Sicurezza all'interfono: come il nostro team InfoSec protegge i dati e la fiducia dei nostri clienti
Pubblicato: 2022-05-06In Intercom, riflettiamo a fondo su come offrire l'esperienza più sicura possibile ai nostri clienti e ai loro clienti.
In quanto azienda SaaS, Intercom è un elaboratore di dati: i nostri clienti ci affidano i loro dati, che archiviamo ed elaboriamo per loro conto. Fin dall'inizio, abbiamo considerato i dati dei clienti come una delle risorse più critiche di Intercom e abbiamo concentrato i nostri sforzi sulla protezione creando solide basi di sicurezza interna per il nostro prodotto e la nostra infrastruttura.
Con la nostra scalabilità, stiamo lavorando con clienti di fascia media e aziendale più grandi con esigenze e specifiche più complesse. Ci impegniamo a soddisfare i più elevati standard di sicurezza per proteggere la fiducia e l'amore dei nostri clienti per il nostro prodotto. Lo facciamo da:
- Investire nella tua fiducia attraverso la conformità con gli standard o framework ISO di sicurezza e privacy del settore come SOC 2
- Spedizione veloce e sicura
- Gestione continua del rischio
- Assumere e coltivare talenti incredibili nel nostro team di sicurezza delle informazioni
Investire in modo significativo per salvaguardare la fiducia dei nostri clienti
La missione del team Intercom Information Security (InfoSec) è promuovere e salvaguardare la fiducia dei clienti e pensiamo molto a come preservare l'agilità di Intercom riconoscendo e mitigando i rischi per la sicurezza più elevati.
Il mandato della squadra copre: sicurezza e abusi; rischio di governance e compliance; ed esso. Ogni area è definita da un programma di lavoro separato ed è supportata da uno o più team specifici. La sovrapposizione e le sinergie tra questi team ci consentono di utilizzare l'automazione per risolvere efficacemente i problemi su larga scala pur rimanendo snelli.
"Abbiamo investito massicciamente in una garanzia di sicurezza convincente per promuovere e salvaguardare la fiducia dei nostri clienti in Intercom, come dimostrano i nostri rapporti di attestazione SOC2 Tipo II e HIPAA e la certificazione ISO27001"
Abbiamo investito massicciamente in una garanzia di sicurezza convincente per promuovere e salvaguardare la fiducia dei nostri clienti in Intercom come prodotto, ma anche come azienda, come dimostrano i nostri rapporti di attestazione SOC2 Tipo II e HIPAA e la certificazione ISO27001 .
Spedizioni rapide e sicure
Il successo di Intercom dipende dalla capacità di muoversi rapidamente attraverso l'implementazione di processi aziendali solidi, efficienti e sicuri. I membri del nostro team InfoSec implementano guardrail anziché gate sfruttando le nostre competenze per prendere decisioni equilibrate di gestione dei rischi per la sicurezza.
"Capire i guardrail che dobbiamo costruire significa monitorare da vicino i cambiamenti significativi attraverso Intercom e assicurarci di essere al passo con le nuove iniziative"
Comprendere i guardrail che dobbiamo costruire significa seguire da vicino i cambiamenti significativi in Intercom e assicurarci di essere al passo con le nuove iniziative. Nella maggior parte delle aziende SaaS, la ricerca e lo sviluppo è l'organizzazione che innova di più e quindi introduce il più alto livello di cambiamento potenzialmente rischioso.
L'interfono non fa eccezione. " La spedizione è il nostro battito cardiaco " è stato il motto dell'organizzazione di ricerca e sviluppo di Intercom sin dall'inizio e gli ingegneri inviano il codice alla nostra app di produzione rivolta ai clienti dozzine di volte al giorno. È qui che nascono i prodotti, dove si sviluppano e dove modificano l'esposizione dell'azienda a Internet e alle minacce alla sicurezza web in particolare.
"Essere integrati all'interno dell'organizzazione di ricerca e sviluppo significa che il team InfoSec di Intercom è più vicino a questo rischio, pur mantenendo un'ampia visibilità e impatto sull'azienda"
Questo livello di velocità è un piacere sia per i nostri clienti che per gli ingegneri, ma introduce il potenziale per cambiamenti rischiosi. Ecco perché abbiamo incorporato il team InfoSec di Intercom all'interno dell'organizzazione di ricerca e sviluppo e perché riporta direttamente al CTO, il che significa che siamo più vicini a questo rischio pur mantenendo visibilità e impatto a livello aziendale.
In qualità di ingegneri e Technical Program Manager (TPM) noi stessi, il nostro team può mitigare in modo più efficiente qualsiasi rischio progettando processi e controlli di sicurezza che preservano la capacità degli ingegneri di muoversi rapidamente: siamo in grado di integrare efficacemente la sicurezza nel prodotto e nella cultura dall'interno.
Evoluzione del nostro programma di sicurezza attraverso un processo continuo di gestione del rischio
Il programma di ingegneria della sicurezza di Intercom è progettato per assistere la ricerca e lo sviluppo nella protezione di una delle attività aziendali più critiche: la spedizione di prodotti sicuri in modo rapido, tempestivo e frequente . È supportato da due team che si concentrano sulla gestione degli incidenti e sul rilevamento delle minacce, sull'eliminazione di classi di vulnerabilità basandosi sulle impostazioni predefinite sicure del nostro monolito Rails e sull'educazione alla sicurezza basata sui ruoli.
"L'approccio di Intercom alla sicurezza è fondamentalmente basato sul rischio e si basa fortemente sull'evoluzione del nostro continuo processo interno di gestione dei rischi per la sicurezza"
Mentre alcuni programmi di sicurezza si basano principalmente su framework di conformità per guidare le loro roadmap, l'approccio di Intercom alla sicurezza è fondamentalmente basato sul rischio e si basa fortemente sull'evoluzione del nostro continuo processo interno di gestione del rischio di sicurezza.
Le attività esterne di valutazione del rischio, come il monitoraggio della superficie di attacco, i pen test semestrali e, soprattutto, il programma di ricompense dei bug di Intercom , garantiscono che l'efficacia dei nostri controlli di sicurezza sia verificata in modo continuo e indipendente. Tutti questi controlli e attività forniscono solide basi per il nostro programma di conformità su cui basare e fornire garanzie di sicurezza rivolte ai clienti per informare gli accordi del nostro team di vendita.
Sebbene tutto ciò ci renda fiduciosi, rimaniamo umili, come affermato nei nostri valori aziendali . Persone, processi e strumenti introducono ciascuno un certo grado di complessità: garantire sempre il 100% di sicurezza, e quindi zero incidenti di sicurezza, è semplicemente irrealistico.
"Tutti in Intercom sono responsabili di tenere conto della sicurezza nelle nostre decisioni quotidiane"
In Intercom, ci aspettiamo che si verifichino incidenti, ci prepariamo per loro e, quando si materializzano, cogliamo l'opportunità di testare e ottimizzare i nostri controlli e processi esistenti. Il nostro team sa che non possiamo avere successo da soli; mentre siamo responsabili della guida di un solido programma di sicurezza, educhiamo, abilitiamo e consentiamo alle persone in tutta l'azienda di proteggere la capacità di Intercom di muoversi in modo rapido e sicuro . Tutti in Intercom hanno la responsabilità di tenere conto della sicurezza nelle nostre decisioni quotidiane.
Come la maggior parte delle proprietà Web rivolte a Internet, nel dicembre 2021 siamo stati colpiti dall'incidente log4j , che siamo riusciti a contenere e mitigare in modo efficiente . Abbiamo eseguito un'analisi degli incidenti , tratto lezioni importanti e colto l'occasione per perfezionare il nostro processo di risposta agli incidenti di sicurezza e migliorare i controlli di sicurezza relativi alla catena di approvvigionamento interna.
Superare la carenza di competenze di InfoSec coltivando il talento Intercom
Far parte dell'organizzazione di ricerca e sviluppo di Intercom ha anche altri vantaggi. Abbiamo tutti sentito parlare della carenza di competenze nel settore di InfoSec. L'industria tecnologica è costantemente alla ricerca del suo sviluppatore senior 10x unicorno e InfoSec non è diverso.
"Per proteggere Intercom nel suo insieme, è fondamentale comprendere il prodotto, la sua infrastruttura sottostante e come i nostri clienti lo utilizzano o ne fanno un uso improprio"
Il team di InfoSec di Intercom, sempre alla ricerca di grandi talenti specializzati, ha adottato l'approccio alternativo di investire in anticipo nei trasferimenti interni. Per proteggere Intercom nel suo insieme, è fondamentale comprendere il prodotto, la sua infrastruttura sottostante e come i nostri clienti lo utilizzano o ne fanno un uso improprio. Di conseguenza, il team ha adottato l'approccio di selezionare internamente e integrare prodotti, sistemi e ingegneri IT, nonché TPM di sicurezza e conformità con una vasta conoscenza di Intercom che possono imparare ad applicare alla sua sicurezza.
Con l'aiuto di leader e manager InfoSec esperti, i trasferimenti interni di Intercom sfruttano la loro esperienza e mentalità di crescita per navigare nella curva di apprendimento di InfoSec, spesso scoraggiante. Di conseguenza, i nuovi membri del team guidano rapidamente l'impatto attraverso l'impollinazione incrociata e le forti relazioni che mantengono con i loro ex team.
Panorama della sicurezza in evoluzione
Man mano che costruiamo il futuro delle comunicazioni con i clienti, cresciamo il team Intercom e acquisiamo clienti sempre più grandi, la tolleranza al rischio e il panorama delle minacce di Intercom continuano ad evolversi. Negli ultimi mesi, abbiamo intensificato i nostri sforzi per implementare un'infrastruttura di fiducia dei dispositivi per proteggere ulteriormente l'accesso di Intercomrades ai sistemi chiave e abbiamo creato blocchi di sicurezza e privacy all'interno del prodotto per consentire un solido ciclo di vita dei dati dei clienti.
Ci saranno molte altre sfide da affrontare. Poiché Intercom sogna in grande e offre più valore ai clienti, il team di InfoSec si sforzerà di continuare a promuovere e salvaguardare la fiducia dei clienti nel modo in cui Intercom archivia, elabora e gestisce i loro dati.