembre 2021, que nous avons réussi à contenir et à atténuer efficacement . Nous avons effectué un examen des incidents , tiré des leçons importantes et saisi l'occasion pour affiner notre processus de réponse aux incidents de sécurité et améliorer nos contrôles de sécurité internes liés à la chaîne d'approvisionnement.
Surmonter la pénurie de compétences InfoSec en cultivant les talents Intercom
Faire partie de l'organisation R&D d'Intercom présente également d'autres avantages. Nous avons tous entendu parler de la pénurie de compétences dans l'industrie InfoSec. L'industrie technologique est constamment à la recherche de son développeur senior 10x licorne et InfoSec n'est pas différent.
"Pour protéger Intercom dans son ensemble, il est essentiel de comprendre le produit, son infrastructure sous-jacente et la manière dont nos clients l'utilisent ou en abusent"
L'équipe InfoSec d'Intercom, bien que toujours à la recherche de grands talents spécialisés, a adopté très tôt l'approche alternative consistant à investir dans les transferts internes. Pour protéger Intercom dans son ensemble, il est essentiel de comprendre le produit, son infrastructure sous-jacente et la manière dont nos clients l'utilisent ou en abusent. En conséquence, l'équipe a adopté l'approche consistant à sélectionner et à intégrer en interne des ingénieurs produits, systèmes et informatiques, ainsi que des TPM de sécurité et de conformité possédant une connaissance approfondie d'Intercom qu'ils peuvent apprendre à appliquer à sa sécurité.
Avec l'aide de dirigeants et de gestionnaires InfoSec expérimentés, les transferts internes d'Intercom tirent parti de leur expertise et de leur état d'esprit de croissance pour naviguer dans la courbe d'apprentissage souvent intimidante d'InfoSec. En conséquence, les nouveaux membres de l'équipe ont un impact rapide grâce à la pollinisation croisée et aux relations solides qu'ils entretiennent avec leurs anciennes équipes.
Paysage de sécurité en évolution
Alors que nous construisons l'avenir des communications client, développons l'équipe Intercom et intégrons des clients de plus en plus importants, la tolérance au risque et le paysage des menaces d'Intercom continuent d'évoluer. Au cours des derniers mois, nous avons intensifié nos efforts pour déployer une infrastructure de confiance des appareils afin de sécuriser davantage l'accès d'Intercomrades aux systèmes clés, et avons construit des blocs de construction de sécurité et de confidentialité au sein du produit pour permettre un cycle de vie des données client robuste.
Il y aura bien d'autres défis à relever. Alors qu'Intercom voit grand et offre plus de valeur aux clients, l'équipe InfoSec s'efforcera de continuer à favoriser et à préserver la confiance des clients dans la manière dont Intercom stocke, traite et gère leurs données.