Desafío
La New American Funding tenía un entorno complejo y multinube, y necesitaba una visibilidad completa de todos sus recursos en la nube para gestionar los posibles riesgos de seguridad.
La solución heredada de NAF producía demasiadas alertas sin información procesable para que los propietarios de aplicaciones respondieran, lo que provocaba fricciones entre los desarrolladores y la seguridad.
El equipo de seguridad de NAF necesitaba cumplir con las estrictas regulaciones de servicios financieros y, al mismo tiempo, permitir que el negocio se moviera rápidamente.
La solución
Con una visibilidad completa en todo el entorno multinube de New American Funding, Wiz permite a la NAF descubrir y abordar los riesgos de manera más efectiva y mejorar su postura de seguridad en la nube mediante la aplicación de políticas de privilegios mínimos.
La New American Funding proporciona información contextual y priorizada de cada riesgo de seguridad a los propietarios de aplicaciones, lo que les permite solucionar problemas de manera más eficiente.
La NAF utiliza los marcos de cumplimiento de Wiz para automatizar las evaluaciones de cumplimiento, informar más fácilmente sobre la postura de cumplimiento en toda la organización y utilizar esos informes para guiar su estrategia de cumplimiento.
La New American Funding navega por los complejos estándares de seguridad de los servicios financieros para apoyar a los propietarios de viviendas
Como uno de los prestamistas hipotecarios directos de propiedad privada más grandes de la nación, New American Funding (NAF) se dedica a ayudar a las familias y a las personas a convertir sus sueños de ser propietarios de una vivienda en una realidad. Es capaz de ofrecer a sus clientes unos plazos de cierre de préstamos líderes en el sector gracias a la tecnología que constituye el núcleo de su negocio. En la actualidad, los agentes de crédito de NAF tienen acceso a un conjunto de aplicaciones móviles, incluido el software de gestión de relaciones con los clientes propiedad de NAF.
Para respaldar esta tecnología en la industria de servicios financieros altamente regulada, NAF cuenta con un equipo interdepartamental de desarrolladores, especialistas en TI y seguridad que mantienen un entorno multinube. Sigue encontrando formas de que sus equipos de seguridad y desarrollo trabajen juntos para crear la mejor experiencia posible para el cliente sin dejar de cumplir la estricta normativa financiera.
La falta de datos claros impide la adopción de acciones específicas
Los altos estándares de seguridad de NAF no son negociables, pero el CSPM existente del equipo dificultaba la comprensión de las vulnerabilidades en su entorno de nube. NAF estaba revisando datos ruidosos para descubrir problemas y a veces ni siquiera era posible localizar la fuente. Una vez que se identificaba una fuente de riesgo, el equipo aún tenía que determinar quién era el propietario del recurso y evaluar los centros de costos para la corrección. Debido a la recesión económica, la NAF también tuvo que ser más diligente en sus gastos y necesitó moverse más rápido con menos herramientas.
Usamos una herramienta en el pasado que creaba tanto ruido que no servía para nada. Necesitaba datos procesables para que el equipo respondiera. Wiz tiene una interfaz mucho más fácil de entender para los desarrolladores y permite una corrección más rápida de los hallazgos.
Este engorroso proceso impedía que los equipos de seguridad colaboraran con sus socios desarrolladores y le costaba a la NAF un tiempo valioso. Más allá de necesitar un sistema para encontrar y solucionar problemas, también quería establecer barreras de seguridad para los equipos de desarrollo, de modo que pudieran seguir diseñando de forma rápida y segura. "Los desarrolladores quieren lanzar productos, TI quiere asegurarse de que haya'y la seguridad quiere auditar el proceso y proporcionar nuevas recomendaciones", dijo Jeff Farinich, CISO de NAF. "El mantenimiento de la nube requiere propiedad conjunta y necesitábamos una forma de trabajar juntos hacia los mismos objetivos".
Reducción de costos a la vez que se mejora la visibilidad y la colaboración
Para alinear a estos equipos, la NAF recurrió a Wiz. El equipo necesitaba una plataforma de seguridad en la nube que estuviera a la par con su herramienta CSPM existente y que pudiera consolidar sus otras herramientas de seguridad en un solo sistema. "La implementación de Wiz fue sencilla. Añadimos las descripciones en nuestros entornos, las dejamos funcionar y tuvimos visibilidad de todos nuestros activos, riesgos y exactamente qué acciones debían tomarse", dijo Farinich.
Con Wiz, la NAF obtuvo visibilidad de su entorno y de las configuraciones incorrectas, así como del contexto, la priorización y la interfaz fácil de leer que necesitaba. Esta nueva visibilidad mejoró la colaboración al brindar a los propietarios de aplicaciones una mejor visión de los riesgos que los equipos de seguridad ya monitorean. "Wiz definitivamente ha mejorado la relación entre los equipos de seguridad y desarrollo. El equipo de desarrollo ahora ve la seguridad como un socio, en lugar de un adversario. Ven que ambos están trabajando hacia los mismos objetivos desde diferentes ángulos", dijo Farinich.
Wiz nos ha dado una visibilidad mucho mejor de nuestro entorno en la nube. Desde CIEM hasta vulnerabilidades, pasando por parches y Log4j, Wiz nos da un nivel de confianza mucho mayor en nuestra nube.
Otro resultado de esta mejora de la visibilidad en toda la organización fue que la NAF pudo identificar a los usuarios con privilegios excesivos y a los usuarios inactivos en su sistema. Las capacidades CIEM de Wiz ayudaron al equipo de seguridad de la NAF a aplicar el acceso con privilegios mínimos para reducir el número de usuarios con privilegios excesivos en su entorno de nube. Esta reducción significa que la NAF limitó la exposición a través del exceso de cuentas y fortaleció su postura de seguridad. Con una visión general completa de sus permisos en la nube y permisos efectivos, el equipo de NAF puede detectar y priorizar los riesgos de identidad, y permitir que los equipos tomen acciones rápidamente.
Creación de un equipo de seguridad más rápido y colaborativo
La adopción de Wiz ha facilitado la colaboración entre equipos en la NAF, y esa colaboración está impulsando directamente una mejor plataforma para el creciente negocio de la NAF y sus clientes. La corrección a escala significa que los equipos pueden mantenerse al día con las demandas de la empresa para ayudar a generar nuevas oportunidades de ingresos. Esto incluye la gestión eficiente de dos entornos en la nube. "El uso de Wiz significa que podemos movernos más rápido y corregir más", dijo Farinich. "Es fácil de usar y el resultado final es que la organización se vuelve más segura, más rápida y con menos recursos". La NAF utiliza Wiz para obtener información sobre ambas nubes y tomar medidas rápidamente, sin importar dónde se origine una vulnerabilidad.
Mantenimiento eficaz de las normas de cumplimiento
A medida que NAF crece, también es capaz de escalar más fácilmente los riesgos al nivel ejecutivo para crear transparencia en toda la organización. Esta transparencia ha contribuido a una tasa de adopción cada vez mayor entre los equipos de aplicaciones y la dirección, que ahora pueden revisar y tomar medidas para resolver —y adelantarse a— los problemas relacionados con el cumplimiento.
La empresa utiliza las evaluaciones de cumplimiento automatizadas de Wiz y los marcos de cumplimiento integrados para calificar y comprender más rápidamente el cumplimiento de una amplia gama de estándares regulatorios, incluidos NIST y CSF. También están utilizando esta base para incorporar otros marcos de seguridad en su proceso de cumplimiento para asegurarse de que cumplen con los requisitos financieros de organizaciones como la Comisión Federal de Comercio y el Departamento de Servicios Financieros de Nueva York. Con acceso inmediato a las puntuaciones de postura e informes que se pueden compartir fácilmente, el equipo de seguridad de la NAF puede comunicar el riesgo y los controles asignados para los líderes no técnicos de toda la organización.
Wiz nos ha permitido mejorar nuestra postura de seguridad, pero también nos ha dado las herramientas y la visibilidad que necesitamos para educar a todos los miembros de nuestro equipo sobre los controles de cumplimiento que tenemos que cumplir.
Estos nuevos conocimientos, fáciles de asimilar, permiten al equipo de seguridad demostrar claramente las necesidades empresariales de las iniciativas de seguridad, obtener la aprobación de los ejecutivos para los nuevos proyectos y desarrollar una plataforma más segura, más conforme y más potente para los compradores de viviendas de todo Estados Unidos.
La siguiente etapa de seguridad para la New American Funding
NAF continúa encontrando formas de ser más eficiente con su tiempo y sus gastos. Su próximo gran hito es migrar toda su computación a la nube. Mientras migra, también tiene como objetivo reducir aún más los costos de seguridad mediante el uso de Wiz para monitorear sus datos confidenciales en la nube con DSPM. Con Wiz, la NAF confía en que puede crecer como quiera. "La plataforma es fácil y la implementación inmediata, y nos hemos vuelto más seguros, más rápidos, con menos recursos", dijo Farinich. "Wiz es una necesidad".
¿Quiere saber cómo su programa de seguridad en la nube puede lograr los mismos resultados que New American Funding? Echa un vistazo de cerca a las soluciones de seguridad en la nube para servicios financieros de Wiz.
