Intercom의 보안: InfoSec 팀이 고객의 데이터와 신뢰를 보호하는 방법

게시 됨: 2022-05-06

​​Intercom은 고객과 고객에게 가장 안전하고 안전한 경험을 제공하는 방법에 대해 깊이 생각합니다.

SaaS 비즈니스로서 Intercom은 데이터 처리자입니다. 고객은 데이터를 당사에 맡기고 이를 대신하여 저장하고 처리합니다. 처음부터 우리는 고객 데이터를 Intercom의 가장 중요한 자산 중 하나로 간주했으며 제품 및 인프라에 대한 강력한 내부 보안 기반을 구축하여 이를 보호하는 데 주력했습니다.

규모가 커지면서 요구 사항과 사양이 더 복잡한 대규모 중간 시장 및 엔터프라이즈 고객과 협력하고 있습니다. 우리는 우리 제품에 대한 고객의 신뢰와 사랑을 보호하기 위해 최고 수준의 보안을 충족하기 위해 최선을 다하고 있습니다. 우리는 다음과 같이 합니다.

  1. 산업 보안 및 개인 정보 보호 ISO 표준 또는 SOC 2 와 같은 프레임워크 준수를 통해 신뢰에 투자
  2. 빠르고 안전하게 배송
  3. 지속적인 위험 관리
  4. 정보 보안 팀에서 뛰어난 인재를 고용하고 육성합니다.

고객의 신뢰를 지키기 위한 막대한 투자

Intercom Information Security(InfoSec) 팀의 사명은 고객의 신뢰를 증진하고 보호 하는 것입니다. 우리는 Intercom의 민첩성을 유지하면서 가장 높은 등급의 보안 위험을 인식하고 완화하는 방법에 대해 많이 생각합니다.

팀의 임무는 다음과 같습니다. 보안 및 남용; 거버넌스 위험 및 규정 준수; 그리고 IT. 각 영역은 별도의 작업 프로그램으로 정의되며 하나 이상의 특정 팀에서 지원합니다. 이러한 팀 간의 중첩 및 시너지 효과는 자동화를 사용하여 효율적으로 문제를 대규모로 해결하면서 린 상태를 유지할 수 있음을 의미합니다.

"우리는 SOC2 Type II HIPAA 증명 보고서와 ISO27001 인증에서 입증된 바와 같이 Intercom에 대한 고객의 신뢰를 강화하고 보호하기 위해 강력한 보안 보증에 막대한 투자를 했습니다."

우리는 SOC2 Type II 및 HIPAA 인증 보고서와 ISO27001 인증에 의해 입증된 바와 같이 제품으로서 뿐만 아니라 기업으로서 Intercom에 대한 고객의 신뢰를 강화하고 보호하기 위해 강력한 보안 보증에 막대한 투자를 했습니다 .

빠르고 안전하게 배송

Intercom의 성공은 강력하고 효율적이며 안전한 비즈니스 프로세스의 구현을 통해 빠르게 움직일 수 있는지 여부에 달려 있습니다. 우리의 InfoSec 팀원은 균형 잡힌 보안 위험 관리 결정을 내리기 위해 우리의 기술을 활용하여 게이트가 아닌 가드레일을 구현합니다.

"우리가 구축해야 하는 가드레일을 이해한다는 것은 Intercom 전체에서 의미 있는 변화를 면밀히 추적하고 우리가 새로운 이니셔티브를 주도하고 있는지 확인하는 것을 의미합니다."

구축해야 하는 가드레일을 이해한다는 것은 Intercom 전체에서 의미 있는 변화를 면밀히 추적하고 새로운 이니셔티브를 파악하고 있는지 확인하는 것을 의미합니다. 대부분의 SaaS 기업에서 R&D는 가장 혁신을 일으키는 조직이므로 잠재적으로 가장 위험한 변화를 가장 높은 수준으로 도입합니다.

인터콤도 예외는 아닙니다. " 배송은 우리의 심장입니다 "는 처음부터 Intercom R&D 조직의 모토였으며 엔지니어는 하루에도 수십 번씩 고객이 대면하는 프로덕션 앱에 코드를 배송합니다. 여기에서 제품이 탄생하고, 개발되고, 인터넷과 특히 웹 보안 위협에 대한 회사의 노출을 수정합니다.

"R&D 조직에 포함된다는 것은 Intercom의 InfoSec 팀이 회사 전체의 가시성과 영향력을 유지하면서 이 위험에 더 가깝다는 것을 의미합니다."

이러한 수준의 속도는 고객과 엔지니어 모두에게 기쁨을 주지만 위험한 변화의 가능성이 있습니다. 이것이 바로 우리가 Intercom의 InfoSec 팀을 R&D 조직에 포함시켰고 CTO에게 직접 보고하는 이유입니다. 즉, 회사 전체의 가시성과 영향력을 유지하면서 이 위험에 더 가깝습니다.

엔지니어 및 TPM(기술 프로그램 관리자)인 우리 ​​팀은 엔지니어가 빠르게 이동할 수 있는 능력을 보존하는 프로세스 및 보안 제어를 설계하여 모든 위험을 보다 효율적으로 완화할 수 있습니다. 우리는 내부에서 제품과 문화에 보안을 효과적으로 구축할 수 있습니다.

지속적인 위험 관리 프로세스를 통해 보안 프로그램 발전

Intercom의 보안 엔지니어링 프로그램은 R&D가 가장 중요한 비즈니스 활동 중 하나인 보안 제품을 빠르고, 일찍, 자주 배송 하는 것을 지원하도록 설계되었습니다 . 이는 사고 관리 및 위협 탐지, Rails 모노리스의 보안 기본값을 기반으로 하는 취약점 클래스 근절, 역할 기반 보안 교육에 중점을 둔 두 팀의 지원을 받습니다.

"Intercom의 보안 접근 방식은 근본적으로 위험 기반이며 지속적인 내부 보안 위험 관리 프로세스에 크게 의존하여 진화합니다."

일부 보안 프로그램은 로드맵을 안내하기 위해 주로 컴플라이언스 프레임워크에 의존하지만 보안에 대한 Intercom의 접근 방식은 근본적으로 위험 기반이며 지속적인 내부 보안 위험 관리 프로세스에 크게 의존하여 발전합니다.

공격 표면 모니터링, 격년 펜 테스트, 그리고 가장 중요한 Intercom의 공개 버그 포상금 프로그램 과 같은 외부 위험 평가 활동 은 당사 보안 제어의 효과가 지속적이고 독립적으로 검증되도록 합니다. 이러한 모든 제어 및 활동은 당사의 규정 준수 프로그램이 영업 팀의 거래를 알리기 위해 고객 대면 보안 보증을 구축하고 제공할 수 있는 강력한 기반을 제공합니다.

이 모든 것이 우리를 자신감 있게 만들어 주지만 우리는 회사 가치 에 명시된 것처럼 겸손을 유지합니다 . 사람, 프로세스 및 도구는 각각 어느 정도의 복잡성을 야기합니다. 항상 100% 보안을 보장하고 따라서 보안 사고 제로를 보장하는 것은 비현실적입니다.

"Intercom의 모든 직원은 일상적인 의사 결정에 보안을 고려해야 합니다."

Intercom에서 우리는 사고가 발생할 것으로 예상하고 이에 대비하며, 현실화되면 기존 제어 및 프로세스를 테스트하고 최적화할 기회를 받아들입니다. 우리 팀은 우리 스스로 성공할 수 없다는 것을 알고 있습니다. 우리는 강력한 보안 프로그램을 추진할 책임이 있는 동시에 회사 전체의 사람들을 교육하고, 활성화하고, 권한을 부여하여 Intercom이 빠르고 안전하게 이동할 수 있는 능력을 보호 합니다. Intercom의 모든 직원은 일상적인 결정에 보안을 고려해야 합니다.

대부분의 인터넷 연결 웹 속성과 마찬가지로 2021년 12월log4j 사건 이 발생하여 효율적으로 억제하고 완화할 수 있었습니다. 우리는 사고 검토 를 실행하고 중요한 교훈을 얻었으며 보안 사고 대응 프로세스를 개선하고 내부 공급망 관련 보안 통제를 개선할 기회를 얻었습니다.

인터콤 인재양성을 통한 인포섹 기술부족 극복

Intercom의 R&D 조직의 일원이 되는 것은 다른 이점도 있습니다. 우리는 모두 InfoSec 업계의 기술 부족에 대해 들었습니다. 기술 업계는 유니콘 시니어 10x 개발자를 지속적으로 찾고 있으며 InfoSec도 다르지 않습니다.

"Intercom 전체를 보호하려면 제품, 기본 인프라 및 고객이 제품을 사용하거나 오용하는 방식을 이해하는 것이 중요합니다."

Intercom의 InfoSec 팀은 항상 뛰어난 전문 인재를 찾고 있지만 조기에 내부 이적에 투자하는 대안적 접근 방식을 취했습니다. Intercom 전체를 보호하려면 제품, 기본 인프라 및 고객이 제품을 사용하거나 오용하는 방식을 이해하는 것이 중요합니다. 결과적으로 팀은 내부적으로 제품, 시스템, IT 엔지니어를 선택하여 온보딩하는 접근 방식을 취하고 인터콤에 대한 광범위한 지식을 갖춘 보안 및 컴플라이언스 TPM을 보안에 적용하는 방법을 배울 수 있습니다.

숙련된 InfoSec 리더 및 관리자의 도움으로 Intercom의 내부 이전은 전문 지식과 성장 마인드를 활용하여 종종 험난한 InfoSec 학습 곡선을 탐색합니다. 결과적으로 새로운 팀 구성원은 교차 수분 및 이전 팀과의 강력한 관계를 통해 빠르게 영향력을 발휘합니다.

진화하는 보안 환경

고객 커뮤니케이션의 미래를 구축하고 Intercom 팀을 성장시키며 점점 더 많은 고객을 확보함에 따라 Intercom의 위험 허용 범위와 위협 환경은 계속해서 진화하고 있습니다. 최근 몇 달 동안 우리는 핵심 시스템에 대한 Intercomrades의 액세스를 더욱 안전하게 보호하기 위해 장치 신뢰 인프라를 구축하기 위한 노력을 강화했으며 강력한 고객 데이터 수명 주기를 지원하기 위해 제품 내에 보안 및 개인 정보 보호 빌딩 블록을 구축했습니다.

앞으로 더 많은 도전이 있을 것입니다. Intercom이 큰 꿈을 꾸고 고객에게 더 많은 가치를 제공함에 따라 InfoSec 팀은 Intercom이 데이터를 저장, 처리 및 관리하는 방법에 대한 고객의 신뢰를 지속적으로 육성하고 보호하기 위해 노력할 것입니다.

질문? 자세한 내용은 영업 팀 구성원에게 문의하거나 Intercom 웹 사이트보안 페이지 를 참조하십시오.