DesafíoAl operar dentro de una industria fuertemente regulada, Monese necesitaba una visibilidad completa de su entorno de AWS.
Monese necesitaba una solución que pudiera ayudar al equipo de seguridad a priorizar sus tareas de seguridad y obtener visibilidad de los errores de configuración en comparación con las mejores prácticas de la industria.
Monese buscaba una herramienta sin agentes que pudiera proporcionar información completa sobre la postura de seguridad a varios equipos dentro de la organización, eliminando la necesidad de depender únicamente del equipo de seguridad.
La soluciónMonese obtuvo una visión completa de su entorno de AWS, lo que permitió al equipo de seguridad encontrar vulnerabilidades, identificar sus ubicaciones exactas y asignarlas a los propietarios de negocios responsables.
El pequeño equipo de seguridad de Monese pudo gestionar sus tareas de forma eficaz identificando y rastreando vulnerabilidades con la ayuda de la plataforma Wiz.
Monese fue capaz de crear una cultura de seguridad más colaborativa al permitir que un conjunto más amplio de usuarios (incluidos desarrolladores y líderes de producto) usaran la plataforma para comprender y reducir los riesgos, y mitigarlos de manera proactiva, protegiendo a la empresa de posibles tiempos de inactividad.
Buscando una visibilidad total con una herramienta para múltiples equiposMonese es una empresa de servicios financieros minoristas digitales que ofrece cuentas solo móviles en una selección de monedas, países del Espacio Económico Europeo. Como empresa nativa de la nube, Monese está comprometida con sólidas medidas de seguridad que ganaron't obstaculizar las operaciones comerciales. Aneel Sandhu, CISO de Monese, afirma: "Nuestra estrategia de seguridad se actualiza cada año. Hay cuatro pilares. Uno de los pilares clave es la capacidad de asegurar a gran velocidad. Aparte de eso,'s cosas más tradicionales como asegurarse de que haya'la transparencia para las personas a todos los niveles; ese's de personas que pueden ser desarrolladores o que trabajan como líderes de producto o incluso la Junta Directiva. Y luego ser capaz de asegurarnos de que'cumplir con cualquier regulación que se aplique a nosotros o a nuestros clientes".
Monese carecía de una visibilidad completa de su entorno de AWS, lo que era especialmente preocupante debido a su pequeño equipo de seguridad y a la naturaleza acelerada de la organización. Con las herramientas anteriores, los equipos a menudo carecían de contexto en torno a las vulnerabilidades y no podían priorizar sus necesidades de seguridad de manera efectiva. Sandhu reflexiona: "Debido a que la empresa tiene un entorno complejo en la nube, nuestro problema principal siempre ha sido la visibilidad". Al necesitar delegar el trabajo de seguridad, Monese buscó una herramienta que pudiera proporcionar la información de riesgo necesaria a los miembros de varios equipos.
Además, Monese opera en una industria y región altamente reguladas, lo que hace que el cumplimiento sea un aspecto crucial de sus operaciones, en particular el cumplimiento de la norma 27001 (Seguridad de la Información) y las regulaciones en toda Europa. Monese necesitaba una solución que les ayudara a lograr el cumplimiento normativo y les permitiera ser más transparentes con los clientes y mejorar su negocio. Sandhu señala que un pilar clave del programa de seguridad de Monese es garantizar que la empresa cumpla con las regulaciones relevantes que se aplican a ella o a sus clientes en todas las jurisdicciones.
Establecer metas para un mejor ajusteAntes de implementar Wiz, Sandhu dependía de las secuencias de comandos manuales para comprender los componentes del entorno de Monese, lo que consumía mucho tiempo y no ofrecía una visión completa. Monese también utilizaba escáneres de seguridad tradicionales que no eran adecuados para entornos nativos de la nube y necesitaba una mejor manera de compartir la mitigación de riesgos con su pequeño equipo de seguridad.
Necesito una vista de cómo es nuestra finca. Como CISO,'Es casi imposible entender todos los componentes que componen nuestro entorno. No estábamos ciegos a los problemas, pero tuvimos que confiar mucho en ciertas personas para estar al tanto de los hallazgos de seguridad.
Monese quería una solución de seguridad que mejorara la visibilidad total y fortaleciera la preparación para el cumplimiento normativo, al tiempo que facilitara la delegación de las tareas de seguridad, reduciendo así la dependencia de su pequeño equipo de seguridad. Su objetivo era construir una práctica de seguridad con amplios impactos positivos en el negocio.
La búsqueda de una plataforma integral de seguridad en la nubeSandhu recuerda que su equipo de seguridad inicialmente buscó un escáner de vulnerabilidades para satisfacer las demandas de sus clientes bancarios y los requisitos regulatorios. Sin embargo:
Cuando salimos y miramos qué herramientas estaban disponibles, estábamos buscando un escáner de vulnerabilidades y rápidamente nos dimos cuenta de que no eran aptos para entornos nativos de la nube... nos dimos cuenta de que AWS y otros CSP generan una gran cantidad de datos. Lo hicimos't necesita un escáner de vulnerabilidades; Necesitábamos una solución de gestión de vulnerabilidades de configuración.
Después de desglosar sus requisitos tecnológicos y llevar a cabo un proceso de solicitud de propuesta (RFP), consideraron algunas soluciones. Sandhu recuerda que eligieron Wiz porque era capaz de capturar cantidades sustanciales de datos y proporcionar a su equipo una visión muy concisa.
Aumentar la visibilidad y la priorización con WizEl equipo de Sandhu pudo comenzar con Wiz fácilmente. Él recuerda: "Pudimos poner en marcha Wiz muy rápidamente solo gracias a su conectividad nativa en la nube". Durante el período de prueba de Monese con Wiz, la vulnerabilidad Log4j les mostró el poder de Wiz's capacidades. Sandhu dice que "fueron particularmente afortunados de que log4j sucediera durante la prueba con Wiz. No solo estábamos conectados y funcionando, sino que también nos dio una comprensión instantánea de dónde teníamos vulnerabilidades relacionadas con Log4j… todo ello durante el periodo de evaluación."
Monese implementó Wiz rápidamente. El proceso fue sencillo, ya que Wiz se conectó directamente al entorno AWS de Monese y proporcionó visibilidad inmediata de sus sistemas. A continuación, se centraron en identificar y mitigar las posibles vulnerabilidades de forma temprana y en prevenir posibles tiempos de inactividad. Sandhu señala: "Al usar Wiz en nuestros canales de desarrollo, podemos recoger cosas, hacer revisiones de código y comprender bibliotecas de terceros". Esto configura Monese's para identificar y resolver problemas durante el desarrollo, en lugar de al final del proceso. Sandhu añade: "Wiz no solo está comprobando lo que's que se ejecutan en la nube; También tiene una vista de todo lo que'va a terminar siendo empujado a nuestro entorno de producción".
Compartir la responsabilidad, desplazarse a la izquierdaSandhu también refleja que con Wiz, es fácil proporcionar a los líderes de productos una vista en vivo de las vulnerabilidades que se les asignan y la antigüedad de esas vulnerabilidades. "Eso da mucha más tracción para priorizar las correcciones de seguridad", señala. "Debido a que el trabajo de los desarrolladores está impulsado por los requisitos que un líder de producto o gerente de proyecto les presente, ahora las vulnerabilidades se pueden asignar a los líderes de producto". Esto ha ayudado a Monese a delegar el trabajo de seguridad entre más miembros del equipo, aumentando la responsabilidad.
Con Wiz proporcionando la capacidad de asignar vulnerabilidades a los propietarios de negocios y compartir el trabajo de mitigar el riesgo, Monese puede rastrear y priorizar las correcciones de seguridad de manera más efectiva.
Wiz nos permitió identificar exactamente dónde teníamos problemas. Si hubiéramos intentado averiguar todo lo que se veía afectado por log4J sin Wiz, nos habría llevado al menos siete u ocho días identificar en todos los lugares en los que necesitábamos arreglar algo. Wiz nos permitió identificar esas áreas de inmediato.
Aumento de la agilidad y aceleración de las implementacionesMonese también ha visto el gran beneficio de una organización de desarrollo madura y más efectiva. Sus equipos de desarrollo y seguridad pueden trabajar juntos, y más rápido, para resolver problemas de seguridad; Esto mejora no solo su postura de seguridad, sino que también fomenta la colaboración en toda la organización. Esto crea una colaboración más ágil entre el desarrollo y la seguridad, acelera la implementación y permite a los desarrolladores hacer su mejor trabajo.
A veces es'No se trata solo de poder decir: 'Hay's un problema; Ve a arreglarlo'. Lo que es'Lo que nos ha permitido hacer es tener una comprensión muy clara de cuál es ese problema y cómo solucionar las cosas. Así que Wiz nos ha ayudado a desencadenar una gran cantidad de trabajo mientras maduramos nuestro desarrollo en general, simplemente porque esa comprensión de los problemas fundamentales nos permite construir mucho más. Esa comprensión nos ayuda a progresar en nuestras prácticas de seguridad.
Cumplir con los requisitos de cumplimiento con facilidadWiz apoyó el análisis de brechas de Monese, y esta capacidad para evaluar y abordar las brechas de cumplimiento es un aspecto clave de la estrategia de cumplimiento de Monese. Wiz también ayudó a Monese a cumplir con los requisitos regulatorios y de los clientes de manera más efectiva, y a documentar su estado de cumplimiento con evidencia automatizada para compartir con varios socios.
Wiz nos permitió dar pruebas sólidas a los auditores del regulador, clientes e inversores, demostrando que realmente somos tan buenos como decimos que somos. Podemos demostrar que cumplimos con los requisitos de seguridad.
Avanzando, siempre aprendiendoSobre su puesto como CISO y las prácticas de seguridad en general, Sandhu señala: "Todos los días aprendo algo nuevo. Tengo que entender lo que está haciendo la empresa y cómo toma medidas para aplicar la seguridad. Tengo que entender cómo funciona la tecnología para asegurarme de que'Está lo suficientemente asegurado, por lo que siempre tengo que estar aprendiendo."
Con la exitosa implementación de Wiz, Monese está planeando un futuro en el que la seguridad esté integrada y optimizada en todos los aspectos de sus operaciones comerciales. La mejora de la visibilidad, la gestión de vulnerabilidades y los informes de cumplimiento seguirán beneficiando a Monese a medida que evolucionen. Ahora pueden demostrar con confianza a auditores, reguladores, clientes e inversores que cumplen con los requisitos de seguridad, lo cual es fundamental en cualquier industria altamente regulada. Y con prácticas de seguridad más ágiles y compartidas, y una mejor colaboración entre los equipos de desarrollo y seguridad, Monese puede dedicar más tiempo y esfuerzo a ofrecer servicios bancarios superiores a sus clientes.