Securitate la Intercom: Cum echipa noastră InfoSec protejează datele și încrederea clienților noștri
Publicat: 2022-05-06La Intercom, ne gândim profund la cum să oferim cea mai sigură și mai sigură experiență posibilă pentru clienții noștri și clienții lor.
Ca afacere SaaS, Intercom este un procesator de date: clienții noștri ne încredințează datele lor, pe care le stocăm și le procesăm în numele lor. De la început, am considerat că datele clienților sunt unul dintre cele mai critice active ale Intercom și ne-am concentrat eforturile pe protejarea lor prin construirea unor baze solide de securitate internă pentru produsul și infrastructura noastră.
Pe măsură ce ne extindem, lucrăm cu clienți medii și întreprinderi mai mari, cu nevoi și specificații mai complexe. Ne angajăm să îndeplinim cele mai înalte standarde de securitate pentru a proteja încrederea și dragostea clienților noștri pentru produsul nostru. Facem asta prin:
- Investiți în încrederea dvs. prin conformitatea cu standardele sau cadrele ISO de securitate și confidențialitate din industrie, cum ar fi SOC 2
- Livrare rapid și în siguranță
- Managementul continuu al riscului
- Angajarea și cultivarea talentelor incredibile în echipa noastră de securitate a informațiilor
Investind semnificativ în protejarea încrederii clienților noștri
Misiunea echipei Intercom Information Security (InfoSec) este de a promova și de a proteja încrederea clienților – și ne gândim mult la modul în care păstrăm agilitatea Intercom, recunoscând și atenuând, de asemenea, riscurile de securitate cu cele mai înalte cote.
Misiunea echipei acoperă: securitate și abuz; riscul de guvernanță și conformitatea; si el. Fiecare zonă este definită de un program de lucru separat și este susținută de una sau mai multe echipe specifice. Suprapunerea și sinergiile dintre aceste echipe înseamnă că putem folosi automatizarea pentru a rezolva eficient problemele la scară, rămânând în același timp slabi.
„Am investit masiv în asigurări de securitate convingătoare pentru a promova și a proteja încrederea clienților noștri în Intercom, evidențiată de rapoartele noastre de atestare SOC2 Tip II și HIPAA și de certificarea ISO27001”
Am investit masiv în asigurări de securitate convingătoare pentru a promova și a proteja încrederea clienților noștri în Intercom ca produs, dar și ca companie, evidențiată de rapoartele noastre de atestare SOC2 Tip II și HIPAA și certificarea ISO27001 .
Livrare rapidă – și în siguranță
Succesul Intercomului depinde de capacitatea de a trece rapid prin implementarea unor procese de afaceri robuste, eficiente și sigure. Membrii echipei noastre InfoSec implementează balustrade, mai degrabă decât porți, valorificând abilitățile noastre pentru a lua decizii echilibrate de gestionare a riscurilor de securitate.
„Înțelegerea balustradelor pe care trebuie să le construim înseamnă să urmărim îndeaproape schimbările semnificative în Intercom și să ne asigurăm că suntem la curent cu noile inițiative”
Înțelegerea balustradelor pe care trebuie să le construim înseamnă să urmărim îndeaproape schimbările semnificative în Intercom și să ne asigurăm că suntem la curent cu noile inițiative. În majoritatea companiilor SaaS, cercetarea și dezvoltarea este organizația care inovează cel mai mult și, prin urmare, introduce cel mai înalt nivel de schimbare potențial riscantă.
Interfonul nu face excepție. „ Expedierea este bătăile noastre inimii ” a fost motto-ul organizației Intercom R&D de la bun început, iar inginerii trimit codul către aplicația noastră de producție orientată către clienți de zeci de ori pe zi. Aici se nasc produsele, unde se dezvoltă și unde modifică expunerea companiei la internet și în special la amenințările de securitate web.
„A fi încorporat în organizația de cercetare și dezvoltare înseamnă că echipa InfoSec a Intercom este mai aproape de acest risc, păstrând în același timp vizibilitatea și impactul la nivel de companie”
Acest nivel de viteză este o încântare atât pentru clienții noștri, cât și pentru ingineri, dar introduce potențialul de schimbări riscante. De aceea am încorporat echipa InfoSec a Intercom în cadrul organizației de cercetare și dezvoltare și de ce raportează direct CTO, ceea ce înseamnă că suntem mai aproape de acest risc, păstrând în același timp vizibilitatea și impactul la nivel de companie.
În calitate de ingineri și manageri de programe tehnice (TPM), echipa noastră poate atenua mai eficient orice risc prin proiectarea proceselor și controalelor de securitate care păstrează capacitatea inginerilor de a se mișca rapid – suntem capabili efectiv să construim securitate în produs și în cultură din interior.
Evoluția programului nostru de securitate printr-un proces continuu de management al riscului
Programul de inginerie de securitate al Intercom este conceput pentru a ajuta cercetarea și dezvoltarea în asigurarea uneia dintre cele mai critice activități de afaceri: livrarea produselor sigure rapid, devreme și des . Este susținut de două echipe care se concentrează pe managementul incidentelor și pe detectarea amenințărilor, pe eradicarea claselor de vulnerabilități prin construirea pe valorile implicite sigure ale monolitului nostru Rails și pe educație în materie de securitate bazată pe roluri.
„Abordarea Intercom față de securitate se bazează în mod fundamental pe riscuri și se bazează în mare măsură pe procesul nostru continuu de gestionare a riscurilor de securitate internă pentru a evolua”
În timp ce unele programe de securitate se bazează în primul rând pe cadrele de conformitate pentru a-și ghida foile de parcurs, abordarea Intercom față de securitate se bazează în principal pe riscuri și se bazează în mare măsură pe procesul nostru continuu de gestionare a riscurilor de securitate internă pentru a evolua.
Activitățile externe de evaluare a riscurilor, cum ar fi monitorizarea suprafeței de atac, testele bianuale și, cel mai important, programul public de recompensă pentru erori Intercom , asigură că eficacitatea controalelor noastre de securitate este verificată în mod continuu și independent. Toate aceste controale și activități oferă baze solide pentru programul nostru de conformitate, care să se bazeze pe și să ofere o asigurare de securitate orientată către clienți pentru a informa ofertele echipei noastre de vânzări.
Deși toate acestea ne fac încrezători, rămânem umili, așa cum se precizează în valorile companiei noastre . Oamenii, procesele și instrumentele introduc fiecare un grad de complexitate – garantarea securității 100% tot timpul și, prin urmare, zero incidente de securitate, este pur și simplu nerealist.
„Toți cei de la Intercom sunt responsabili pentru luarea în considerare a securității în deciziile noastre de zi cu zi”
La Intercom, ne așteptăm să apară incidente, ne pregătim pentru ele și, atunci când se materializează, profităm de oportunitatea de a testa și optimiza controalele și procesele noastre existente. Echipa noastră știe că nu putem reuși singuri; în timp ce suntem responsabili pentru gestionarea unui program robust de securitate, educăm, activăm și dăm puterea oamenilor din cadrul companiei pentru a proteja capacitatea Intercom de a se mișca rapid și în siguranță . Toți cei de la Intercom sunt responsabili pentru luarea în considerare a securității în deciziile noastre de zi cu zi.
La fel ca majoritatea proprietăților web care se confruntă cu internet, am fost loviți de incidentul log4j din decembrie 2021, pe care am reușit să -l limităm și să-l atenuăm eficient . Am efectuat o analiză a incidentelor , am tras lecții importante și am profitat de oportunitatea pentru a ne perfecționa procesul de răspuns la incidente de securitate și pentru a îmbunătăți controalele de securitate legate de lanțul de aprovizionare intern.
Depășirea deficitului de competențe InfoSec prin cultivarea talentului Intercom
A face parte din organizația de cercetare și dezvoltare a Intercom are și alte avantaje. Cu toții am auzit despre lipsa de competențe în industria InfoSec. Industria tehnologică caută în mod constant dezvoltatorul său senior unicorn 10x, iar InfoSec nu este diferit.
„Pentru a proteja interfonul în ansamblu, înțelegerea produsului, a infrastructurii sale de bază și a modului în care clienții noștri îl folosesc sau îl folosesc greșit este esențial.”
Echipa InfoSec de la Intercom, deși mereu în căutarea unor mari talente specializate, a adoptat devreme abordarea alternativă de a investi în transferuri interne. Pentru a proteja Intercomul în ansamblu, înțelegerea produsului, a infrastructurii sale de bază și a modului în care clienții noștri îl folosesc sau îl folosesc greșit este esențială. Drept urmare, echipa a adoptat abordarea de a selecta și de a integra în interior produsele, sistemele și inginerii IT, precum și TPM-uri de securitate și conformitate cu cunoștințe extinse despre Intercom pe care le pot învăța să le aplice securității sale.
Cu ajutorul liderilor și managerilor InfoSec cu experiență, transferurile interne ale Intercom își valorifică expertiza și mentalitățile de creștere pentru a naviga prin curba de învățare InfoSec adesea descurajantă. Ca rezultat, noii membri ai echipei au impact rapid prin polenizare încrucișată și relațiile puternice pe care le întrețin cu fostele lor echipe.
Peisaj de securitate în evoluție
Pe măsură ce construim viitorul comunicării cu clienții, creștem echipa Intercom și integrăm clienți din ce în ce mai mari, toleranța la risc și peisajul amenințărilor Intercom continuă să evolueze. În ultimele luni, ne-am intensificat eforturile de a implementa o infrastructură de încredere pentru dispozitive pentru a securiza în continuare accesul Intercomrades la sistemele cheie și am construit blocuri de securitate și confidențialitate în cadrul produsului pentru a permite un ciclu de viață robust al datelor clienților.
Vor fi multe alte provocări în față. Pe măsură ce Intercom visează mare și oferă mai multă valoare clienților, echipa InfoSec se va strădui să continue să promoveze și să protejeze încrederea clienților în modul în care Intercom stochează, procesează și gestionează datele acestora.