Segurança na Intercom: Como nossa equipe InfoSec protege os dados e a confiança de nossos clientes
Publicados: 2022-05-06Na Intercom, pensamos profundamente em como oferecer a experiência mais segura possível para nossos clientes e seus clientes.
Como um negócio SaaS, a Intercom é um processador de dados: nossos clientes nos confiam seus dados, que armazenamos e processamos em seu nome. Desde o início, consideramos os dados do cliente como um dos ativos mais críticos da Intercom e concentramos nossos esforços em protegê-los, construindo fortes bases de segurança interna para nosso produto e infraestrutura.
À medida que crescemos, trabalhamos com clientes de médio porte e grandes empresas com necessidades e especificações mais complexas. Temos o compromisso de atender aos mais altos padrões de segurança para proteger a confiança e o amor de nossos clientes por nosso produto. Fazemos isso por:
- Investindo em sua confiança por meio da conformidade com padrões ou estruturas ISO de segurança e privacidade do setor, como SOC 2
- Envio com rapidez e segurança
- Gerenciamento de risco contínuo
- Contratando e cultivando talentos incríveis em nossa equipe de Segurança da Informação
Investir significativamente na salvaguarda da confiança dos nossos clientes
A missão da equipe Intercom Information Security (InfoSec) é promover e salvaguardar a confiança do cliente – e pensamos muito em como preservamos a agilidade da Intercom, ao mesmo tempo em que reconhecemos e mitigamos os riscos de segurança mais bem avaliados.
O mandato da equipe abrange: segurança e abuso; risco de governança e conformidade; e isso. Cada área é definida por um programa de trabalho separado e é apoiada por uma ou mais equipes específicas. A sobreposição e as sinergias entre essas equipes significam que podemos usar a automação para resolver problemas com eficiência em escala, mantendo-nos enxutos.
“Investimos massivamente na garantia de segurança convincente para promover e proteger a confiança de nossos clientes na Intercom, evidenciada por nossos relatórios de certificação SOC2 Tipo II e HIPAA e pela certificação ISO27001”
Investimos maciçamente na garantia de segurança convincente para promover e proteger a confiança de nossos clientes na Intercom como um produto, mas também como uma empresa, evidenciado por nossos relatórios de certificação SOC2 Tipo II e HIPAA e certificação ISO27001 .
Envio rápido – e seguro
O sucesso da Intercom depende de ser capaz de avançar rapidamente através da implementação de processos de negócios robustos, eficientes e seguros. Os membros da nossa equipe InfoSec implementam proteções em vez de portões, aproveitando nossas habilidades para tomar decisões equilibradas de gerenciamento de riscos de segurança.
“Entender as barreiras que precisamos construir significa acompanhar de perto as mudanças significativas na Intercom e garantir que estamos no topo das novas iniciativas”
Entender as proteções que precisamos construir significa acompanhar de perto as mudanças significativas na Intercom e garantir que estamos no topo das novas iniciativas. Na maioria das empresas de SaaS, P&D é a organização que mais inova e, portanto, apresenta o mais alto nível de mudança potencialmente arriscada.
O intercomunicador não é exceção. “ Enviar é o nosso coração ” tem sido o lema da Intercom R&D org desde o início e os engenheiros enviam o código para nosso aplicativo de produção voltado para o cliente dezenas de vezes por dia. É aqui que os produtos nascem, onde se desenvolvem e onde modificam a exposição da empresa à Internet e às ameaças de segurança da Web em particular.
“Estar integrado à organização de P&D significa que a equipe de InfoSec da Intercom está mais próxima desse risco, mantendo ampla visibilidade e impacto da empresa”
Esse nível de velocidade é um prazer para nossos clientes e engenheiros, mas apresenta o potencial de mudanças arriscadas. É por isso que incorporamos a equipe de InfoSec da Intercom na organização de P&D e ela se reporta diretamente ao CTO, o que significa que estamos mais próximos desse risco, ao mesmo tempo em que mantemos visibilidade e impacto em toda a empresa.
Como engenheiros e gerentes de programa técnico (TPMs), nossa equipe pode mitigar qualquer risco com mais eficiência projetando processos e controles de segurança que preservam a capacidade dos engenheiros de se mover rapidamente – somos efetivamente capazes de criar segurança no produto e na cultura de dentro.
Evoluindo nosso programa de segurança por meio de um processo contínuo de gerenciamento de risco
O programa de engenharia de segurança da Intercom foi desenvolvido para ajudar a P&D a proteger uma de suas atividades comerciais mais críticas: enviar produtos seguros com rapidez, antecedência e frequência . Ele é apoiado por duas equipes que se concentram no gerenciamento de incidentes e na detecção de ameaças, na erradicação de classes de vulnerabilidades com base nos padrões seguros do nosso monolito Rails e na educação de segurança baseada em funções.
“A abordagem de segurança da Intercom é fundamentalmente baseada em risco e depende muito de nosso processo de gerenciamento de risco de segurança interno contínuo para evoluir”
Embora alguns programas de segurança dependam principalmente de estruturas de conformidade para orientar seus roteiros, a abordagem de segurança da Intercom é fundamentalmente baseada em riscos e depende muito de nosso processo interno contínuo de gerenciamento de riscos de segurança para evoluir.
Atividades externas de avaliação de risco, como monitoramento de superfície de ataque, pen-tests semestrais e, mais importante, o programa de recompensas de bugs públicos da Intercom , garantem que a eficácia de nossos controles de segurança seja verificada de forma contínua e independente. Todos esses controles e atividades fornecem bases sólidas para que nosso programa de conformidade se baseie e forneça garantia de segurança voltada para o cliente para informar os negócios de nossa equipe de vendas.
Embora tudo isso nos deixe confiantes, permanecemos humildes, conforme declarado nos valores de nossa empresa . Pessoas, processos e ferramentas apresentam um grau de complexidade – garantir 100% de segurança o tempo todo e, portanto, zero incidentes de segurança, é simplesmente irreal.
“Todos na Intercom são responsáveis por incluir a segurança em nossas decisões do dia-a-dia”
Na Intercom, esperamos que os incidentes ocorram, nos preparamos para eles e, quando eles se materializarem, aproveitamos a oportunidade de testar e otimizar nossos controles e processos existentes. Nossa equipe sabe que não podemos ter sucesso sozinhos; embora sejamos responsáveis por conduzir um programa de segurança robusto, também educamos, capacitamos e capacitamos as pessoas em toda a empresa para proteger a capacidade da Intercom de se mover com rapidez e segurança . Todos na Intercom são responsáveis por levar a segurança em consideração em nossas decisões diárias.
Como a maioria das propriedades da Web voltadas para a Internet, fomos atingidos pelo incidente log4j em dezembro de 2021, que conseguimos conter e mitigar com eficiência . Fizemos uma análise de incidentes , extraímos lições importantes e aproveitamos a oportunidade para refinar nosso processo de resposta a incidentes de segurança e melhorar nossos controles de segurança relacionados à cadeia de suprimentos interna.
Superando a escassez de habilidades da InfoSec cultivando o talento da Intercom
Fazer parte da organização de P&D da Intercom também tem outras vantagens. Todos nós já ouvimos sobre a escassez de habilidades da indústria da InfoSec. A indústria de tecnologia está constantemente procurando por seu desenvolvedor 10x sênior unicórnio e a InfoSec não é diferente.
“Para proteger a Intercom como um todo, é fundamental entender o produto, sua infraestrutura subjacente e como nossos clientes o usam ou usam mal”
A equipe de InfoSec da Intercom, sempre à procura de grandes talentos especializados, adotou a abordagem alternativa de investir em transferências internas, antecipadamente. Para proteger a Intercom como um todo, é fundamental entender o produto, sua infraestrutura subjacente e como nossos clientes o usam ou fazem uso indevido. Como resultado, a equipe adotou a abordagem de selecionar e integrar internamente produtos, sistemas e engenheiros de TI, bem como TPMs de segurança e conformidade com amplo conhecimento de Intercom que eles podem aprender a aplicar à sua segurança.
Com a ajuda de líderes e gerentes experientes da InfoSec, as transferências internas da Intercom alavancam sua experiência e mentalidade de crescimento para navegar na curva de aprendizado muitas vezes assustadora da InfoSec. Como resultado, os novos membros da equipe geram impacto rapidamente por meio da polinização cruzada e dos fortes relacionamentos que mantêm com suas antigas equipes.
Cenário de segurança em evolução
À medida que construímos o futuro das comunicações com o cliente, aumentamos a equipe da Intercom e integramos clientes cada vez maiores, a tolerância ao risco e o cenário de ameaças da Intercom continuam a evoluir. Nos últimos meses, aumentamos nossos esforços para implantar uma infraestrutura de confiança de dispositivo para proteger ainda mais o acesso da Intercomrades aos principais sistemas e construímos blocos de segurança e privacidade no produto para permitir um ciclo de vida robusto dos dados do cliente.
Haverá muitos outros desafios pela frente. À medida que a Intercom sonha alto e oferece mais valor aos clientes, a equipe da InfoSec se esforçará para continuar promovendo e protegendo a confiança dos clientes em como a Intercom armazena, processa e gerencia seus dados.