• 主页
  • 文章
  • 营销学
  • 对讲机的安全性:我们的信息安全团队如何保护客户的数据和信任

对讲机的安全性:我们的信息安全团队如何保护客户的数据和信任

已发表: 2022-05-06

​​​在 Intercom,我们深入思考如何为我们的客户及其客户提供最安全、最可靠的体验。

作为 SaaS 企业,Intercom 是数据处理器:我们的客户将他们的数据委托给我们,我们代表他们存储和处理这些数据。 从一开始,我们就将客户数据视为 Intercom 最重要​​的资产之一,并通过为我们的产品和基础设施建立强大的内部安全基础来集中精力保护它。

随着我们的扩展,我们正在与具有更复杂需求和规格的大型中型市场和企业客户合作。 我们致力于满足最高安全标准,以保护客户对我们产品的信任和喜爱。 我们通过以下方式做到这一点:

  1. 通过遵守行业安全和隐私 ISO 标准或框架(例如SOC 2 )来投资您的信任
  2. 快速安全地运送
  3. 持续风险管理
  4. 在我们的信息安全团队中招聘和培养令人难以置信的人才

大力投资以维护客户的信任

Intercom 信息安全 (InfoSec) 团队的使命是培养和维护客户信任——我们对如何保持 Intercom 的敏捷性,同时识别和减轻最高级别的安全风险进行了很多思考。

该团队的职权范围包括:安全和滥用; 治理风险和合规性; 和它。 每个领域都由一个单独的工作计划定义,并由一个或多个特定团队提供支持。 这些团队之间的重叠和协同作用意味着我们可以使用自动化来有效地解决大规模的问题,同时保持精益。

“我们在令人信服的安全保障方面投入了大量资金,以培养和维护客户对 Intercom 的信任,我们的SOC2 Type IIHIPAA认证报告以及 ISO27001 认证证明了这一点”

我们在令人信服的安全保障方面进行了大量投资,以培养和维护客户对 Intercom 作为产品以及作为公司的信任,我们的SOC2 Type II和 HIPAA 认证报告以及ISO27001认证证明了这一点

快速安全地运送

对讲机的成功取决于能够通过实施稳健、高效和安全的业务流程快速行动。 我们的信息安全团队成员通过利用我们的技能做出平衡的安全风险管理决策来实施护栏而不是大门。

“了解我们需要建立的护栏意味着密切跟踪对讲机的有意义的变化,并确保我们处于新举措的顶端”

了解我们需要建立的护栏意味着密切跟踪对讲机的有意义的变化,并确保我们掌握新的举措。 在大多数 SaaS 公司中,研发是创新最多的组织,因此引入了最高级别的潜在风险变革。

对讲机也不例外。 运输是我们的心跳”从一开始就是对讲机研发组织的座右铭,工程师每天向我们面向客户的生产应用程序发送代码数十次。 这是产品诞生的地方、产品开发的地方,以及它们改变公司对互联网的暴露程度,尤其是对网络安全威胁的影响。

“嵌入研发组织意味着 Intercom 的 InfoSec 团队更接近这种风险,同时保持公司范围内的可见性和影响力”

这种速度水平让我们的客户和工程师都很高兴,但也带来了潜在的风险变化。 这就是我们将 Intercom 的 InfoSec 团队嵌入研发组织的原因,以及它直接向 CTO 报告的原因,这意味着我们更接近这种风险,同时保持公司范围内的可见性和影响。

作为工程师和技术项目经理 (TPM),我们的团队可以通过设计流程和安全控制来更有效地降低任何风险,以保持工程师快速行动的能力——我们能够有效地将安全性从内部构建到产品和文化中。

通过持续的风险管理流程发展我们的安全计划

Intercom 的安全工程计划旨在帮助研发部门保护他们最关键的业务活动之一:快速、及早、经常地运送安全产品 它得到了两个团队的支持,他们专注于事件管理和威胁检测、通过构建Rails单体的安全默认值来消除各类漏洞,以及基于角色的安全教育。

“Intercom 的安全方法基本上是基于风险的,并且在很大程度上依赖于我们持续的内部安全风险管理流程来发展”

虽然一些安全计划主要依赖合规框架来指导他们的路线图,但 Intercom 的安全方法基本上是基于风险的,并且在很大程度上依赖于我们持续的内部安全风险管理流程来发展。

外部风险评估活动,例如攻击面监控、两年一次的渗透测试,以及最重要的Intercom 的公共漏洞赏金计划,确保我们的安全控制的有效性得到持续和独立的验证。 所有此类控制和活动为我们的合规计划提供了坚实的基础,以建立和提供面向客户的安全保证,从而为我们的销售团队的交易提供信息。

尽管所有这一切都让我们充满信心,但我们仍然保持谦虚,正如我们的公司价值观所述 人员、流程和工具都引入了一定程度的复杂性——始终保证 100% 的安全性,因此零安全事件是不现实的。

“对讲机的每个人都有责任将安全因素纳入我们的日常决策”

在 Intercom,我们希望事件会发生,做好准备,当它们发生时,抓住机会测试和优化我们现有的控制和流程。 我们的团队知道靠自己是无法成功的; 虽然我们负责推动强大的安全计划,但我们还教育、支持和授权整个公司的人员,以保护 Intercom快速、安全地移动的能力 Intercom 的每个人都有责任将安全因素纳入我们的日常决策。

与大多数面向 Internet 的 Web 资产一样,我们在 2021 年 12 月受到了log4j 事件的打击,我们设法有效地控制和缓解了该事件 我们进行了事件审查,吸取了重要的教训,并借此机会完善了我们的安全事件响应流程并改进了我们内部供应链相关的安全控制。

通过培养对讲人才克服信息安全技能短缺

作为对讲机研发机构的一部分,还有其他优势。 我们都听说过信息安全行业技能短缺。 科技行业一直在寻找其独角兽高级 10 倍开发人员,InfoSec 也不例外。

“要从整体上保护对讲机,了解产品、其底层基础设施以及我们的客户如何使用或滥用它是关键”

Intercom 的 InfoSec 团队虽然一直在寻找优秀的专业人才,但很早就采取了另一种投资内部转移的方法。 为了保护整个对讲机,了解产品、其底层基础设施以及我们的客户如何使用或滥用它是关键。 因此,该团队采取了内部选择和入职产品、系统和 IT 工程师以及安全性和合规性 TPM 的方法,这些 TPM 具有广泛的对讲知识,他们可以学习将其应用于其安全性。

在经验丰富的信息安全领导者和经理的帮助下,Intercom 的内部调动利用他们的专业知识和成长心态来驾驭通常令人生畏的信息安全学习曲线。 因此,新团队成员通过异花授粉以及他们与前团队保持的牢固关系迅速产生影响。

不断发展的安全格局

随着我们构建客户通信的未来、壮大对讲团队并吸引越来越大的客户,对讲的风险承受能力和威胁格局不断发展。 最近几个月,我们加紧努力推出设备信任基础设施,以进一步保护 Intercomrades 对关键系统的访问,并在产品中构建安全和隐私构建块,以实现强大的客户数据生命周期。

未来还会有更多的挑战。 随着 Intercom 的远大梦想并为客户提供更多价值,InfoSec 团队将努力继续培养和维护客户对 Intercom 如何存储、处理和管理其数据的信任。

问题? 联系我们的销售团队成员了解更多详情,或查看对讲网站上的安全页面