Desafío
Durante la transición de Artisan a la nube, la empresa tenía 15 desarrolladores pero ningún equipo de seguridad dedicado para gestionar su postura de seguridad en la nube.
Debido a que los datos de atención de la salud deben protegerse de manera rigurosa, Artisan debía proteger los datos de pacientes y financieros con una postura de seguridad de tolerancia cero.
El equipo de desarrollo de Artisan quería implementar rápidamente nuevos productos, pero la complicada plataforma de CSPM interfería.
La solución
Mediante la adopción de una solución sin agentes, Artisan evitó contratar a un equipo de seguridad dedicado y liberó el tiempo de sus desarrolladores, mientras mantuvo al mismo tiempo una fuerte postura de seguridad.
Artisan ha mejorado la gestión de cumplimiento para SOC y HIPAA con Wiz para asegurarse de que cumple con las necesidades regulatorias y asegurar que los datos de los pacientes estén protegidos.
Con Wiz, el equipo de desarrollo recibe alertas de vulnerabilidad consolidadas y dirigidas que le permiten abordar los problemas directamente e implementar más rápido nuevas características de forma segura.
Protección de la invaluable información del paciente construyendo al mismo tiempo un proceso de desarrollo seguro
Artisan se asocia con centros médicos de la industria de la fertilidad para simplificar la atención al paciente. La solución Artisan EMR almacena datos sensibles de pacientes como el historial médico, las pruebas de laboratorio y los planes de tratamiento. Cuando Artisan comenzó, era el único sistema de registro médico electrónico de infertilidad basado en la nube, y eso fue un poderoso incentivo para atraer nuevos negocios. "Nos hemos convertido en un centro por estar basados en la nube, y hemos podido trabajar con otros proveedores que quieren llegar a nuestros clientes”, expresa Alex Steinleitner, Presidente y CEO de Artisan.
Si bien la nube ayudó a alimentar el crecimiento de Artisan, también introdujo nuevos desafíos. “A medida que pasamos a la nube, las cosas se repartieron más entre los proveedores, y empezamos a usar más software y herramientas digitales para comunicarnos”, comparte Steinleitner. “Aprendimos lo que significa ampliar la superficie de ataque, y que hay muchos villanos que van a intentar atacar nuestros sistemas a toda costa”.
Artisan sabía que no solo necesitaban proteger sus datos internos. Los pacientes deben poder confiar en que su información personal y financiera estará protegida y accesible las 24 horas, los 7 días de la semana. "Si el sistema se caía por alguna razón, nosotros tendríamos miles de pacientes cuyo tratamiento podría verse interrumpido”, dice Steinleitner. “Dependen del acceso diario a la información que nos confían. En algunos casos, se trata de personas que están sometiéndose a tratamientos costosos y que les cambian la vida. Tener tiempo de inactividad debido a una violación de la seguridad sería catastrófico”.
Para proteger tanto los datos sensibles de los pacientes como sus propios sistemas, Artisan adoptó una solución de CSPM, pero utilizarla efectivamente era imposible. El equipo se vio abrumado por las alertas del sistema, y para evitar la contratación de profesionales de seguridad dedicados, estaban perdiendo valioso tiempo de desarrollo lidiando con las notificaciones. Artisan reemplazó la plataforma con Wiz para simplificar su gestión de seguridad y poder continuar centrándose en mejorar la experiencia del cliente.
Soy médico, cuido personas y me formé en medicina preventiva. Wiz es como la medicina preventiva para nosotros.
Diseño de una empresa centrada en la seguridad sin un equipo de seguridad dedicado
El equipo de Artisan de 15 desarrolladores también es responsable de gestionar la posición de seguridad de la empresa. Una de sus funciones más importantes es diseñar y desplegar rápidamente nuevas características para sus clientes, pero sin un equipo de seguridad dedicado para su soporte, tienen que tomar medidas adicionales para mantener un entorno seguro. En otras palabras, necesitaban una plataforma de CSPM que fuera eficiente y fácil de usar.
En última instancia, Artisan eligió a Wiz porque proporcionó menos alertas y más accionables, además de una visibilidad total de la infraestructura de la organización. En lugar de recibir hasta 500 alertas por cada vulnerabilidad real, Wiz permite a Artisan ver todo su entorno en la nube y entender exactamente cuáles son sus vulnerabilidades.
La evaluación automática de riesgos también da al equipo de Artisan la capacidad de priorizar los riesgos más críticos. "El panel de control de Wiz nos muestra las amenazas críticas ordenadas por alto, medio y bajo peligro de una manera que es muy fácil de entender", afirma Matthew Mazzariello, Gerente de Desarrollo de Artisan.
Wiz también informa sobre cualquier problema relacionado con los nuevos paquetes antes de que se envíen a producción y da al equipo sugerencias de buenas prácticas e ideas sobre cómo pueden implementarse con mayor seguridad. La detección automática también significa que el equipo de Artisan ya no tiene que revisar manualmente los nuevos paquetes y puede centrarse en innovar para apoyar a sus clientes.
Con nuestra antigua plataforma, estábamos recibiendo miles de alertas por cada problema que debíamos resolver. Wiz nos permite entender las vulnerabilidades de forma mucho más eficiente. Ahora podemos concentrar nuestros esfuerzos en los problemas en lugar de limitarnos a identificarlos.
Automatización de la gestión de cumplimiento para generar la confianza de los pacientes
La protección de los datos de los clientes es una prioridad para cualquier organización, pero en la atención de la salud, el cumplimiento no es negociable. Para Artisan, el cumplimiento también va mucho más allá de la protección del negocio; se trata de proteger la privacidad de sus clientes. Cuando apareció Log4shell, Artisan se vio inundado con llamadas de clientes para preguntar si estaba preparado. “Si hubiéramos tenido una violación, directamente tendríamos que haber cerrado la empresa”, dice Steinleitner. “Pudimos ejecutar un escaneo de Wiz, ver de hecho que todo nuestro sistema estaba bien, estábamos seguros y protegidos, y pudimos informar eso a nuestros clientes”.
En su plataforma de CSPM anterior, mantener el cumplimiento regulatorio con SOC y los estándares HIPAA fue un proceso activo y manual. Con Wiz, Artisan ha podido automatizar las evaluaciones de cumplimiento para monitorear continuamente su acatamiento con respecto a los marcos de cumplimiento de la industria. Ahora, durante las reuniones semanales del equipo de desarrollo, el equipo puede usar su panel de seguridad para destacar cualquier problema crítico que pueda necesitar ser abordado con la gerencia superior.
Cuando operas una solución basada en la nube con datos sensibles, la seguridad es primordial: es tu deber proteger los datos de tu cliente. Si no tienes capas de medidas de seguridad implementadas, no vas a estar mucho tiempo en el negocio. Tenemos que estar un paso adelante y trabajar con Wiz nos ha ayudado a lograrlo.
Las mejoras en cuanto a seguridad y cumplimiento también ha ayudado a Artisan a expandir el negocio. Un fondo internacional que compraba la compañía hizo muchas preguntas sobre la estructura de software de Artisan durante el proceso de diligencia debida. “La seguridad era claramente un tema importante”, comentó Steinleitner. “Pero pudimos simplemente imprimir informes de las partes relevantes de Wiz y demostrar que no teníamos grandes vulnerabilidades pendientes. Los consultores pudieron ver nuestro perfil de Wiz y observar nuestro impecable cumplimiento, y no tuvieron inquietudes en cuanto a la seguridad”.
Adopción de un enfoque intencionalmente seguro en toda la empresa
Como empresa con una misión impulsada por la tecnología, Artisan se apresuró a adoptar la nube y desarrollar nuevas capacidades y a exponer las API para que los proveedores pudieran prestar mejores servicios a sus pacientes. Esto también ha llevado a la empresa a adoptar rápidamente y priorizar la seguridad en la nube a medida que crece. Cada vez es más importante para Artisan hacer de la seguridad una parte central de cualquier conversación de desarrollo y crecimiento empresarial.
Cuando nuestros desarrolladores comienzan a construir algo, realmente necesitamos que empiecen a pensar en la seguridad de inmediato. Debido a que se puede acceder a estas soluciones en la nube desde cualquier lugar, realmente tenemos que ser conscientes de eso cuando estamos desarrollando.
Con Wiz, Artisan encontró una solución para un equipo de seguridad no dedicado. Wiz está ayudando a que el equipo entienda sus vulnerabilidades y se centre en simplificar el manejo de la fertilidad para los centros de atención médica y los pacientes de todas partes. “Como CEO, puedo decir esto: Wiz me ayuda a dormir por la noche”, comparte Steinleitner.
