Безопасность в Intercom: как наша команда InfoSec защищает данные и доверие наших клиентов
Опубликовано: 2022-05-06В Intercom мы глубоко думаем о том, как обеспечить максимально безопасный и безопасный опыт для наших клиентов и их клиентов.
Как бизнес SaaS, Intercom является обработчиком данных: наши клиенты доверяют нам свои данные, которые мы храним и обрабатываем от их имени. С самого начала мы считали данные клиентов одним из наиболее важных активов Intercom и сосредоточили наши усилия на их защите, создав прочную основу внутренней безопасности для нашего продукта и инфраструктуры.
По мере масштабирования мы работаем с более крупными клиентами среднего и крупного бизнеса с более сложными потребностями и спецификациями. Мы стремимся соответствовать самым высоким стандартам безопасности, чтобы защитить доверие и любовь наших клиентов к нашему продукту. Мы делаем это:
- Инвестирование в ваше доверие за счет соблюдения отраслевых стандартов безопасности и конфиденциальности ISO или рамок, таких как SOC 2
- Доставка быстро и надежно
- Непрерывное управление рисками
- Найм и развитие невероятных талантов в нашей команде информационной безопасности
Значительные инвестиции в сохранение доверия наших клиентов
Миссия группы Intercom Information Security (InfoSec) состоит в том, чтобы укреплять и защищать доверие клиентов, и мы много думаем о том, как сохранить гибкость Intercom, а также распознать и смягчить самые высокие риски безопасности.
В компетенцию группы входят: безопасность и злоупотребления; управленческий риск и соответствие требованиям; и это. Каждая область определяется отдельной программой работы и поддерживается одной или несколькими конкретными командами. Совпадение и синергия между этими командами означает, что мы можем использовать автоматизацию для эффективного решения масштабных проблем, сохраняя при этом экономичность.
«Мы вложили огромные средства в убедительные гарантии безопасности, чтобы укрепить и сохранить доверие наших клиентов к Intercom, о чем свидетельствуют наши отчеты об аттестации SOC2 Type II и HIPAA , а также сертификация ISO27001» .
Мы вложили огромные средства в убедительные гарантии безопасности, чтобы укрепить и защитить доверие наших клиентов к Intercom как к продукту, а также как к компании, о чем свидетельствуют наши отчеты о сертификации SOC2 Type II и HIPAA, а также сертификация ISO27001 .
Доставка быстро и надежно
Успех Intercom зависит от способности быстро внедрять надежные, эффективные и безопасные бизнес-процессы. Члены нашей команды InfoSec внедряют ограждения, а не ворота, используя наши навыки для принятия взвешенных решений по управлению рисками безопасности.
«Понимание барьеров, которые нам необходимо построить, означает тщательное отслеживание значимых изменений в Intercom и уверенность в том, что мы в курсе новых инициатив».
Понимание барьеров, которые нам необходимо построить, означает внимательное отслеживание значимых изменений в Intercom и уверенность в том, что мы в курсе новых инициатив. В большинстве SaaS-компаний R&D — это организация, которая внедряет больше всего инноваций и, следовательно, вводит самый высокий уровень потенциально рискованных изменений.
Домофон не исключение. « Доставка — это наше сердцебиение » — таков был девиз отдела исследований и разработок Intercom с самого начала, и инженеры отправляют код в наше ориентированное на клиента производственное приложение десятки раз в день. Именно здесь продукты рождаются, развиваются и изменяют отношение компании к Интернету и, в частности, к угрозам веб-безопасности.
«Внедрение в отдел исследований и разработок означает, что команда Intercom InfoSec ближе к этому риску, сохраняя при этом широкую известность и влияние компании».
Такой уровень скорости доставляет удовольствие как нашим заказчикам, так и инженерам, но в то же время он чреват рискованными изменениями. Вот почему мы включили группу InfoSec Intercom в отдел исследований и разработок и почему она подчиняется непосредственно техническому директору, а это означает, что мы ближе к этому риску, сохраняя при этом видимость и влияние в масштабах всей компании.
Как инженеры и менеджеры технических программ (TPM), наша команда может более эффективно снижать любые риски, разрабатывая процессы и элементы управления безопасностью, которые сохраняют способность инженеров действовать быстро — мы эффективно встраиваем безопасность в продукт и культуру изнутри.
Развитие нашей программы безопасности посредством непрерывного процесса управления рисками
Программа инженерной безопасности Intercom разработана, чтобы помочь R&D в обеспечении безопасности одного из наиболее важных видов деятельности: быстрой, своевременной и частой поставке безопасных продуктов . Его поддерживают две команды, которые сосредоточены на управлении инцидентами и обнаружении угроз, устранении классов уязвимостей за счет безопасных значений по умолчанию нашего монолита Rails и обучении безопасности на основе ролей.
«Подход Intercom к безопасности основан на оценке рисков и в значительной степени зависит от нашего непрерывного внутреннего процесса управления рисками безопасности».
В то время как некоторые программы безопасности опираются в первую очередь на структуры соответствия для руководства своими дорожными картами, подход Intercom к безопасности в основном основан на рисках и в значительной степени зависит от нашего постоянного внутреннего процесса управления рисками безопасности для развития.
Мероприятия по внешней оценке рисков, такие как мониторинг поверхности атаки, двухгодичные пентесты и, что наиболее важно, общедоступная программа Intercom по поиску ошибок , обеспечивают непрерывную и независимую проверку эффективности наших средств контроля безопасности. Все такие элементы управления и действия обеспечивают прочную основу для нашей программы обеспечения соответствия требованиям, которая основывается и обеспечивает гарантию безопасности, ориентированную на клиента, для информирования о сделках нашего отдела продаж.
Хотя все это придает нам уверенности, мы остаемся скромными, как указано в ценностях нашей компании . Каждый из людей, процессов и инструментов представляет определенную степень сложности — гарантировать постоянную 100-процентную безопасность и, следовательно, отсутствие инцидентов безопасности просто нереально.
«Каждый в Intercom несет ответственность за учет безопасности в наших повседневных решениях»
В Intercom мы ожидаем возникновения инцидентов, готовимся к ним, а когда они материализуются, используем возможность протестировать и оптимизировать наши существующие средства контроля и процессы. Наша команда знает, что мы не можем добиться успеха в одиночку; в то время как мы отвечаем за внедрение надежной программы безопасности, мы также обучаем, помогаем и расширяем возможности людей в компании, чтобы защитить способность Intercom двигаться быстро и безопасно . Каждый в Intercom несет ответственность за обеспечение безопасности в наших повседневных решениях.
Как и большинство веб-ресурсов, подключенных к Интернету, мы пострадали от инцидента с log4j в декабре 2021 года, который нам удалось эффективно локализовать и смягчить . Мы провели обзор инцидента , извлекли важные уроки и воспользовались возможностью, чтобы усовершенствовать наш процесс реагирования на инциденты безопасности и улучшить наши внутренние средства контроля безопасности, связанные с цепочкой поставок.
Преодоление нехватки навыков информационной безопасности за счет развития талантов внутренней связи
Участие в научно-исследовательском отделе Intercom имеет и другие преимущества. Мы все слышали о нехватке специалистов в области информационной безопасности. Технологическая индустрия постоянно ищет своего старшего 10-кратного разработчика-единорога, и информационная безопасность не исключение.
«Чтобы защитить Intercom в целом, важно понимать продукт, его базовую инфраструктуру и то, как наши клиенты используют или неправильно используют его».
Команда InfoSec компании Intercom, всегда находившаяся в поиске высококвалифицированных специалистов, на раннем этапе выбрала альтернативный подход к инвестированию во внутренние переводы. Для защиты Intercom в целом ключевое значение имеет понимание продукта, его базовой инфраструктуры, а также того, как наши клиенты используют или используют его не по назначению. В результате команда приняла подход внутреннего выбора и адаптации продуктов, систем и ИТ-инженеров, а также TPM по безопасности и соответствию с обширными знаниями о Intercom, которые они могут научиться применять для его безопасности.
С помощью опытных руководителей и менеджеров в области информационной безопасности внутренние переводы Intercom используют их опыт и мышление для роста, чтобы пройти часто сложную кривую обучения в области информационной безопасности. В результате новые члены команды быстро оказывают влияние благодаря взаимному опылению и прочным отношениям, которые они поддерживают со своими бывшими командами.
Меняющийся ландшафт безопасности
По мере того, как мы строим будущее коммуникаций с клиентами, расширяем команду Intercom и привлекаем все более и более крупных клиентов, устойчивость Intercom к рискам и ландшафт угроз продолжают развиваться. В последние месяцы мы активизировали наши усилия по развертыванию инфраструктуры доверия устройств для дополнительной защиты доступа Intercomrades к ключевым системам, а также встроили компоненты безопасности и конфиденциальности в продукт, чтобы обеспечить надежный жизненный цикл данных клиентов.
Впереди будет еще много испытаний. Поскольку Intercom мечтает о большем и приносит больше пользы клиентам, команда InfoSec будет стремиться и дальше укреплять и защищать доверие клиентов к тому, как Intercom хранит, обрабатывает и управляет их данными.