• โฮมเพจ
  • บทความ
  • การตลาด
  • การรักษาความปลอดภัยที่อินเตอร์คอม: ทีม InfoSec ของเราปกป้องข้อมูลและความไว้วางใจของลูกค้าอย่างไร

การรักษาความปลอดภัยที่อินเตอร์คอม: ทีม InfoSec ของเราปกป้องข้อมูลและความไว้วางใจของลูกค้าอย่างไร

เผยแพร่แล้ว: 2022-05-06

​​ที่ Intercom เราคิดอย่างลึกซึ้งถึงวิธีการมอบประสบการณ์ที่ปลอดภัยที่สุดให้กับลูกค้าและลูกค้าของเรา

ในฐานะธุรกิจ SaaS อินเตอร์คอมคือผู้ประมวลผลข้อมูล: ลูกค้าของเรามอบความไว้วางใจให้เราดูแลข้อมูล ซึ่งเราจัดเก็บและประมวลผลในนามของพวกเขา ตั้งแต่เริ่มต้น เราได้ถือว่าข้อมูลลูกค้าเป็นหนึ่งในทรัพย์สินที่สำคัญที่สุดของ Intercom และมุ่งเน้นความพยายามของเราในการปกป้องข้อมูลโดยการสร้างพื้นฐานการรักษาความปลอดภัยภายในที่แข็งแกร่งสำหรับผลิตภัณฑ์และโครงสร้างพื้นฐานของเรา

ขณะที่เราขยายขนาด เรากำลังทำงานร่วมกับลูกค้าระดับกลางและระดับองค์กรที่มีความต้องการและข้อกำหนดที่ซับซ้อนมากขึ้น เรามุ่งมั่นที่จะปฏิบัติตามมาตรฐานความปลอดภัยสูงสุดเพื่อปกป้องความไว้วางใจและความรักของลูกค้าที่มีต่อผลิตภัณฑ์ของเรา เราทำโดย:

  1. ลงทุนในความไว้วางใจของคุณผ่านการปฏิบัติตามมาตรฐาน ISO หรือเฟรมเวิร์กด้านความปลอดภัยและความเป็นส่วนตัวของอุตสาหกรรม เช่น SOC 2
  2. จัดส่งรวดเร็วและปลอดภัย
  3. การบริหารความเสี่ยงอย่างต่อเนื่อง
  4. จ้างและฝึกฝนความสามารถที่น่าทึ่งในทีมรักษาความปลอดภัยข้อมูลของเรา

ลงทุนอย่างมีนัยสำคัญในการปกป้องความไว้วางใจของลูกค้า

ภารกิจของทีม Intercom Information Security (InfoSec) คือการ ส่งเสริมและปกป้องความไว้วางใจของลูกค้า – และเราคิดมากเกี่ยวกับวิธีที่เรารักษาความคล่องตัวของ Intercom ในขณะที่รับรู้และบรรเทาความเสี่ยงด้านความปลอดภัยที่มีคะแนนสูงสุด

การจ่ายเงินของทีมครอบคลุม: ความปลอดภัยและการละเมิด; ความเสี่ยงด้านธรรมาภิบาลและการปฏิบัติตาม; และมัน. แต่ละพื้นที่ถูกกำหนดโดยโปรแกรมการทำงานที่แยกจากกัน และได้รับการสนับสนุนจากทีมงานเฉพาะอย่างน้อยหนึ่งทีม การทับซ้อนกันและการทำงานร่วมกันระหว่างทีมเหล่านี้หมายความว่าเราสามารถใช้ระบบอัตโนมัติเพื่อแก้ปัญหาตามขนาดได้อย่างมีประสิทธิภาพในขณะที่เหลือน้อย

“เราได้ลงทุนมหาศาลในการประกันความปลอดภัยที่น่าดึงดูดเพื่อส่งเสริมและปกป้องความไว้วางใจของลูกค้าในอินเตอร์คอม ซึ่งเห็นได้จาก รายงานการรับรอง SOC2 Type II และ HIPAA และ การรับรอง ISO27001”

เราได้ลงทุนมหาศาลในการประกันความปลอดภัยที่ดึงดูดใจเพื่อส่งเสริมและปกป้องความไว้วางใจของลูกค้าในอินเตอร์คอมในฐานะผลิตภัณฑ์ แต่ยังรวมถึงในฐานะบริษัทด้วย ซึ่งเห็นได้จาก รายงานการรับรอง SOC2 Type II และ HIPAA และการรับรอง มาตรฐาน ISO27001 c

จัดส่งรวดเร็วและปลอดภัย

ความสำเร็จของอินเตอร์คอมขึ้นอยู่กับความสามารถในการดำเนินการอย่างรวดเร็วโดยใช้กระบวนการทางธุรกิจที่แข็งแกร่ง มีประสิทธิภาพ และปลอดภัย สมาชิกในทีม InfoSec ของเราใช้รั้วกั้นแทนการใช้ประตูโดยใช้ประโยชน์จากทักษะของเราในการตัดสินใจจัดการความเสี่ยงด้านความปลอดภัยที่สมดุล

“การทำความเข้าใจราวกั้นที่เราจำเป็นต้องสร้างหมายถึงการติดตามการเปลี่ยนแปลงที่มีความหมายในอินเตอร์คอมอย่างใกล้ชิด และทำให้แน่ใจว่าเราจะอยู่เหนือความคิดริเริ่มใหม่ๆ”

การทำความเข้าใจราวกั้นที่เราจำเป็นต้องสร้างหมายถึงการติดตามการเปลี่ยนแปลงที่มีความหมายในอินเตอร์คอมอย่างใกล้ชิด และทำให้แน่ใจว่าเราจะอยู่เหนือการริเริ่มใหม่ๆ ในบริษัท SaaS ส่วนใหญ่ R&D เป็นองค์กรที่สร้างสรรค์สิ่งใหม่ๆ มากที่สุด ดังนั้นจึงแนะนำการเปลี่ยนแปลงที่อาจมีความเสี่ยงในระดับสูงสุด

อินเตอร์คอมก็ไม่มีข้อยกเว้น Shipping is our heartbeat ” เป็นคำขวัญขององค์กร Intercom R&D ตั้งแต่เริ่มต้น และวิศวกรจะจัดส่งรหัสไปยังแอปการผลิตที่ต้องเผชิญกับลูกค้าของเราหลายสิบครั้งต่อวัน นี่คือจุดกำเนิดของผลิตภัณฑ์ ที่ที่พวกเขาพัฒนา และที่ที่พวกเขาปรับเปลี่ยนการเปิดเผยของบริษัทต่ออินเทอร์เน็ตและภัยคุกคามด้านความปลอดภัยของเว็บโดยเฉพาะ

“การฝังตัวอยู่ภายในองค์กร R&D หมายความว่าทีม InfoSec ของ Intercom เข้าใกล้ความเสี่ยงนี้มากขึ้น ในขณะที่ยังคงการมองเห็นและผลกระทบในวงกว้างของบริษัทไว้”

ความเร็วระดับนี้น่ายินดีสำหรับทั้งลูกค้าและวิศวกรของเรา แต่แนะนำโอกาสสำหรับการเปลี่ยนแปลงที่มีความเสี่ยง นั่นเป็นเหตุผลที่เราฝังทีม InfoSec ของ Intercom ไว้ในองค์กร R&D และเหตุใดจึงรายงานโดยตรงต่อ CTO ซึ่งหมายความว่าเราเข้าใกล้ความเสี่ยงนี้มากขึ้นในขณะที่ยังคงการมองเห็นและผลกระทบทั่วทั้งบริษัท

ในฐานะวิศวกรและผู้จัดการโปรแกรมด้านเทคนิค (TPM) ทีมงานของเราสามารถลดความเสี่ยงได้อย่างมีประสิทธิภาพมากขึ้นด้วยการออกแบบกระบวนการและการควบคุมความปลอดภัยที่รักษาความสามารถของวิศวกรในการเคลื่อนไหวอย่างรวดเร็ว – เราสามารถสร้างความปลอดภัยในผลิตภัณฑ์และวัฒนธรรมจากภายในได้อย่างมีประสิทธิภาพ

พัฒนาโปรแกรมความปลอดภัยของเราผ่านกระบวนการบริหารความเสี่ยงอย่างต่อเนื่อง

โปรแกรมวิศวกรรมความปลอดภัยของ Intercom ได้รับการออกแบบมาเพื่อช่วย R&D ในการรักษาความปลอดภัยให้กับกิจกรรมทางธุรกิจที่สำคัญที่สุดอย่างหนึ่งของพวกเขา นั่นคือ การ จัดส่งผลิตภัณฑ์ที่ปลอดภัยอย่างรวดเร็ว เร็ว และบ่อย ครั้ง ได้รับการสนับสนุนจากสองทีมที่มุ่งเน้นการจัดการเหตุการณ์และการตรวจจับภัยคุกคาม การกำจัดระดับของช่องโหว่โดยการสร้างค่าเริ่มต้นที่ปลอดภัยของ เสาหิน Rails ของเรา และการศึกษาด้านความปลอดภัยตามบทบาท

“แนวทางการรักษาความปลอดภัยของอินเตอร์คอมนั้นอิงตามความเสี่ยงโดยพื้นฐานและต้องอาศัยกระบวนการจัดการความเสี่ยงด้านความปลอดภัยภายในอย่างต่อเนื่องของเราอย่างมากเพื่อพัฒนา”

แม้ว่าโปรแกรมความปลอดภัยบางโปรแกรมจะใช้เฟรมเวิร์กการปฏิบัติตามข้อกำหนดเป็นหลักเพื่อเป็นแนวทางในแผนงาน แต่แนวทางของ Intercom ในการรักษาความปลอดภัยนั้นอิงตามความเสี่ยงโดยพื้นฐานและต้องอาศัยกระบวนการจัดการความเสี่ยงด้านความปลอดภัยภายในอย่างต่อเนื่องของเราในการพัฒนา

กิจกรรมการประเมินความเสี่ยงภายนอก เช่น การตรวจสอบพื้นผิวการโจมตี การทดสอบปากกาทุกๆ 2 ปี และที่สำคัญที่สุดคือ โปรแกรมให้รางวัลบั๊กสาธารณะของ Intercom ทำให้ มั่นใจได้ว่าประสิทธิภาพของการควบคุมความปลอดภัยของเรานั้นได้รับการตรวจสอบอย่างต่อเนื่องและเป็นอิสระ การควบคุมและกิจกรรมดังกล่าวทั้งหมดเป็นรากฐานที่แข็งแกร่งสำหรับโปรแกรมการปฏิบัติตามกฎระเบียบของเรา เพื่อสร้างและส่งมอบการรับประกันความปลอดภัยที่ลูกค้าเผชิญหน้าเพื่อแจ้งข้อตกลงของทีมขายของเรา

แม้ว่าทั้งหมดนี้ทำให้เรามั่นใจ แต่เรายังคงอ่อนน้อมถ่อมตนตามที่ระบุไว้ใน ค่านิยม ของ บริษัท บุคลากร กระบวนการ และเครื่องมือต่างก็มีระดับของความซับซ้อน ซึ่งรับประกันความปลอดภัย 100% ตลอดเวลา ดังนั้นจึงไม่มีเหตุการณ์ด้านความปลอดภัยเกิดขึ้นจริง

“ทุกคนที่ Intercom มีหน้าที่รับผิดชอบในการพิจารณาความปลอดภัยในการตัดสินใจของเราในแต่ละวัน”

ที่ Intercom เราคาดหวังว่าเหตุการณ์จะเกิดขึ้น เตรียมพร้อมสำหรับเหตุการณ์เหล่านั้น และเมื่อเหตุการณ์นั้นเกิดขึ้นจริง ให้ยอมรับโอกาสในการทดสอบและเพิ่มประสิทธิภาพการควบคุมและกระบวนการที่มีอยู่ของเรา ทีมงานของเราทราบดีว่าเราไม่สามารถประสบความสำเร็จได้ด้วยตัวเอง ในขณะที่เราต้องรับผิดชอบในการขับเคลื่อนโปรแกรมความปลอดภัยที่แข็งแกร่ง เรายังให้ความรู้ เปิดใช้งาน และให้อำนาจแก่ผู้คนทั่วทั้งบริษัทเพื่อปกป้องความสามารถของอินเตอร์คอมในการ เคลื่อนไหวอย่าง รวดเร็ว และปลอดภัย ทุกคนที่ Intercom มีหน้าที่รับผิดชอบในการรักษาความปลอดภัยในการตัดสินใจของเราในแต่ละวัน

เช่นเดียวกับคุณสมบัติเว็บที่เชื่อมต่อกับอินเทอร์เน็ตส่วนใหญ่ เราได้รับผลกระทบจาก เหตุการณ์ log4j ในเดือนธันวาคม 2021 ซึ่งเราจัดการเพื่อ ควบคุมและบรรเทา ได้ อย่างมีประสิทธิภาพ เราทำการ ตรวจสอบเหตุการณ์ ดึงบทเรียนที่สำคัญ และใช้โอกาสในการปรับแต่งกระบวนการตอบสนองต่อเหตุการณ์ด้านความปลอดภัยและปรับปรุงการควบคุมความปลอดภัยที่เกี่ยวข้องกับซัพพลายเชนภายใน

เอาชนะปัญหาการขาดแคลนทักษะของ InfoSec โดยการปลูกฝังความสามารถของอินเตอร์คอม

การเป็นส่วนหนึ่งขององค์กร R&D ของ Intercom ก็มีข้อดีอื่นๆ เช่นกัน เราเคยได้ยินเกี่ยวกับปัญหาการขาดแคลนทักษะในอุตสาหกรรม InfoSec อุตสาหกรรมเทคโนโลยีกำลังค้นหานักพัฒนาระดับอาวุโส 10x ของยูนิคอร์นอย่างต่อเนื่องและ InfoSec ก็ไม่ต่างกัน

“เพื่อปกป้องอินเตอร์คอมโดยรวม การทำความเข้าใจผลิตภัณฑ์ โครงสร้างพื้นฐาน และวิธีที่ลูกค้าของเราใช้หรือใช้งานในทางที่ผิดเป็นสิ่งสำคัญ”

ทีม InfoSec ของ Intercom มักมองหาผู้มีความสามารถเฉพาะทางอยู่เสมอ ได้ใช้แนวทางอื่นในการลงทุนในการโอนย้ายภายในตั้งแต่เนิ่นๆ เพื่อปกป้องอินเตอร์คอมโดยรวม การทำความเข้าใจผลิตภัณฑ์ โครงสร้างพื้นฐาน และวิธีที่ลูกค้าของเราใช้หรือใช้งานในทางที่ผิดเป็นสิ่งสำคัญ ด้วยเหตุนี้ ทีมงานจึงใช้แนวทางในการเลือกผลิตภัณฑ์ ระบบ และวิศวกรไอทีภายในองค์กร ตลอดจนความปลอดภัยและการปฏิบัติตามข้อกำหนด TPM โดยมีความรู้กว้างขวางเกี่ยวกับอินเตอร์คอม ซึ่งพวกเขาสามารถเรียนรู้ที่จะนำไปใช้กับการรักษาความปลอดภัยได้

ด้วยความช่วยเหลือจากผู้นำและผู้จัดการที่มีประสบการณ์ของ InfoSec การถ่ายโอนภายในของ Intercom ใช้ประโยชน์จากความเชี่ยวชาญและกรอบความคิดในการเติบโตเพื่อนำทางไปตามเส้นโค้งการเรียนรู้ของ InfoSec ที่น่ากลัวบ่อยครั้ง เป็นผลให้สมาชิกในทีมใหม่ผลักดันผลกระทบอย่างรวดเร็วผ่านการผสมเกสรข้ามและความสัมพันธ์ที่แน่นแฟ้นที่พวกเขารักษาไว้กับทีมเก่าของพวกเขา

การพัฒนาภูมิทัศน์การรักษาความปลอดภัย

ขณะที่เราสร้างอนาคตของการสื่อสารกับลูกค้า ขยายทีมอินเตอร์คอมและดูแลลูกค้าให้ใหญ่ขึ้นเรื่อยๆ การยอมรับความเสี่ยงและภูมิทัศน์ของภัยคุกคามของอินเตอร์คอมยังคงพัฒนาต่อไป ในช่วงไม่กี่เดือนที่ผ่านมา เราได้เพิ่มความพยายามของเราในการเปิดตัวโครงสร้างพื้นฐานที่เชื่อถือได้ของอุปกรณ์ เพื่อเพิ่มความปลอดภัยในการเข้าถึงระบบคีย์ของ Intercomrades และสร้างบล็อคการรักษาความปลอดภัยและความเป็นส่วนตัวภายในผลิตภัณฑ์เพื่อให้มีวงจรข้อมูลลูกค้าที่แข็งแกร่ง

จะมีความท้าทายอีกมากมายรออยู่ข้างหน้า ในขณะที่ Intercom ฝันถึงความยิ่งใหญ่และมอบคุณค่าที่มากขึ้นให้กับลูกค้า ทีมงาน InfoSec จะพยายามส่งเสริมและปกป้องความไว้วางใจของลูกค้าต่อไปว่า Intercom จัดเก็บ ประมวลผล และจัดการข้อมูลของพวกเขาอย่างไร

คำถาม? ติดต่อสมาชิกทีมขายของเราสำหรับรายละเอียดเพิ่มเติม หรือดูที่ หน้าความปลอดภัย ของเรา บนเว็บไซต์อินเตอร์คอม