• 主頁
  • 文章
  • 營銷學
  • 對講機的安全性:我們的信息安全團隊如何保護客戶的數據和信任

對講機的安全性:我們的信息安全團隊如何保護客戶的數據和信任

已發表: 2022-05-06

​​​在 Intercom,我們深入思考如何為我們的客戶及其客戶提供最安全、最可靠的體驗。

作為 SaaS 企業,Intercom 是數據處理器:我們的客戶將他們的數據委託給我們,我們代表他們存儲和處理這些數據。 從一開始,我們就將客戶數據視為 Intercom 最重要​​的資產之一,並通過為我們的產品和基礎設施建立強大的內部安全基礎來集中精力保護它。

隨著我們的擴展,我們正在與具有更複雜需求和規格的大型中型市場和企業客戶合作。 我們致力於滿足最高安全標準,以保護客戶對我們產品的信任和喜愛。 我們通過以下方式做到這一點:

  1. 通過遵守行業安全和隱私 ISO 標准或框架(例如SOC 2 )來投資您的信任
  2. 快速安全地運送
  3. 持續風險管理
  4. 在我們的信息安全團隊中招聘和培養令人難以置信的人才

大力投資以維護客戶的信任

Intercom 信息安全 (InfoSec) 團隊的使命是培養和維護客戶信任——我們對如何保持 Intercom 的敏捷性,同時識別和減輕最高級別的安全風險進行了很多思考。

該團隊的職權範圍包括:安全和濫用; 治理風險和合規性; 和它。 每個領域都由一個單獨的工作計劃定義,並由一個或多個特定團隊提供支持。 這些團隊之間的重疊和協同作用意味著我們可以使用自動化來有效地解決大規模的問題,同時保持精益。

“我們在令人信服的安全保障方面進行了大量投資,以培養和維護客戶對 Intercom 的信任,我們的SOC2 Type IIHIPAA認證報告以及 ISO27001 認證證明了這一點”

我們在令人信服的安全保障方面進行了大量投資,以培養和維護客戶對 Intercom 作為產品以及作為公司的信任,我們的SOC2 Type II和 HIPAA 認證報告以及ISO27001認證證明了這一點

快速安全地運送

對講機的成功取決於能夠通過實施穩健、高效和安全的業務流程快速行動。 我們的信息安全團隊成員通過利用我們的技能做出平衡的安全風險管理決策來實施護欄而不是大門。

“了解我們需要建立的護欄意味著密切跟踪對講機的有意義的變化,並確保我們處於新舉措的頂端”

了解我們需要建立的護欄意味著密切跟踪對講機的有意義的變化,並確保我們掌握新的舉措。 在大多數 SaaS 公司中,研發是創新最多的組織,因此引入了最高級別的潛在風險變革。

對講機也不例外。 運輸是我們的心跳”從一開始就是對講機研發組織的座右銘,工程師每天向我們面向客戶的生產應用程序發送代碼數十次。 這是產品誕生的地方、產品開發的地方,以及它們改變公司對互聯網的暴露程度,尤其是對網絡安全威脅的影響。

“嵌入研發組織意味著 Intercom 的 InfoSec 團隊更接近這種風險,同時保持公司範圍內的可見性和影響力”

這種速度水平讓我們的客戶和工程師都很高興,但也帶來了潛在的風險變化。 這就是我們將 Intercom 的 InfoSec 團隊嵌入研發組織的原因,以及它直接向 CTO 報告的原因,這意味著我們更接近這種風險,同時保持公司範圍內的可見性和影響。

作為工程師和技術項目經理 (TPM),我們的團隊可以通過設計流程和安全控制來更有效地降低任何風險,以保持工程師快速行動的能力——我們能夠有效地將安全性從內部構建到產品和文化中。

通過持續的風險管理流程發展我們的安全計劃

Intercom 的安全工程計劃旨在幫助研發部門保護他們最關鍵的業務活動之一:快速、及早、經常地運送安全產品 它得到了兩個團隊的支持,他們專注於事件管理和威脅檢測、通過構建Rails單體的安全默認值來消除各類漏洞,以及基於角色的安全教育。

“Intercom 的安全方法基本上是基於風險的,並且在很大程度上依賴於我們持續的內部安全風險管理流程來發展”

雖然一些安全計劃主要依賴合規框架來指導他們的路線圖,但 Intercom 的安全方法基本上是基於風險的,並且在很大程度上依賴於我們持續的內部安全風險管理流程來發展。

外部風險評估活動,例如攻擊面監控、兩年一次的滲透測試,以及最重要的Intercom 的公共漏洞賞金計劃,確保我們的安全控制的有效性得到持續和獨立的驗證。 所有此類控制和活動為我們的合規計劃提供了堅實的基礎,以建立和提供面向客戶的安全保證,從而為我們的銷售團隊的交易提供信息。

儘管所有這一切都讓我們充滿信心,但我們仍然保持謙虛,正如我們的公司價值觀所述 人員、流程和工具都引入了一定程度的複雜性——始終保證 100% 的安全性,因此零安全事件是不現實的。

“對講機的每個人都有責任將安全因素納入我們的日常決策”

在 Intercom,我們希望事件會發生,做好準備,當它們發生時,抓住機會測試和優化我們現有的控制和流程。 我們的團隊知道靠自己是無法成功的; 雖然我們負責推動強大的安全計劃,但我們還教育、支持和授權整個公司的人員,以保護 Intercom快速、安全地移動的能力 Intercom 的每個人都有責任將安全因素納入我們的日常決策。

與大多數面向 Internet 的 Web 資產一樣,我們在 2021 年 12 月受到了log4j 事件的打擊,我們設法有效地控制和緩解了該事件 我們進行了事件審查,吸取了重要的教訓,並藉此機會完善了我們的安全事件響應流程並改進了我們內部供應鏈相關的安全控制。

通過培養對講人才克服信息安全技能短缺

作為對講機研發機構的一部分,還有其他優勢。 我們都聽說過信息安全行業技能短缺。 科技行業一直在尋找其獨角獸高級 10 倍開發人員,InfoSec 也不例外。

“要從整體上保護對講機,了解產品、其底層基礎設施以及我們的客戶如何使用或濫用它是關鍵”

Intercom 的 InfoSec 團隊雖然一直在尋找優秀的專業人才,但很早就採取了另一種投資內部轉移的方法。 為了保護整個對講機,了解產品、其底層基礎設施以及我們的客戶如何使用或濫用它是關鍵。 因此,該團隊採取了內部選擇和入職產品、系統和 IT 工程師以及安全性和合規性 TPM 的方法,這些 TPM 具有廣泛的對講知識,他們可以學習將其應用於其安全性。

在經驗豐富的信息安全領導者和經理的幫助下,Intercom 的內部調動利用他們的專業知識和成長心態來駕馭通常令人生畏的信息安全學習曲線。 因此,新團隊成員通過異花授粉以及他們與前團隊保持的牢固關係迅速產生影響。

不斷發展的安全格局

隨著我們構建客戶通信的未來、壯大對講團隊並吸引越來越大的客戶,對講的風險承受能力和威脅格局不斷發展。 最近幾個月,我們加緊努力推出設備信任基礎設施,以進一步保護 Intercomrades 對關鍵系統的訪問,並在產品中構建安全和隱私構建塊,以實現強大的客戶數據生命週期。

未來還會有更多的挑戰。 隨著 Intercom 的遠大夢想並為客戶提供更多價值,InfoSec 團隊將努力繼續培養和維護客戶對 Intercom 如何存儲、處理和管理其數據的信任。

問題? 聯繫我們的銷售團隊成員了解更多詳情,或查看對講網站上的安全頁面