Desafío
Con una presencia mundial que abarca 120 países y un historial de crecimiento a través de fusiones y adquisiciones, el entorno en la nube de Aon se volvió increíblemente complejo y difícil de proteger.
La organización carecía de una visión única y en tiempo real de sus múltiples operaciones en la nube y dependía de un conjunto de 10 herramientas para identificar y remediar el riesgo en la nube.
Las actividades críticas, como la corrección de riesgos, los informes de cumplimiento y la integración de fusiones y adquisiciones, implicaban procesos manuales largos, caros y propensos a errores.
La solución
Aon ahora disfruta de una visión granular única y en tiempo real de sus activos en la nube en todo el mundo, así como de sus capacidades y vulnerabilidades.
Los activos globales en la nube de la empresa se analizan automáticamente, lo que genera recomendaciones de corrección de riesgos. En muchos casos, los desarrolladores pueden solucionar los riesgos por sí mismos.
También se pueden generar automáticamente informes de cumplimiento, mientras que Aon evalúa la postura de seguridad de las empresas implicadas en fusiones y adquisiciones, antes y después de la firma de un acuerdo.
Búsqueda de soluciones para un entorno de nube altamente distribuido
Aon es una empresa global de servicios profesionales, con operaciones en más de 120 países, que emplea a unas 50.000 personas en todo el mundo. Con sede en Londres, su negocio principal incluye soluciones de gestión de riesgos, corretaje de seguros, corretaje de reaseguros y consultoría de capital humano.
Aon aprovecha los datos y análisis patentados para reducir la volatilidad e impulsar los mejores resultados posibles para sus clientes. Su enfoque general de la tecnología y la seguridad garantiza que cuenta con las mejores herramientas y habilidades en todas las plataformas en la nube para permitir el desarrollo, el crecimiento y la gestión segura del riesgo.
Los mayores desafíos a los que se enfrentó Aon antes de su asociación con Wiz estaban relacionados con la compleja estructura organizativa de la empresa. Durante muchos años, Aon ha crecido a través de fusiones y adquisiciones (M&A). El resultado es una empresa muy distribuida que se apoya en un intrincado panorama de nube (que abarca AWS, Azure y Google Cloud).
Teníamos oficinas y equipos de desarrollo en más de 100 países, cada uno con sus propios requisitos regionales, requisitos de clientes, tecnologías e incluso diferentes idiomas con los que lidiar.
Shivendra Singh, líder sénior de seguridad de la nube y las aplicaciones de Aon, afirma que su equipo necesitó no menos de 10 herramientas de seguridad para gestionar esta complejidad de la nube. Eso significaba un equipo grande, un conjunto de habilidades sólidas que mantener, muchas conversaciones internas y una considerable coordinación de las partes interesadas solo para facilitar las operaciones diarias.
Los procesos manuales socavan significativamente la corrección de riesgos
En estas circunstancias, la corrección de riesgos en la nube también era increíblemente difícil, lenta y costosa. El equipo de Singh tuvo que extraer manualmente los hallazgos de su conjunto de herramientas, ejecutar múltiples flujos de corrección, normalizar manualmente los datos, averiguar el contexto en torno a cada vulnerabilidad individual, identificar falsos positivos y armar una imagen clara de cada riesgo.
Para complicar aún más las cosas, los equipos de seguridad de Aon no podían escanear manualmente sus entornos en la nube. En su lugar, tenían que confiar en DevOps para que les notificara cada vez que se publicaba un nuevo código. Este método de identificación y corrección de riesgos podría tardar días en completarse.
"Los procesos eran específicos y el equipo a menudo pasaba por alto cosas desde el punto de vista del descubrimiento de activos, como configuraciones erróneas", explica Michelle Pieszko, vicepresidenta de Operaciones de Ciberseguridad de Aon.
Cuando se trataba de satisfacer los requisitos de cumplimiento en la nube de Aon, los equipos de seguridad tenían que mapear manualmente las cuentas en la nube de la empresa y modificar la documentación proporcionada por el proveedor para crear informes de cumplimiento.
"Este proceso no involucraba datos en vivo", dice Pieszko, "por lo que nuestros ejercicios de cumplimiento generalmente estaban desactualizados casi tan pronto como se completaban".
La complejidad y los procesos manuales también estaban actuando como una restricción en el método principal de crecimiento de Aon: M&Una actividad. En algunos casos, se necesitaron años para integrar completamente las nuevas líneas de negocio.
Luchando por seguir el ritmo de una línea de desarrollo que se acelera rápidamente
Mientras tanto, la migración a la nube estaba acelerando el proceso de desarrollo de código de Aon, lo que dejaba a sus equipos de seguridad luchando por mantener el ritmo. Necesitaban desesperadamente adoptar una postura de seguridad proactiva, con medidas de seguridad automatizadas integradas en el proceso de desarrollo.
El statu quo no era sostenible y mucho menos escalable. La complejidad de la nube distribuida de Aon había aumentado drásticamente el riesgo de seguridad y cumplimiento, y la situación tenía que cambiar.
La empresa necesitaba una solución "milagrosa", capaz de proporcionar una visión única y en tiempo real de todo su patrimonio en la nube. La solución tenía que identificar y remediar las vulnerabilidades de la nube, automatizar los procesos manuales y gestionar componentes como la identidad y el acceso a los sistemas.
Para Pieszko, el momento eureka llegó en el momento en que vio a Wiz en acción.
Durante esa primera demostración de Wiz, recuerdo que llamé a mi equipo y dije: 'Si Wiz hace la mitad de las cosas que estoy viendo en este momento, ¡definitivamente lo necesitamos!' Era la primera herramienta que había visto capaz de darnos visibilidad de todos nuestros entornos en la nube.
Gracias a su configuración lista para usar, Wiz no solo proporcionó a los equipos de seguridad de Aon una visión granular inmediata de toda la empresa, sino que también acercó a DevOps y a la seguridad al proporcionar un lenguaje compartido en torno a las capacidades y vulnerabilidades de los activos individuales. Aon también descubrió que Wiz no tiene agentes, no requiere tiempo de inactividad de los sistemas y no tiene ningún impacto en el rendimiento operativo.
La rapidez de la plataforma para generar valor demostró ser decisiva para Aon, ya que permitió a sus equipos de seguridad ser proactivos con la corrección de riesgos, incorporando rápidamente una seguridad por diseño en su canal de producción de código DevOps.
Mayor colaboración gracias a una única visión de la verdad
"La capacidad clave que más me llamó la atención", dice Pieszko, "fue el hecho de que podíamos tener a nuestros equipos de seguridad y tecnología conectados en la misma consola y mirando el mismo conjunto de datos, lo que nos daba pruebas indiscutibles de que se había realizado una detección crítica".
Antes se producían muchos falsos positivos, por lo que el equipo de Pieszko tenía que llamar por teléfono a los propietarios de las aplicaciones para analizar el contexto de cada incidente.
"Wiz esencialmente elimina esas negociaciones y acelera la corrección", dice. "El Gráfico de Seguridad de Wiz genera automáticamente información clave, como la ruta de ataque y el valor de los activos. Por lo tanto, independientemente del contexto, ahora podemos centrarnos en el problema y tomar decisiones críticas de corrección basadas en los datos en tiempo real proporcionados por Wiz".
Este enfoque automatizado significa que los equipos de tecnología de Aon ahora pueden corregir los riesgos por sí mismos en muchos escenarios. Pueden ver el riesgo, comprender por qué es crítico y luego corregirlo por sí mismos, gracias a una serie de pasos recomendados que genera la plataforma. Los equipos técnicos ni siquiera necesitan iniciar sesión en Wiz, ya que pueden ver los problemas a través de sistemas de tickets como Jira y ServiceNow. Con este nuevo proceso de corrección, Aon redujo el tiempo de remediación del riesgo en sus entornos de días a horas.
Joe Martinez, CSO de Aon, dice que la capacidad de Wiz para escalar y su excepcional tiempo de creación de valor lo diferencian de la competencia.
"Wiz nos dio visibilidad rápidamente, lo que nos ayudó a comprender el panorama de la nube. Fue una verdadera revelación, ya que nos dio una idea de cuánta carga de trabajo, cuánta actividad, cuántas API se están utilizando realmente en nuestros entornos de nube", afirma.
A diferencia de muchas otras soluciones, Wiz es capaz de escalar a nivel empresarial. La mayoría de las otras soluciones de seguridad tardan meses o incluso un año en obtener el valor total de su inversión. Sin embargo, gracias a Wiz, hemos podido lograrlo en cuestión de semanas, lo cual es casi inaudito en nuestra industria.
Pieszko señala que Wiz demostró ser la primera línea de defensa de Aon cuando se identificaron vulnerabilidades globales de OpenSSL a finales de 2022. Para su satisfacción, la plataforma identificó rápidamente cada instancia de vulnerabilidad de OpenSSL en todo el patrimonio de la nube de Aon y recomendó instantáneamente medidas correctivas.
Automatización de tareas manuales y liberación de equipos de seguridad y cumplimiento
La recopilación manual de documentos de cumplimiento de proveedores también es cosa del pasado. Con más de 100 marcos de cumplimiento integrados, Wiz escanea automáticamente el entorno en la nube de Aon, al mapear las mejores prácticas y los marcos regulatorios en las numerosas cuentas en la nube de la empresa, revelando brechas en el cumplimiento y recomendando y automatizando la corrección del riesgo regulatorio.
"Hemos eliminado y automatizado gran parte de ese trabajo de cumplimiento, gracias a Wiz", dice Pieszko. "Así que ahora solo iniciamos sesión en la consola y recibimos los datos de evaluación y mapeo de control automáticamente. Solo se deja la parte de corrección del ciclo para que el equipo se encargue de ella. Lo que antes tardaba horas, ahora solo tarda minutos".
El despliegue rápido y sin problemas también ha transformado la participación del equipo de seguridad en la actividad de fusiones y adquisiciones. Aon ahora puede implementar Wiz en el entorno de nube de una posible adquisición antes de que se haya completado un acuerdo, generando datos inmediatos y confiables sobre la postura de seguridad de la adquisición y marcando cualquier acción correctiva que pueda ser necesaria.
"Ya no necesitamos compartir cuestionarios y hojas de cálculo con las partes interesadas", explica Martínez. "Wiz nos permite integrarnos muy rápidamente, lo que nos da una comprensión realmente transparente de la postura de riesgo de una posible adquisición".
Aon ha transformado rápidamente y sin problemas sus operaciones de gestión de riesgos en la nube utilizando Wiz, eliminando los procesos manuales y la complejidad y convirtiendo en norma una estructura proactiva diseñada en función de la seguridad.
"El salto de Aon a la nube no habría sido ni de lejos tan exitoso si no hubiéramos contado con Wiz", concluye Martínez.
¿Quieres saber cómo tu programa de seguridad en la nube puede lograr los mismos resultados que Aon? Echa un vistazo de cerca a las soluciones de seguridad en la nube para servicios financieros de Wiz.
