Intercom'da Güvenlik: InfoSec ekibimiz müşterilerimizin verilerini ve güvenini nasıl koruyor?

​​Intercom'da, müşterilerimiz ve onların müşterileri için mümkün olan en güvenli, en güvenli deneyimi nasıl sunacağımızı derinlemesine düşünüyoruz.

Bir SaaS işletmesi olarak Intercom bir veri işlemcisidir: müşterilerimiz, onlar adına depoladığımız ve işlediğimiz verilerini bize emanet eder. En başından beri, müşteri verilerini Intercom'un en kritik varlıklarından biri olarak gördük ve ürün ve altyapımız için güçlü iç güvenlik temelleri oluşturarak çabalarımızı bunları korumaya odakladık.

Ölçeklendikçe, daha karmaşık ihtiyaçları ve özellikleri olan daha büyük orta ölçekli ve kurumsal müşterilerle çalışıyoruz. Müşterilerimizin ürünümüze olan güvenini ve sevgisini korumak için en yüksek güvenlik standartlarını karşılamaya kararlıyız. Bunu şu şekilde yapıyoruz:

1. Sektör güvenliği ve gizlilik ISO standartları veya SOC 2 gibi çerçevelerle uyumluluk yoluyla güveninize yatırım yapmak
2. Hızlı ve güvenli kargo
3. Sürekli risk yönetimi
4. Bilgi Güvenliği ekibimizde inanılmaz yetenekleri işe almak ve yetiştirmek

Müşterilerimizin güvenini korumaya önemli ölçüde yatırım yapmak

Intercom Bilgi Güvenliği (InfoSec) ekibinin misyonu, müşteri güvenini geliştirmek ve korumaktır - ve Intercom'un çevikliğini nasıl koruduğumuz ve aynı zamanda en yüksek dereceli güvenlik risklerini tanıyıp hafiflettiğimiz hakkında çok düşünüyoruz.

Ekibin görevi şunları kapsar: güvenlik ve kötüye kullanım; Yönetim, Risk ve Uyum; ve o. Her alan ayrı bir çalışma programı ile tanımlanır ve bir veya daha fazla özel ekip tarafından desteklenir. Bu ekipler arasındaki örtüşme ve sinerji, yalın kalırken sorunları geniş ölçekte verimli bir şekilde çözmek için otomasyonu kullanabileceğimiz anlamına gelir.

“Müşterilerimizin Intercom'a olan güvenini geliştirmek ve korumak için, SOC2 Tip II ve HIPAA onay raporlarımız ve ISO27001 sertifikamızla kanıtlanan, ikna edici güvenlik güvencesine büyük yatırım yaptık”

SOC2 Tip II ve HIPAA tasdik raporlarımız ve ISO27001 sertifikamızla kanıtlandığı üzere, müşterilerimizin bir ürün olarak ve aynı zamanda bir şirket olarak Intercom'a olan güvenini geliştirmek ve korumak için zorlayıcı güvenlik güvencesine büyük yatırım yaptık.

Hızlı ve güvenli bir şekilde nakliye

Intercom'un başarısı, sağlam, verimli ve güvenli iş süreçlerinin uygulanması yoluyla hızlı hareket edebilmesine bağlıdır. InfoSec ekip üyelerimiz, dengeli güvenlik riski yönetimi kararları almak için becerilerimizden yararlanarak kapılar yerine korkuluklar uygular.

“İnşa etmemiz gereken korkulukları anlamak, Intercom genelinde anlamlı değişiklikleri yakından takip etmek ve yeni girişimlerin zirvesinde olduğumuzdan emin olmak anlamına geliyor”

İnşa etmemiz gereken korkulukları anlamak, Intercom genelinde anlamlı değişiklikleri yakından takip etmek ve yeni girişimlerin zirvesinde olduğumuzdan emin olmak anlamına gelir. Çoğu SaaS şirketinde Ar-Ge, en fazla yenilik yapan ve bu nedenle potansiyel olarak riskli değişimi en yüksek düzeyde sunan kuruluştur.

İnterkom bir istisna değildir. “ Nakliye bizim kalp atışımızdır ” en başından beri Intercom Ar-Ge kuruluşunun sloganı olmuştur ve mühendisler kodu müşteriye yönelik üretim uygulamamıza günde onlarca kez göndermektedir. Burası ürünlerin doğduğu, geliştirildiği ve şirketin internete ve özellikle web güvenliği tehditlerine maruz kalma durumunu değiştirdiği yerdir.

“Ar-Ge organizasyonuna dahil olmak, Intercom'un InfoSec ekibinin şirket genelinde görünürlük ve etkiyi korurken bu riske daha yakın olduğu anlamına geliyor”

Bu hız seviyesi, hem müşterilerimiz hem de mühendislerimiz için bir zevktir, ancak riskli değişiklikler potansiyelini de beraberinde getirir. Bu nedenle Intercom'un InfoSec ekibini Ar-Ge organizasyonuna yerleştirdik ve doğrudan CTO'ya rapor vermesinin nedeni, şirket genelinde görünürlüğü ve etkiyi korurken bu riske daha yakın olduğumuz anlamına geliyor.

Kendimiz mühendisler ve Teknik Program Yöneticileri (TPM'ler) olarak ekibimiz, mühendislerin hızlı hareket etme yeteneğini koruyan süreçler ve güvenlik kontrolleri tasarlayarak her türlü riski daha verimli bir şekilde azaltabilir - ürüne ve kültüre içeriden etkili bir şekilde güvenlik sağlayabiliriz.

Sürekli bir risk yönetimi süreciyle güvenlik programımızı geliştirmek

Intercom'un güvenlik mühendisliği programı, Ar-Ge'nin en kritik iş faaliyetlerinden birini güvence altına almasına yardımcı olmak için tasarlanmıştır: güvenli ürünleri hızlı, erken ve sıklıkla nakletmek . Olay yönetimine ve tehdit algılamaya, Rails monolitimizin güvenli varsayılanları üzerine inşa ederek güvenlik açığı sınıflarının ortadan kaldırılmasına ve rol tabanlı güvenlik eğitimine odaklanan iki ekip tarafından desteklenir .

“Intercom'un güvenliğe yaklaşımı temelde risk tabanlıdır ve gelişmek için sürekli iç güvenlik risk yönetimi sürecimize büyük ölçüde bağlıdır”

Bazı güvenlik programları yol haritalarını yönlendirmek için öncelikle uyumluluk çerçevelerine güvenirken, Intercom'un güvenliğe yaklaşımı temelde risk tabanlıdır ve gelişmek için sürekli dahili güvenlik risk yönetimi sürecimize büyük ölçüde güvenir.

Saldırı yüzeyi izleme, iki yılda bir kalem testleri ve en önemlisi Intercom'un halka açık hata ödül programı gibi harici risk değerlendirme faaliyetleri, güvenlik kontrollerimizin etkinliğinin sürekli ve bağımsız olarak doğrulanmasını sağlar. Tüm bu kontroller ve faaliyetler, Satış ekibimizin anlaşmalarını bilgilendirmek için müşteriye yönelik güvenlik güvencesi oluşturmak ve sunmak için uyumluluk programımızın güçlü temellerini sağlar.

Tüm bunlar bize güven verirken, şirket değerlerimizde de belirtildiği gibi alçakgönüllü kalıyoruz . İnsanlar, süreçler ve araçların her biri bir dereceye kadar karmaşıklık getirir - her zaman %100 güvenliği garanti etmek ve bu nedenle sıfır güvenlik olayı gerçekçi değildir.

"Intercom'daki herkes, güvenliği günlük kararlarımıza dahil etmekten sorumludur"

Intercom'da olayların meydana gelmesini, bunlara hazırlanmalarını ve gerçekleştiğinde mevcut kontrollerimizi ve süreçlerimizi test etme ve optimize etme fırsatını benimsemesini bekliyoruz. Ekibimiz kendi başımıza başarılı olamayacağımızı biliyor; Sağlam bir güvenlik programı yürütmekten sorumlu olmamızın yanı sıra, Intercom'un hızlı ve güvenli hareket etme yeteneğini korumak için şirket genelindeki insanları eğitiyor, etkinleştiriyor ve güçlendiriyoruz . Intercom'daki herkes, güvenliği günlük kararlarımıza dahil etmekten sorumludur.

İnternete yönelik çoğu web mülkü gibi, Aralık 2021'de etkili bir şekilde içermeyi ve azaltmayı başardığımız log4j olayından etkilendik . Bir olay incelemesi yürüttük, önemli dersler çıkardık ve güvenlik olayı yanıt sürecimizi iyileştirme ve dahili tedarik zinciriyle ilgili güvenlik kontrollerimizi iyileştirme fırsatını yakaladık.

Intercom yeteneği yetiştirerek InfoSec beceri eksikliğinin üstesinden gelmek

Intercom'un Ar-Ge organizasyonunun bir parçası olmanın başka avantajları da var. Hepimiz InfoSec endüstrisindeki beceri eksikliğini duyduk. Teknoloji endüstrisi sürekli olarak tek boynuzlu at kıdemli 10x geliştiricisini arıyor ve InfoSec de farklı değil.

“Intercom'u bir bütün olarak korumak, ürünü, altında yatan altyapıyı ve müşterilerimizin onu nasıl kullandığını veya kötüye kullandığını anlamak çok önemlidir”

Intercom'un InfoSec ekibi, her zaman büyük bir uzman yetenek arayışındayken, dahili transferlere erken yatırım yapmak gibi alternatif bir yaklaşım benimsemiştir. Intercom'u bir bütün olarak korumak için ürünü, altında yatan altyapıyı ve müşterilerimizin onu nasıl kullandığını veya kötüye kullandığını anlamak çok önemlidir. Sonuç olarak ekip, güvenliğine uygulamayı öğrenebilecekleri kapsamlı Intercom bilgisine sahip güvenlik ve uyumluluk TPM'lerinin yanı sıra ürün, sistem ve BT mühendislerini dahili olarak seçme ve yerleştirme yaklaşımını benimsemiştir.

Deneyimli InfoSec liderlerinin ve yöneticilerinin yardımıyla, Intercom'un dahili transferleri, genellikle göz korkutucu InfoSec öğrenme eğrisinde gezinmek için uzmanlıklarından ve büyüme zihniyetlerinden yararlanır. Sonuç olarak, yeni ekip üyeleri, çapraz tozlaşma ve eski ekipleriyle sürdürdüğü güçlü ilişkiler yoluyla hızla etki yaratır.

Gelişen güvenlik ortamı

Müşteri iletişiminin geleceğini inşa ederken, Intercom ekibini büyüttükçe ve giderek daha büyük müşteriler edindikçe, Intercom'un risk toleransı ve tehdit ortamı gelişmeye devam ediyor. Son aylarda, Intercomrades'ın temel sistemlere erişimini daha da güvenli hale getirmek için bir cihaz güveni altyapısını kullanıma sunma çabalarımızı hızlandırdık ve sağlam bir müşteri veri yaşam döngüsü sağlamak için ürün içinde güvenlik ve gizlilik yapı taşları oluşturduk.

Önünde daha birçok zorluk olacak. Intercom büyük hayaller kurarken ve müşterilere daha fazla değer sunarken, InfoSec ekibi müşterilerin Intercom'un verilerini nasıl depoladığı, işlediği ve yönettiği konusundaki güvenini güçlendirmeye ve korumaya devam edecek.

sorular? Daha fazla ayrıntı için Satış ekibimizin bir üyesine ulaşın veya Intercom web sitesindeki güvenlik sayfamıza göz atın .