Centro de confianza de Wiz Security

Autenticación y autorización sólidas

Wiz impone el uso de una plataforma de inicio de sesión único (SSO) y autenticación multifactor (MFA) FIDO2 resistente al phishing para el acceso de los empleados a los sistemas Wiz. Wiz utiliza roles de IAM y tokens de corta duración para acceder a entornos en la nube. El acceso a los entornos de desarrollo y producción se restringe aún más mediante el uso de un proceso de administración Just in Time para minimizar los privilegios permanentes, las comprobaciones de la posición del dispositivo y el uso de una solución de acceso a la red de confianza cero.

Arquitectura de seguridad en la nube

El entorno de producción de Wiz se ejecuta como una infraestructura inmutable y se gestiona estrictamente a través de la infraestructura como código. Los mecanismos automatizados integrados en el proceso SDLC y en la canalización de CI/CD de Wiz garantizan que los cambios de configuración se controlen estrictamente, se sometan a comprobaciones de seguridad y estén sujetos a auditoría y aprobación. Los cambios no autorizados en la producción se detectan automáticamente y se escalan a los equipos de seguridad y operaciones. Wiz utiliza mecanismos de seguridad de red nativos de la nube, junto con sus controles de autenticación y autorización, para restringir el acceso remoto a la infraestructura en la nube, hacer cumplir un perímetro seguro y segregar los entornos internos.

Wiz4Wiz

Wiz utiliza una implementación interna de su propio producto ("Wiz4Wiz") para monitorear y proteger continuamente sus entornos en la nube. Los equipos de seguridad e ingeniería colaboran en la plataforma Wiz para identificar, priorizar y corregir vulnerabilidades, aplicar y validar controles preventivos y detectar y responder a posibles amenazas. Wiz aplica marcos de mejores prácticas de la industria, así como la orientación de los propios equipos de investigación internos de Wiz, para fortalecer y evaluar sus entornos en la nube de forma continua.

Ciclo de vida de desarrollo seguro

Wiz garantiza la seguridad e integridad de su infraestructura y código de producto en todo el SDLC. Estos mecanismos incluyen el escaneo automatizado de secretos, las pruebas de seguridad estáticas y dinámicas, el escaneo de vulnerabilidades de imágenes de contenedores mediante WizCLI, la revisión obligatoria por pares para cambios de código y funciones de seguridad adicionales dentro del control de código fuente y las plataformas de CI/CD de Wiz. El equipo de seguridad de Wiz se asocia con el equipo de ingeniería para realizar el modelado de amenazas, las revisiones de diseño de seguridad y las revisiones de implementación de seguridad de las características emergentes del producto y los cambios en la infraestructura de desarrollo y producción.

Concienciación sobre la seguridad

Los programas de concientización de Wiz incluyen capacitación recurrente centrada en la seguridad de la información y la privacidad de los datos, orientación continua sobre amenazas emergentes y pautas y procedimientos específicos del equipo para garantizar que los empleados puedan adoptar prácticas seguras en su trabajo diario. Al fomentar una cultura de concienciación sobre la seguridad, Wiz puede reducir significativamente el riesgo de que los errores humanos provoquen violaciones de datos o incidentes de seguridad. Este enfoque proactivo no solo protege los datos de los clientes, sino que también mejora la reputación de Wiz, genera confianza en los clientes y garantiza el cumplimiento normativo, lo que en última instancia contribuye a su éxito a largo plazo.

Registro, detección y respuesta

Wiz emplea un sistema de gestión de eventos de información de seguridad que ingiere telemetría de seguridad de entornos corporativos, de desarrollo y de producción en la nube. Los datos entrantes se procesan a través de una canalización de detección y se conservan en un lago de datos de seguridad. Las detecciones y alertas se envían a los ingenieros de guardia a través de sistemas de tickets, mensajería y localización. El equipo de seguridad de Wiz opera a nivel mundial para clasificar, investigar y remediar rápidamente los eventos.

Seguridad de endpoints

Las estaciones de trabajo Wiz ejecutan software de detección y respuesta de endpoints que proporciona capacidades de prevención, detección, registro de actividad, contención e investigación de malware y ataques. Wiz también implementa software de prevención de pérdida de datos para proteger y administrar el flujo de información confidencial dentro de los sistemas Wiz. La aplicación de parches y la gestión de la configuración de seguridad se abordan a través de las soluciones de gestión de dispositivos móviles y gestión de aplicaciones móviles.

Gestión de riesgos

El proceso de gestión de riesgos de Wiz está integrado con las funciones comerciales y técnicas de toda la empresa, lo que ayuda a los equipos a identificar oportunidades para mejorar la seguridad y la privacidad, y para mitigar las amenazas. De este modo, Wiz puede proteger los activos críticos y cumplir con sus compromisos legales, normativos y con los clientes. La gestión eficaz de riesgos también permite a Wiz adaptarse y evolucionar en el panorama siempre cambiante de las amenazas cibernéticas, lo que garantiza el éxito a largo plazo en el suministro de soluciones de seguridad sólidas.

Gestión de riesgos de proveedores

Garantizar la seguridad y fiabilidad de los productos y servicios de los proveedores es vital para mantener la integridad de las ofertas de Wiz y proteger los datos de los clientes. Un sólido programa de gestión de riesgos de proveedores ayuda a mitigar posibles infracciones, garantiza el cumplimiento normativo y preserva la confianza de los clientes, lo que lo convierte en un componente esencial de la estrategia de seguridad general de Wiz.

Auditorías y Cumplimiento

Wiz mantiene un programa integral de auditorías y cumplimiento para cumplir con los estándares de la industria, los requisitos reglamentarios y las leyes de protección de datos en todo el mundo. Dichos programas garantizan que las operaciones de Wiz cumplan o superen las pautas y mejores prácticas establecidas y ayudan a identificar y rectificar posibles vulnerabilidades. Wiz se dedica a la supervisión por parte de terceros de sus programas de seguridad y privacidad en toda la organización, así como a evaluaciones técnicas recurrentes, como pruebas de penetración y red teaming, de sus productos e infraestructura.

Cifrado y gestión de claves

Wiz utiliza soluciones de claves nativas de la nube, como AWS KMS, para el almacenamiento y la administración seguros de claves. Los controles automatizados garantizan que las claves no se almacenen ni transfieran a través de métodos inseguros o no aprobados.