Keamanan di Intercom: Bagaimana tim InfoSec kami melindungi data dan kepercayaan pelanggan kami
Diterbitkan: 2022-05-06Di Intercom, kami memikirkan secara mendalam tentang cara memberikan pengalaman yang paling aman dan paling aman bagi pelanggan kami dan pelanggan mereka.
Sebagai bisnis SaaS, Intercom adalah pemroses data: pelanggan kami mempercayakan data mereka kepada kami, yang kami simpan dan proses atas nama mereka. Sejak awal, kami telah menganggap data pelanggan sebagai salah satu aset Intercom yang paling penting dan memfokuskan upaya kami untuk melindunginya dengan membangun fondasi keamanan internal yang kuat untuk produk dan infrastruktur kami.
Saat kami berkembang, kami bekerja dengan pelanggan pasar menengah dan perusahaan yang lebih besar dengan kebutuhan dan spesifikasi yang lebih kompleks. Kami berkomitmen untuk memenuhi standar keamanan tertinggi untuk melindungi kepercayaan dan cinta pelanggan kami terhadap produk kami. Kami melakukannya dengan:
- Berinvestasi dalam kepercayaan Anda melalui kepatuhan terhadap standar atau kerangka kerja keamanan dan privasi industri seperti SOC 2
- Pengiriman cepat dan aman
- Manajemen risiko berkelanjutan
- Mempekerjakan dan mengembangkan bakat luar biasa di tim Keamanan Informasi kami
Berinvestasi secara signifikan dalam menjaga kepercayaan pelanggan kami
Misi tim Keamanan Informasi Interkom (InfoSec) adalah untuk menumbuhkan dan menjaga kepercayaan pelanggan – dan kami banyak berpikir tentang bagaimana kami menjaga kelincahan Intercom sambil juga mengenali dan mengurangi risiko keamanan dengan nilai tertinggi.
Tugas tim meliputi: keamanan dan penyalahgunaan; risiko tata kelola dan kepatuhan; dan itu. Setiap area ditentukan oleh program kerja yang terpisah dan didukung oleh satu atau lebih tim tertentu. Tumpang tindih dan sinergi antara tim ini berarti kami dapat menggunakan otomatisasi untuk menyelesaikan masalah dalam skala besar secara efisien sambil tetap ramping.
“Kami telah berinvestasi besar-besaran dalam jaminan keamanan yang meyakinkan untuk mendorong dan menjaga kepercayaan pelanggan kami di Intercom, dibuktikan dengan laporan pengesahan SOC2 Tipe II dan HIPAA kami , serta sertifikasi ISO27001”
Kami telah berinvestasi besar-besaran dalam jaminan keamanan yang meyakinkan untuk mendorong dan menjaga kepercayaan pelanggan kami pada Intercom sebagai produk, tetapi juga sebagai perusahaan, dibuktikan dengan laporan pengesahan SOC2 Tipe II dan HIPAA kami, dan sertifikasi ISO27001 .
Pengiriman cepat – dan aman
Keberhasilan Intercom bergantung pada kemampuan untuk bergerak cepat melalui penerapan proses bisnis yang kuat, efisien, dan aman. Anggota tim InfoSec kami menerapkan pagar pembatas daripada gerbang dengan memanfaatkan keterampilan kami untuk membuat keputusan manajemen risiko keamanan yang seimbang.
“Memahami pagar pembatas yang perlu kita bangun berarti melacak dengan cermat perubahan yang berarti di seluruh Intercom dan memastikan kita berada di puncak inisiatif baru”
Memahami pagar pembatas yang perlu kita bangun berarti melacak dengan cermat perubahan yang berarti di seluruh Intercom dan memastikan kita berada di atas inisiatif baru. Di sebagian besar perusahaan SaaS, R&D adalah organisasi yang paling banyak berinovasi, dan karenanya memperkenalkan tingkat perubahan yang berpotensi berisiko tertinggi.
Interkom tidak terkecuali. “ Pengiriman adalah detak jantung kami ” telah menjadi moto organisasi Litbang Interkom sejak awal dan para insinyur mengirimkan kode ke aplikasi produksi yang dihadapi pelanggan kami puluhan kali sehari. Di sinilah produk dilahirkan, di mana mereka berkembang, dan di mana mereka mengubah eksposur perusahaan ke internet dan ancaman keamanan web pada khususnya.
“Menjadi tertanam dalam organisasi R&D berarti bahwa tim InfoSec Intercom lebih dekat dengan risiko ini sambil mempertahankan visibilitas dan dampak perusahaan secara luas”
Tingkat kecepatan ini menyenangkan bagi pelanggan dan teknisi kami, tetapi memperkenalkan potensi perubahan yang berisiko. Itulah sebabnya kami menyematkan tim InfoSec Intercom ke dalam organisasi R&D dan mengapa ia melapor langsung ke CTO, yang berarti bahwa kami lebih dekat dengan risiko ini sambil mempertahankan visibilitas dan dampak di seluruh perusahaan.
Sebagai insinyur dan Manajer Program Teknis (TPM), tim kami dapat secara lebih efisien mengurangi risiko apa pun dengan merancang proses dan kontrol keamanan yang menjaga kemampuan insinyur untuk bergerak cepat – kami secara efektif dapat membangun keamanan ke dalam produk dan budaya dari dalam.
Mengembangkan program keamanan kami melalui proses manajemen risiko yang berkelanjutan
Program teknik keamanan Intercom dirancang untuk membantu R&D dalam mengamankan salah satu aktivitas bisnis terpenting mereka: mengirimkan produk yang aman dengan cepat, lebih awal, dan sering . Hal ini didukung oleh dua tim yang fokus pada manajemen insiden dan deteksi ancaman, pemberantasan kelas kerentanan dengan membangun standar keamanan monolit Rails kami , dan pendidikan keamanan berbasis peran.
“Pendekatan Intercom terhadap keamanan pada dasarnya berbasis risiko dan sangat bergantung pada proses manajemen risiko keamanan internal kami yang berkelanjutan untuk berkembang”
Sementara beberapa program keamanan terutama mengandalkan kerangka kerja kepatuhan untuk memandu peta jalan mereka, pendekatan Intercom terhadap keamanan pada dasarnya berbasis risiko dan sangat bergantung pada proses manajemen risiko keamanan internal berkelanjutan kami untuk berkembang.
Kegiatan penilaian risiko eksternal seperti pemantauan permukaan serangan, tes pena dua tahunan, dan yang paling penting, program karunia bug publik Intercom , memastikan efektivitas kontrol keamanan kami diverifikasi terus menerus dan independen. Semua kontrol dan aktivitas tersebut memberikan landasan yang kuat bagi program kepatuhan kami untuk membangun dan memberikan jaminan keamanan yang dihadapi pelanggan untuk menginformasikan kesepakatan tim Penjualan kami.
Meski semua itu membuat kami percaya diri, kami tetap rendah hati, sebagaimana tertuang dalam nilai- nilai perusahaan kami . Orang, proses, dan alat masing-masing memperkenalkan tingkat kerumitan – menjamin keamanan 100% sepanjang waktu, dan oleh karena itu tidak ada insiden keamanan, tidak realistis.
“Semua orang di Intercom bertanggung jawab untuk mempertimbangkan keamanan dalam keputusan kami sehari-hari”
Di Intercom, kami mengharapkan insiden terjadi, bersiaplah untuk itu, dan ketika itu terwujud, ambil kesempatan untuk menguji dan mengoptimalkan kontrol dan proses kami yang ada. Tim kami tahu bahwa kami tidak dapat berhasil sendiri; selain bertanggung jawab untuk menjalankan program keamanan yang tangguh, kami juga mendidik, mengaktifkan, dan memberdayakan orang-orang di seluruh perusahaan untuk melindungi kemampuan Intercom untuk bergerak cepat, aman . Semua orang di Intercom bertanggung jawab untuk mempertimbangkan keamanan dalam keputusan kita sehari-hari.
Seperti kebanyakan properti web yang terhubung ke Internet, kami terkena insiden log4j pada bulan Desember 2021, yang berhasil kami tangani dan mitigasi secara efisien . Kami menjalankan tinjauan insiden , menarik pelajaran penting, dan mengambil kesempatan untuk menyempurnakan proses respons insiden keamanan kami dan meningkatkan kontrol keamanan terkait rantai pasokan internal kami.
Mengatasi kekurangan keterampilan InfoSec dengan mengembangkan bakat Intercom
Menjadi bagian dari organisasi R&D Intercom juga memiliki keuntungan lain. Kita semua pernah mendengar tentang kekurangan keterampilan industri InfoSec. Industri teknologi terus mencari pengembang senior 10x unicorn dan InfoSec tidak berbeda.
“Untuk melindungi Intercom secara keseluruhan, memahami produk, infrastruktur yang mendasarinya, dan bagaimana pelanggan kami menggunakan atau menyalahgunakannya adalah kuncinya”
Tim InfoSec Intercom, sementara selalu mencari bakat khusus yang hebat, telah mengambil pendekatan alternatif untuk berinvestasi dalam transfer internal, lebih awal. Untuk melindungi Intercom secara keseluruhan, memahami produk, infrastruktur yang mendasarinya, dan bagaimana pelanggan kami menggunakan atau menyalahgunakannya adalah kuncinya. Akibatnya, tim telah mengambil pendekatan untuk memilih dan menerapkan produk, sistem, dan insinyur TI secara internal, serta TPM keamanan dan kepatuhan dengan pengetahuan luas tentang Interkom yang dapat mereka pelajari untuk diterapkan pada keamanannya.
Dengan bantuan para pemimpin dan manajer InfoSec yang berpengalaman, transfer internal Intercom memanfaatkan keahlian dan pola pikir pertumbuhan mereka untuk menavigasi kurva pembelajaran InfoSec yang seringkali menakutkan. Akibatnya, anggota tim baru mendorong dampak dengan cepat melalui penyerbukan silang dan hubungan kuat yang mereka pertahankan dengan tim sebelumnya.
Lanskap keamanan yang berkembang
Saat kami membangun masa depan komunikasi pelanggan, menumbuhkan tim Intercom, dan menyatukan pelanggan yang lebih besar dan lebih besar, toleransi risiko dan lanskap ancaman Intercom terus berkembang. Dalam beberapa bulan terakhir, kami telah meningkatkan upaya kami untuk meluncurkan infrastruktur kepercayaan perangkat untuk lebih mengamankan akses Intercomrades ke sistem utama, dan membangun blok bangunan keamanan dan privasi dalam produk untuk memungkinkan siklus hidup data pelanggan yang kuat.
Akan ada lebih banyak tantangan ke depan. Karena Intercom bermimpi besar dan memberikan nilai lebih kepada pelanggan, tim InfoSec akan berusaha untuk terus membina dan menjaga kepercayaan pelanggan tentang cara Intercom menyimpan, memproses, dan mengelola data mereka.