Desafío
La plataforma de integración Digibee estaba creciendo rápidamente, duplicando clientes en solo seis meses. Pero en este período de crecimiento, Digibee adoptó herramientas de seguridad desconectadas que hicieron que lograr una visibilidad total fuera un desafío.
El equipo se esforzó por identificar y remediar todos los riesgos en el extenso entorno de nube de Digibee, que incluye miles de máquinas virtuales y clústeres de Kubernetes.
Mientras Digibee crecía, necesitaba mantener sus requisitos de certificación de cumplimiento, especialmente en torno a la seguridad de los datos de las tarjetas de pago PCI DSS y SOC Tipo 1 & 2 Validación de controles de ciberseguridad, para cumplir con las expectativas del cliente y del auditor.
La solución
Digibee unificó su enfoque de seguridad y consolidó la visibilidad multinube con Wiz para proteger su entorno en crecimiento, a pesar de tener un equipo reducido.
Digibee identifica rápida y fácilmente los riesgos utilizando la solución sin agentes de Wiz, incluso los clústeres y máquinas virtuales de Kubernetes individuales, para monitorear mejor todo su entorno en la nube.
Digibee produce automáticamente informes que cumplen con los requisitos de certificación de cumplimiento de los clientes y auditores, especialmente en torno a la seguridad de los datos de las tarjetas de pago y la validación de los controles de ciberseguridad.
Digibee de alto crecimiento ofrece un cambio de paradigma en la integración de sistemas
Digibee es un proveedor de plataforma de integración como servicio (iPaaS) de bajo código nacido en la nube. Diseñado para desarrolladores, amplía las integraciones, optimiza los recursos de los desarrolladores y ayuda a los líderes de TI a ofrecer productos y servicios potentes.
La firma, fundada en 2017 con sede en Weston, Florida, reduce drásticamente la complejidad de la integración de TI, lo que permite a las empresas transformar digitalmente sus sistemas heredados hasta diez veces más rápido que otras soluciones.
La necesidad de integraciones se desencadena en torno a 60% de los retrasos globales de TI. Digibee permite a sus clientes eliminar rápidamente estos retrasos, adoptar una arquitectura preparada para el futuro e integrarse e innovar a gran velocidad, todo ello sin necesidad de una sola línea de código o inversión en nuevos sistemas.
Digibee duplicó su cartera de clientes en solo seis meses y ahora es una herramienta de integración crítica para más de 250 clientes corporativos, incluidos Itaú, Johnson Brothers y Payless. La empresa tuvo que escalar rápidamente para satisfacer esta demanda, adoptar más servicios en la nube y contratar más empleados. Esta rápida expansión significaba que Digibee necesitaba llevar su seguridad en la nube al siguiente nivel.
Construyendo una empresa de iPaaS líder en el mercado en pleno vuelo
Durante cinco años de alto crecimiento, la seguridad en la nube de Digibee fue gestionada por múltiples partes interesadas. En ese tiempo, la empresa creó un entorno de nube grande y complejo para satisfacer las necesidades de integración de sus clientes. Esta expansión incluía tecnologías nativas de la nube, como clústeres de Kubernetes y máquinas virtuales, pero con un nivel cada vez mayor de complejidad de la nube, la empresa necesitaba un enfoque unificado de la seguridad.
Digibee utilizaba Google Security Center como su principal herramienta de seguridad, pero a medida que adoptaba un enfoque multinube para su infraestructura, los equipos carecían de una vista única de su entorno de nube completo. Esto significaba que era difícil identificar y mitigar todos los riesgos a los que se enfrentaba Digibee.
Estábamos creciendo rápidamente, pero no teníamos la visibilidad de nuestros sistemas de TI que necesitábamos. También teníamos clientes que nos pedían certificaciones de seguridad para demostrar que nuestros sistemas eran seguros, fiables y tenían los niveles adecuados de disponibilidad. Básicamente, estábamos construyendo el avión mientras estaba en vuelo.
A medida que la empresa crecía, cada vez más clientes, inversores y auditores solicitaban pruebas de que el entorno en la nube de Digibee cumplía con sus estándares de seguridad.
"Teníamos más de 1.000 máquinas virtuales bajo gestión, que es un entorno bastante grande, pero no teníamos la visibilidad que necesitábamos. Esto hizo que las comprobaciones de diligencia debida se convirtieran en un gran desafío", explica Tiago Bernardinelli, director de ingeniería en la nube & Operaciones globales en Digibee.
Para seguir creciendo, la empresa necesitaba proporcionar certificaciones de seguridad, como la seguridad de los datos de las tarjetas de pago PCI DSS y el SOC Tipo 1 & 2 Validación de controles de ciberseguridad, de forma rápida y sencilla. También necesitaba lograr esto sin una función de seguridad en la nube dedicada, por lo que la empresa comenzó a buscar un socio externo en el que pudiera confiar en su viaje de seguridad.
Digibee acelera su viaje hacia la seguridad en la nube
Digibee quería una visibilidad completa de sus entornos en la nube proporcionada por una plataforma de seguridad en la nube unificada y optimizada. Eligió Wiz para lograr una visibilidad completa de la nube en un panel de control y detectar y remediar rápidamente los errores de configuración.
La consolidación de su seguridad en la nube también ayuda a los equipos a localizar la información de identificación personal (PII) dentro del entorno en la nube de Digibee y garantizar que cumpla plenamente con las necesidades de sus clientes y auditores. También puede generar informes de cumplimiento de manera más eficiente que se pueden compartir fácilmente con las partes interesadas internas y externas.
La compañía también ha sido capaz de minimizar las vulnerabilidades de seguridad mediante el escaneo de todo el nuevo código de software que pasa a través de la canalización de integración continua e implementación continua (CI/CD) de Digibee. Al monitorear constantemente el nuevo código, la empresa está más segura y puede ahorrar en costos operativos al identificar y desactivar los recursos en la nube no utilizados descubiertos durante el escaneo.
Satisfacer estos requisitos le dio a Digibee una mejor comprensión de cómo se conectan sus recursos, creando una única fuente de verdad para toda su información de seguridad.
Lo primero que me impresionó de Wiz fue la forma en que generó un inventario de nuestro entorno en la nube. De una manera muy fácil, me mostró cómo se conectan nuestras aplicaciones, cómo interactúan entre sí y cómo están abiertas al mundo.
Digibee también buscaba una solución fácil de implementar que pudiera escanear e inventariar su entorno en la nube sin la necesidad de software intrusivo o costosas llamadas de datos, controlando los costos a medida que la empresa continuaba su trayectoria de alto crecimiento.
"La capacidad de encontrar problemas sin usar agentes u otro software intrusivo dentro de nuestro entorno fue crucial, sobre todo porque los agentes afectan el rendimiento", dice Bernardinelli. "También hay implicaciones de costos cuando se escala en la nube. Encontrar una solución como Wiz que no fuera intrusiva pero que fuera capaz de recopilar la información que necesitábamos era esencial".
Identificación de vulnerabilidades históricas y consecución de una canalización de "cero críticos"
Tan pronto como el equipo de ingeniería de Digibee comenzó a escanear los clústeres de Kubernetes de la empresa, identificaron vulnerabilidades críticas de seguridad en la nube. Por ejemplo, se descubrió al menos una búsqueda elástica redundante, junto con otras piezas de software antiguas. Digibee también descubrió problemas críticos de almacenamiento de datos PCI que amenazaban el cumplimiento. Usando Wiz, estas vulnerabilidades, y muchas otras similares, se abordaron de inmediato.
Dar a todo el mundo acceso a una única fuente de la verdad resultó ser un punto de inflexión importante en el viaje de seguridad en la nube de Digibee. Con el acceso universal, los ingenieros de Digibee tienen acceso a una visión priorizada del riesgo, por lo que pueden ver, comprender y remediar fácilmente el riesgo por sí mismos. Digibee puso en práctica esta visión única de la verdad mediante un ciclo de desarrollo de dos semanas. Los ingenieros se reúnen una vez cada quince días para discutir los riesgos descubiertos por Wiz y luego crear objetivos y resultados clave basados en esos hallazgos.
Como resultado de la implementación de este nuevo modelo operativo para remediar eficazmente el riesgo y erradicar las vulnerabilidades de seguridad al principio del ciclo de desarrollo de software, Digibee alcanzó con éxito el estado de "cero críticos".
Wiz es como mi brazo derecho. Pone los datos en contexto y ayuda a nuestros ingenieros a priorizar y comprender lo que deben hacer.
El proceso de cumplimiento también se ha simplificado, ya que Digibee utiliza Wiz para renovar de manera eficiente las certificaciones de cumplimiento más importantes.
La compañía ha mejorado su postura de seguridad en la nube en todos los ámbitos. La visibilidad total ha permitido a Digibee establecer un régimen de objetivos y resultados clave (OKR), lo que ayuda a los equipos a priorizar las vulnerabilidades clave y cambiar significativamente la aguja de la seguridad en la nube en el proceso.
"Ahora tenemos el objetivo de corregir todas las vulnerabilidades críticas en cinco días y las vulnerabilidades altas en 13 días", dice Bernardinelli. "Nuestros ingenieros ahora pueden entender los problemas, priorizar los problemas y conocen el simulacro de remediación. La clave es que todos en mi equipo tienen acceso a Wiz y si ven una victoria rápida, ni siquiera necesitan preguntar, simplemente lo abordan".
Abrir nuevos mercados de forma segura y sostenible
Digibee continúa creciendo, agregando nuevos clientes y más personal de seguridad en los EE. UU., un mercado altamente competitivo y más estrictamente regulado de lo que ha navegado anteriormente. Para crecer, la compañía planea continuar desarrollando su programa de seguridad en la nube y demostrando la seguridad de su entorno a clientes y auditores.
