DesafíoOTTO necesitaba encontrar formas de cumplir con los estándares de cumplimiento y, al mismo tiempo, desarrollar e implementar código rápidamente.
Un entorno multinube en crecimiento y una compleja colección de líderes empresariales distribuidos ayudaron a los equipos a moverse rápidamente, pero también agregaron riesgos. La empresa necesitaba una plataforma centralizada para que sus equipos supervisaran y unificaran su seguridad en la nube.
Además de ver la postura de seguridad en un solo lugar, OTTO también quería reducir el trabajo manual necesario para revisar y comprender la información relacionada con la seguridad.
La soluciónLa empresa eligió Wiz como una solución de seguridad consolidada para reducir la necesidad de herramientas separadas y crear una base escalable para su creciente programa de seguridad en la nube.
Con Wiz, OTTO tiene una única fuente de verdad para su monitoreo de seguridad que brinda a los equipos individuales la capacidad de personalizar qué alertas se comparten con ellos. De esta manera, cada equipo tiene acceso a la información más relevante de una manera que satisfaga sus necesidades.
Al priorizar y compartir automáticamente los riesgos potenciales con las partes adecuadas, Wiz permite a OTTO centrarse en el desarrollo en lugar de revisar y rastrear manualmente la postura de seguridad.
Protección de la infraestructura en la nube de la tienda online más grande de Alemania mediante la consolidación de herramientas de seguridad OTTO GmbH & Co KG (OTTO) es el proveedor de la tienda online alemana más grande del mismo nombre. La compañía comenzó como un catálogo de pedidos por correo en 1949. Se ha expandido para convertirse en parte de Otto Group, un grupo minorista y de servicios activo a nivel mundial con alrededor de 41.000 empleados en 30 grandes grupos empresariales, que opera para brindar la mejor experiencia de comercio electrónico a sus millones de clientes. Hoy en día, el Grupo Otto es uno de los minoristas en línea más grandes del mundo con más de $ 16 mil millones en ingresos anuales (GMV – Volumen Bruto de Mercancías).
En los años transcurridos desde el paso de la venta por correo al comercio electrónico, la empresa ha aumentado drásticamente su presencia en la nube. Convertirse en un negocio principalmente en línea significó cambiar cada vez más de sus tecnologías también en línea, pero en ese proceso la empresa encontró nuevos requisitos para cumplir con la normativa y gobernar eficazmente el acceso a los datos.
Proteger tanto su infraestructura en la nube en expansión gradual como los datos de sus clientes es una prioridad importante. Para ello, OTTO se compromete a hacer de la seguridad una responsabilidad compartida en toda la organización. "Para una empresa de nuestro tamaño, creemos que es importante incorporar prácticas de seguridad en el trabajo diario de todos", dijo Ralf Kleinfeld, Oficial de Seguridad de la Información de OTTO.
Establecemos altos estándares para nuestras prácticas de seguridad con el fin de proteger los datos de nuestros clientes. Cumplir con esos estándares requiere que compartamos la responsabilidad de la seguridad en toda la empresa, y podemos usar Wiz para compartir fácilmente información de seguridad con las personas adecuadas.
Con eso en mente, OTTO necesitaba una solución de seguridad que mantuviera a todos sus equipos en la misma página. "Desde una perspectiva organizacional, la distribución de las responsabilidades de seguridad es un desafío sin una solución de seguridad centralizada. Para asegurarnos de que todo el mundo cumpliera con nuestros estándares de seguridad y pudiera hacer su trabajo de forma autónoma, tuvimos que unificar la seguridad", dijo Kleinfeld. La solución de seguridad existente de la empresa ofrecía cierta información sobre los problemas de seguridad, pero requería varios pasos manuales para investigar los problemas. Esto llevó al equipo de DevOps de OTTO a buscar una solución más eficiente y consolidada.
Centralice y democratice la gestión de la seguridad en la nube con una CNAPP El deseo de equilibrar la seguridad y la velocidad de implementación llevó a OTTO a explorar plataforma de protección de aplicaciones nativa de la nube (CNAPP) Soluciones. Esto significa combinar su capacidad para ver toda su postura de seguridad, proteger el proceso de desarrollo de software con una sola política en todos los equipos e incorporar comprobaciones de cumplimiento en el desarrollo con una sola herramienta. "Teníamos muchas opciones de soluciones de seguridad, pero descubrimos que una CNAPP nos ofrecía la visión más completa de nuestro entorno en la nube y, al mismo tiempo, podíamos proteger mejor nuestro proceso de desarrollo", explicó Kleinfeld. La empresa eligió Wiz para respaldar sus objetivos de seguridad entre empresas.
Con Wiz, diferentes equipos pueden aprovechar una plataforma de seguridad para construir, proteger y monitorear la infraestructura en la nube. Pueden utilizar esta alineación para garantizar que las políticas y los controles estén estandarizados, de modo que los riesgos se evalúen de forma coherente y durante todo el proceso de desarrollo. "Nuestros equipos de seguridad pueden revisar la gestión de la postura, nuestros desarrolladores pueden ver alertas de seguridad sobre las aplicaciones y las operaciones pueden ver problemas en todos los equipos", dijo Kleinfeld. "Cada equipo tiene acceso a lo que necesita, y pueden discutir fácilmente con otros equipos porque están viendo la misma información". Otra parte de esa alineación también provino de la inclusión de las partes interesadas en todos los equipos durante el proceso de evaluación. Dado que todo el mundo pudo ver el papel de Wiz en sus flujos de trabajo, todo el mundo pudo alinearse en la forma en que la solución apoyaría el trabajo futuro.
Wiz CNAPP admite la seguridad en todos nuestros entornos de nube en un solo lugar. Toda nuestra información de seguridad está en un solo lugar, y la solución es lo suficientemente flexible como para que los diferentes equipos puedan centrarse solo en los detalles que necesitan.
Para asegurarse de que los equipos de OTTO utilizaban este contexto de seguridad, la empresa implementó campeones de seguridad en los equipos que utilizaban Wiz. Con su apoyo, todos pudieron explorar nuevas formas de integrar la seguridad en su trabajo. "Nuestros desarrolladores saben que la seguridad es importante, pero no pasan sus días en Wiz", señaló Kleinfeld. "Poder personalizar la forma en que reciben las alertas realmente ha mejorado las tasas de adopción, lo que significa que podemos continuar resolviendo problemas más rápido".
Los equipos usan todo, desde alertas de Wiz en la aplicación hasta tickets de servicio y notificaciones por correo electrónico para mantenerse al tanto de los riesgos de seguridad y solucionar problemas de manera eficiente. Esto significaba que el equipo podía encontrar y abordar los problemas de inmediato tan pronto como se introducía una vulnerabilidad en el entorno.
La compañía también ha creado reglas personalizadas en Wiz para alinearse con los requisitos específicos de OTTO. "Tenemos un sistema de etiquetado para nuestros recursos en la nube, y ahora podemos asegurarnos de que no se implemente ningún recurso que no esté etiquetado con la información adecuada", explicó Kleinfeld.
Uso del contexto para priorizar y colaborar en la seguridad Ser capaz no solo de ver una alerta, sino también de comprender qué tan crítico es un problema y por qué es importante abordarlo, reduce el tiempo que OTTO necesita para proteger su entorno en la nube. "Ahora sabemos que estamos mirando primero las cosas importantes, y podemos usar Wiz para medir exactamente cuánto tiempo nos lleva manejar un problema", dijo Kleinfeld. Con estos datos a mano, el Oficial de Seguridad de la Información puede demostrar claramente el valor de la seguridad y describir cómo la seguridad permite, no ralentiza, el trabajo en la organización.
Debido a que Wiz evalúa y prioriza nuestros riesgos automáticamente, hemos podido crear un proceso más estructurado para resolver problemas en función del impacto.
Al consolidar, Al ver y medir el impacto de la seguridad en un solo lugar, OTTO también tiene una forma sencilla de informar sobre el recorrido de seguridad de la organización. "Con Wiz Dashboard, tengo una vista en vivo de nuestra postura de seguridad en un solo lugar", explicó Kleinfeld. "Esa facilidad de acceso es algo que no habíamos tenido antes, y hace que mi vida sea mucho más fácil".
La organización continúa encontrando nuevas formas de aprovechar Wiz para asegurar su desarrollo en la nube. Al profundizar en cada uno de los elementos que componen el complejo entorno de nube de OTTO, la empresa puede seguir encontrando, gestionando y protegiendo cada capa de su nube.