Desafio
Durante a transição da Artisan para a nuvem, a empresa tinha 15 desenvolvedores, mas nenhuma equipe de segurança dedicada para gerenciar sua postura de segurança na nuvem.
Como os dados de saúde precisam ser rigorosamente protegidos, a Artisan precisava garantir os dados financeiros e de pacientes por meio de uma postura de segurança de tolerância zero.
A equipe de desenvolvimento da Artisan queria implantar novos produtos rapidamente, mas acabavam distraídos pelo ruído gerado por sua plataforma CSPM.
Solução
Ao adotar uma solução sem agente, a Artisan não precisou contratar uma equipe de segurança dedicada, liberando o tempo de seus desenvolvedores ao mesmo tempo em que mantinha uma forte postura de segurança.
A Artisan simplificou o gerenciamento de conformidade para o SOC e HIPAA com o Wiz para garantir que atendam às necessidades regulatórias e garantam que os dados dos pacientes se mantenham seguros.
Com o Wiz, a equipe de desenvolvimento recebe alertas de vulnerabilidade consolidados e direcionados, para que possam resolver problemas diretamente e implantar novos recursos de forma segura mais rapidamente.
Protegendo os valiosos dados dos pacientes enquanto se cria um processo de desenvolvimento seguro
A Artisan faz parcerias com outras clínicas médicas do setor de fertilidade para simplificar o atendimento ao paciente. Sua solução Artisan de EMR armazena dados confidenciais do paciente, como histórico médico, exames laboratoriais e planos de tratamento. Ao começar, a Artisan era o único sistema de prontuário eletrônico de infertilidade baseado em nuvem, o que era um incentivo poderoso para atrair novos negócios. "Acabamos nos tornando um hub por sermos baseados em nuvem e, assim, conseguíamos trabalhar com outros fornecedores que queriam ter acesso aos nossos clientes", diz o presidente e CEO da Artisan, Alex Steinleitner.
Embora a nuvem tenha ajudado a impulsionar o crescimento da Artisan, ela também introduziu novos desafios. "À medida que mudamos para a nuvem, as coisas ficaram mais espalhadas entre os fornecedores e começamos a usar mais software e ferramentas digitais para nos comunicar", compartilha Steinleitner. "Aprendemos o que significa ampliar a superfície de ataque e aprendemos também que existem muitos bandidos por aí que vão tentar atacar nossos sistemas a todo custo."
A Artisan sabia que não precisava apenas proteger seus dados internos. Os pacientes precisam confiar que suas informações pessoais e financeiras ficarão seguras e acessíveis o tempo todo. "Se o sistema ficasse indisponível por qualquer motivo, teríamos milhares de pacientes em risco de interrupção do tratamento", diz Steinleitner. "Eles dependem do acesso diário às informações que confiaram a nós. Em alguns casos, são pessoas que estão passando por tratamentos caros e de grande impacto em suas vidas. Qualquer tempo de inatividade causado por uma violação de segurança seria catastrófico."
Para proteger tanto os dados confidenciais dos pacientes quanto seus próprios sistemas, a Artisan adotou uma solução CSPM. No entanto, seu uso eficaz era impossível. A equipe ficava sobrecarregada com os alertas do sistema e, para evitar a contratação de profissionais de segurança dedicados, desperdiçava um tempo precioso de desenvolvimento para analisar as notificações. A Artisan substituiu a plataforma pelo Wiz para simplificar o gerenciamento da segurança e manter o foco em melhorar a experiência do cliente.
Eu sou médico e cuido de pessoas. Sou formado em medicina preventiva. O Wiz é como a medicina preventiva para nós.
Projetando uma empresa focada em segurança sem uma equipe de segurança dedicada
A equipe de 15 desenvolvedores da Artisan também é responsável por gerenciar a postura de segurança da empresa. Uma de suas funções mais importantes é projetar e implantar rapidamente novos recursos para seus clientes, mas sem uma equipe de segurança dedicada para suporte, eles precisam tomar medidas adicionais para manter um ambiente seguro. Ou seja, eles precisavam de uma Plataforma CSPM que fosse eficiente e fácil de usar.
Por fim, a Artisan escolheu o Wiz porque ele fornecia menos alertas, mas eram alertas acionáveis, além de dar visibilidade total da infraestrutura da organização. Em vez de receber até 500 alertas para cada vulnerabilidade real, o Wiz permite que a Artisan veja seu ambiente de nuvem completo para entender exatamente quais são suas vulnerabilidades.
A avaliação de risco automatizada também dá ao Artisan's equipe a capacidade de priorizar os riscos mais críticos. "O painel do Wiz nos mostra as ameaças críticas classificadas em risco alto, médio e baixo de uma maneira muito fácil de entender", diz Matthew Mazzariello, gerente de desenvolvimento da Artisan.
O Wiz também relata quaisquer problemas com novos pacotes antes que sejam disponibilizados para produção, fornecendo sugestões de práticas recomendadas à equipe, além de insights sobre como podem ser implantados com mais segurança. A detecção automatizada também significa que a equipe da Artisan não precisa mais revisar manualmente os novos pacotes, podendo se concentrar em inovar para dar suporte aos clientes.
Com nossa plataforma antiga, recebíamos milhares de alertas para cada problema a resolver. O Wiz nos permite entender as vulnerabilidades de forma muito mais eficiente. Agora, podemos concentrar nossos esforços nos problemas, em vez de simplesmente identificá-los.
Automatizando o gerenciamento de conformidade para aumentar a confiança do paciente
Proteger os dados dos clientes é uma prioridade para qualquer organização, mas na área de saúde, a conformidade não é negociável. Para a Artisan, a conformidade vai muito além de proteger o negócio e significa proteger a privacidade de seus clientes. Quando o Log4shell foi lançado, a Artisan recebeu muitas ligações de clientes perguntando se a empresa estava preparada. "Se sofrêssemos uma violação, poderia muito bem significar o nosso fim", diz Steinleitner. "Conseguimos executar uma varredura Wiz e verificar, de fato, que todo o nosso sistema estava bem. Estávamos seguros e protegidos, e pudemos relatar isso aos nossos clientes."
Em sua plataforma CSPM anterior, manter a conformidade regulatória com o SOC e Normas HIPAA era um processo ativo e manual. Com o Wiz, a Artisan conseguiu automatizar as avaliações de conformidade para monitorar continuamente sua aderência às estruturas de conformidade do setor. Agora, durante as reuniões semanais da equipe de desenvolvimento, a equipe pode usar seu painel de segurança para destacar quaisquer problemas críticos que precisam ser abordados com a liderança sênior.
Quando você está operando uma solução baseada em nuvem com dados confidenciais, a segurança é primordial: é seu dever proteger os dados dos clientes. Se você não tiver camadas de medidas de segurança em vigor, acabará não fazendo parte do jogo em pouco tempo. Precisamos estar à frente e a utilização do Wiz nos ajudou nisso.
A melhoria da segurança e da aderência à conformidade também ajudou a Artisan a expandir os negócios. Um fundo internacional que comprou a empresa fez muitas perguntas sobre a estrutura de software da Artisan durante o processo de due diligence. "A segurança era claramente um tópico importante", diz Steinleitner. "Mas conseguimos imprimir relatórios das áreas relevantes do Wiz e mostrar que não tínhamos grandes vulnerabilidades pendentes. Os consultores puderam ver o nosso perfil Wiz e constatar que estávamos em conformidade, fazendo com que não tivessem preocupações de segurança."
Adotando uma abordagem segura por design em toda a empresa
Como uma empresa com uma missão orientada por tecnologia, a Artisan foi rápida em adotar a nuvem para desenvolver novos recursos e expor APIs para que os provedores pudessem atender melhor os pacientes. Isso também levou a empresa a adotar rapidamente e priorizar a segurança na nuvem à medida que crescia. Tornou-se cada vez mais importante para a Artisan fazer da segurança uma parte essencial de todas as conversas sobre desenvolvimento e crescimento dos negócios.
Quando nossos desenvolvedores começam a criar algo, realmente precisamos que eles comecem a pensar imediatamente na segurança. Como essas soluções em nuvem podem ser acessadas em qualquer lugar, realmente temos que estar atentos a isso quando desenvolvemos algo.
Com o Wiz, a Artisan encontrou uma solução para uma equipe de segurança não dedicada. O Wiz está ajudando essa equipe a entender suas vulnerabilidades e a se concentrar em simplificar o gerenciamento da fertilidade para clínicas e pacientes em todos os lugares. "Como CEO, posso dizer o seguinte: o Wiz me ajuda a dormir melhor à noite", compartilha Steinleitner.
