Bezpieczeństwo w Intercomie: Jak nasz zespół InfoSec chroni dane i zaufanie naszych klientów
Opublikowany: 2022-05-06W Intercom głęboko myślimy o tym, jak zapewnić najbezpieczniejsze i najbezpieczniejsze doświadczenie dla naszych klientów i ich klientów.
Jako firma SaaS, Intercom jest podmiotem przetwarzającym dane: nasi klienci powierzają nam swoje dane, które przechowujemy i przetwarzamy w ich imieniu. Od samego początku uważaliśmy dane klientów za jeden z najbardziej krytycznych aktywów Intercomu i skoncentrowaliśmy nasze wysiłki na ich ochronie, budując silne wewnętrzne podstawy bezpieczeństwa dla naszego produktu i infrastruktury.
W miarę skalowania pracujemy z większymi klientami średniej wielkości i przedsiębiorstw o bardziej złożonych potrzebach i specyfikacjach. Dążymy do spełniania najwyższych standardów bezpieczeństwa, aby chronić zaufanie i miłość naszych klientów do naszego produktu. Robimy to poprzez:
- Inwestowanie w Twoje zaufanie poprzez zgodność z branżowymi standardami bezpieczeństwa i prywatności ISO lub ramami, takimi jak SOC 2
- Szybka i bezpieczna wysyłka
- Ciągłe zarządzanie ryzykiem
- Zatrudnianie i pielęgnowanie niesamowitych talentów w naszym zespole ds. bezpieczeństwa informacji
Inwestowanie znaczne w ochronę zaufania naszych klientów
Misją zespołu Intercom Information Security (InfoSec) jest wzmacnianie i ochrona zaufania klientów – i dużo myślimy o tym, jak zachowujemy zwinność Intercomu, jednocześnie rozpoznając i łagodząc najwyżej oceniane zagrożenia bezpieczeństwa.
Kompetencje zespołu obejmują: bezpieczeństwo i nadużycia; ryzyko zarządzania i zgodność; i to. Każdy obszar jest określony odrębnym programem pracy i jest wspierany przez jeden lub więcej konkretnych zespołów. Nakładanie się i synergia między tymi zespołami oznacza, że możemy wykorzystać automatyzację do efektywnego rozwiązywania problemów na dużą skalę, zachowując jednocześnie szczupłą sylwetkę.
„Dużo zainwestowaliśmy w przekonujące zapewnienie bezpieczeństwa, aby wzmocnić i chronić zaufanie naszych klientów do interkomu, o czym świadczą nasze raporty atestacyjne SOC2 Type II i HIPAA oraz certyfikat ISO27001”
Ogromnie zainwestowaliśmy w zapewnienie bezpieczeństwa, aby wzmocnić i chronić zaufanie naszych klientów do Intercomu jako produktu, ale także jako firmy, o czym świadczą nasze raporty atestacyjne SOC2 Type II i HIPAA oraz certyfikat ISO27001.
Szybka i bezpieczna wysyłka
Sukces Intercomu zależy od możliwości szybkiego działania poprzez wdrożenie solidnych, wydajnych i bezpiecznych procesów biznesowych. Członkowie naszego zespołu InfoSec wdrażają bariery ochronne zamiast bram, wykorzystując nasze umiejętności do podejmowania zrównoważonych decyzji dotyczących zarządzania ryzykiem bezpieczeństwa.
„Zrozumienie barier ochronnych, które musimy zbudować, oznacza ścisłe śledzenie znaczących zmian w interkomie i upewnienie się, że jesteśmy na bieżąco z nowymi inicjatywami”
Zrozumienie barier, które musimy zbudować, oznacza ścisłe śledzenie znaczących zmian w interkomie i upewnienie się, że jesteśmy na bieżąco z nowymi inicjatywami. W większości firm SaaS R&D jest organizacją, która wprowadza najwięcej innowacji i dlatego wprowadza najwyższy poziom potencjalnie ryzykownych zmian.
Domofon nie jest wyjątkiem. „ Wysyłka jest naszym biciem serca ” od samego początku było mottem organizacji Intercom R&D, a inżynierowie wysyłają kod do naszej aplikacji produkcyjnej skierowanej do klienta dziesiątki razy dziennie. To tutaj rodzą się produkty, gdzie się rozwijają i gdzie modyfikują ekspozycję firmy na Internet, aw szczególności na zagrożenia bezpieczeństwa sieci.
„Zakorzenienie w organizacji R&D oznacza, że zespół InfoSec Intercomu jest bliżej tego ryzyka, zachowując jednocześnie szeroką widoczność i wpływ firmy”
Ten poziom prędkości jest przyjemnością zarówno dla naszych klientów, jak i inżynierów, ale wprowadza potencjał ryzykownych zmian. Dlatego umieściliśmy zespół InfoSec firmy Intercom w dziale badawczo-rozwojowym i dlatego podlega on bezpośrednio CTO, co oznacza, że jesteśmy bliżej tego ryzyka, zachowując jednocześnie widoczność i wpływ w całej firmie.
Jako inżynierowie i menedżerowie programów technicznych (TPM), nasz zespół może skuteczniej ograniczać wszelkie ryzyko, projektując procesy i środki kontroli bezpieczeństwa, które zachowują zdolność inżynierów do szybkiego działania — jesteśmy w stanie skutecznie wbudować bezpieczeństwo w produkt i kulturę od wewnątrz.
Rozwój naszego programu bezpieczeństwa poprzez ciągły proces zarządzania ryzykiem
Program inżynierii bezpieczeństwa firmy Intercom został zaprojektowany, aby pomóc R&D w zabezpieczeniu jednej z ich najbardziej krytycznych działalności biznesowej: szybkiej, wczesnej i częstej wysyłki bezpiecznych produktów . Jest wspierany przez dwa zespoły, które koncentrują się na zarządzaniu incydentami i wykrywaniu zagrożeń, eliminowaniu klas luk w zabezpieczeniach poprzez budowanie na bezpiecznych domyślnych ustawieniach naszego monolitu Rails oraz edukacji bezpieczeństwa opartej na rolach.
„Podejście Intercomu do bezpieczeństwa jest zasadniczo oparte na ryzyku i w dużym stopniu opiera się na naszym ciągłym wewnętrznym procesie zarządzania ryzykiem w zakresie bezpieczeństwa, aby ewoluować”
Podczas gdy niektóre programy bezpieczeństwa opierają się głównie na ramach zgodności, aby kierować ich planami, podejście Intercomu do bezpieczeństwa jest zasadniczo oparte na ryzyku i w dużym stopniu opiera się na ciągłym wewnętrznym procesie zarządzania ryzykiem bezpieczeństwa, aby ewoluować.
Zewnętrzne działania związane z oceną ryzyka, takie jak monitorowanie powierzchni ataku, półroczne testy penetracyjne i, co najważniejsze, publiczny program bug bounty Intercomu , zapewniają, że skuteczność naszych kontroli bezpieczeństwa jest weryfikowana w sposób ciągły i niezależny. Wszystkie takie kontrole i działania stanowią mocne podstawy dla naszego programu zgodności, który opiera się na zapewnianiu bezpieczeństwa skierowanego do klienta, aby informować o transakcjach naszego zespołu sprzedaży.
Chociaż wszystko to daje nam pewność, pozostajemy pokorni, zgodnie z wartościami naszej firmy . Ludzie, procesy i narzędzia wprowadzają pewien stopień złożoności – gwarantowanie 100% bezpieczeństwa przez cały czas, a zatem zero incydentów związanych z bezpieczeństwem, jest po prostu nierealne.
„Wszyscy w Intercom są odpowiedzialni za uwzględnianie bezpieczeństwa w naszych codziennych decyzjach”
W Intercom oczekujemy wystąpienia incydentów, przygotowujemy się na nie, a kiedy się zmaterializują, korzystamy z możliwości testowania i optymalizacji naszych istniejących kontroli i procesów. Nasz zespół wie, że sami nie odniesiemy sukcesu; chociaż jesteśmy odpowiedzialni za prowadzenie solidnego programu bezpieczeństwa, edukujemy również, umożliwiamy i umożliwiamy ludziom w całej firmie ochronę zdolności Intercomu do szybkiego i bezpiecznego poruszania się . Każdy w Intercom jest odpowiedzialny za uwzględnianie bezpieczeństwa w naszych codziennych decyzjach.
Podobnie jak w przypadku większości witryn internetowych dostępnych w Internecie, w grudniu 2021 r. dotknął nas incydent z log4j , który udało nam się skutecznie opanować i złagodzić . Przeprowadziliśmy przegląd incydentów , wyciągnęliśmy ważne wnioski i skorzystaliśmy z okazji, aby udoskonalić nasz proces reagowania na incydenty związane z bezpieczeństwem oraz ulepszyć nasze wewnętrzne mechanizmy kontroli bezpieczeństwa związane z łańcuchem dostaw.
Pokonywanie niedoborów umiejętności InfoSec poprzez pielęgnowanie talentu Intercom
Bycie częścią organizacji badawczo-rozwojowej Intercomu ma również inne zalety. Wszyscy słyszeliśmy o braku umiejętności w branży InfoSec. Branża technologiczna nieustannie poszukuje swojego starszego programisty jednorożca 10x, a InfoSec nie jest inny.
„Kluczowe znaczenie ma ochrona Intercomu jako całości, zrozumienie produktu, jego podstawowej infrastruktury oraz sposobu, w jaki nasi klienci go używają lub nadużywają”
Zespół InfoSec firmy Intercom, chociaż zawsze poszukuje wybitnych, wyspecjalizowanych talentów, przyjął alternatywne podejście polegające na wczesnym inwestowaniu w transfery wewnętrzne. Aby chronić Intercom jako całość, kluczowe jest zrozumienie produktu, jego podstawowej infrastruktury oraz sposobu, w jaki nasi klienci go używają lub nadużywają. W rezultacie zespół przyjął podejście polegające na wewnętrznej selekcji i wdrażaniu produktów, systemów i inżynierów IT, a także TPM-ów bezpieczeństwa i zgodności z rozległą wiedzą na temat Interkomu, którą mogą nauczyć się stosować do jego bezpieczeństwa.
Z pomocą doświadczonych liderów i menedżerów InfoSec, wewnętrzne transfery Intercomu wykorzystują ich wiedzę i nastawienie na rozwój, aby poruszać się po często zniechęcającej krzywej uczenia się InfoSec. W rezultacie nowi członkowie zespołu szybko wywierają wpływ poprzez zapylanie krzyżowe i silne relacje, jakie utrzymują z dawnymi zespołami.
Zmieniający się krajobraz bezpieczeństwa
W miarę jak budujemy przyszłość komunikacji z klientami, powiększamy zespół Intercomu i zatrudniamy coraz większych klientów, tolerancja ryzyka i krajobraz zagrożeń Intercomu wciąż ewoluują. W ostatnich miesiącach nasililiśmy nasze wysiłki, aby wdrożyć infrastrukturę zaufania urządzeń, aby jeszcze bardziej zabezpieczyć dostęp Intercomradów do kluczowych systemów, oraz zbudowaliśmy elementy bezpieczeństwa i prywatności w produkcie, aby zapewnić solidny cykl życia danych klientów.
Przed nami jeszcze wiele wyzwań. Ponieważ Intercom marzy o wielkich rzeczach i zapewnia klientom większą wartość, zespół InfoSec będzie dążyć do dalszego wspierania i ochrony zaufania klientów do tego, jak Intercom przechowuje, przetwarza i zarządza ich danymi.