DesafioA OTTO precisava encontrar maneiras de aderir aos padrões de conformidade e, ao mesmo tempo, desenvolver e implantar código rapidamente.
Um ambiente multinuvem crescente e uma coleção complexa de líderes de negócios distribuídos ajudaram as equipes a se moverem rapidamente, mas também aumentaram o risco. A empresa precisava de uma plataforma centralizada para que suas equipes monitorassem e unificassem sua segurança na nuvem.
Além de visualizar a postura de segurança em um só lugar, a OTTO também queria reduzir o trabalho manual necessário para revisar e entender as informações relacionadas à segurança.
SoluçãoA empresa escolheu o Wiz como uma solução de segurança consolidada para reduzir a necessidade de ferramentas separadas e construir uma base escalável para seu crescente programa de segurança em nuvem.
Com o Wiz, a OTTO tem uma única fonte de verdade para seu monitoramento de segurança que fornece às equipes individuais a capacidade de personalizar quais alertas são compartilhados com elas. Dessa forma, cada equipe tem acesso às informações mais relevantes de uma forma que atenda às suas necessidades.
Ao priorizar e compartilhar automaticamente os riscos potenciais com as partes certas, o Wiz permite que o OTTO se concentre no desenvolvimento, em vez de revisar e rastrear manualmente a postura de segurança.
Protegendo a infraestrutura em nuvem da maior loja online alemã consolidando ferramentas de segurança OTTO GmbH & Co KG (OTTO) é o fornecedor da maior loja online alemã com o mesmo nome. A empresa começou como um catálogo de pedidos por correspondência em 1949. Ela se expandiu para se tornar parte do Otto Group, um grupo de varejo e serviços globalmente ativo com cerca de 41.000 funcionários em 30 grandes grupos de empresas, operando para trazer a melhor experiência de comércio eletrônico para seus milhões de clientes. Hoje, o Grupo Otto é um dos maiores varejistas online do mundo, com mais de US$ 16 bilhões em receita anual (GMV – Gross Merchandise Volume).
Nos anos desde a mudança do pedido por correspondência para o comércio eletrônico, a empresa aumentou drasticamente sua presença na nuvem. Tornar-se um negócio principalmente online significava mudar cada vez mais suas tecnologias online também, mas nesse processo a empresa encontrou novos requisitos para permanecer em conformidade e governar efetivamente o acesso aos dados.
Proteger sua infraestrutura de nuvem em expansão gradual e os dados de seus clientes é uma grande prioridade. Para fazer isso, a OTTO está comprometida em tornar a segurança uma responsabilidade compartilhada em toda a organização. "Para uma empresa do nosso tamanho, sentimos que é importante incorporar práticas de segurança no trabalho diário de todos", disse Ralf Kleinfeld, diretor de segurança da informação da OTTO.
Estabelecemos altos padrões para nossas práticas de segurança para proteger os dados de nossos clientes. Atender a esses padrões exige que compartilhemos a responsabilidade de segurança em toda a empresa, e podemos usar o Wiz para compartilhar facilmente informações de segurança com as pessoas certas.
Com isso em mente, a OTTO precisava de uma solução de segurança que mantivesse todas as suas equipes em sintonia. "Do ponto de vista organizacional, distribuir responsabilidades de segurança é um desafio sem uma solução de segurança centralizada. Para garantir que todos permanecessem em conformidade com nossos padrões de segurança e capazes de fazer seu trabalho de forma autônoma, tivemos que unificar a segurança", disse Kleinfeld. A solução de segurança existente da empresa oferecia algumas informações sobre problemas de segurança, mas exigia várias etapas manuais para investigar problemas. Isso levou a equipe de DevOps da OTTO a buscar uma solução mais eficiente e consolidada.
Centralize e democratize o gerenciamento de segurança na nuvem com um CNAPP Querer equilibrar segurança e velocidade de implantação levou a OTTO a explorar CNAPP (Plataforma de Proteção de Aplicações Nativas da Nuvem) Soluções. Isso significa combinar sua capacidade de ver toda a sua postura de segurança, proteger o processo de desenvolvimento de software com uma única política entre as equipes e criar verificações de conformidade no desenvolvimento com uma ferramenta. "Tínhamos muitas opções de soluções de segurança, mas descobrimos que um CNAPP nos oferecia a visão mais abrangente de nosso ambiente de nuvem e podíamos proteger melhor nosso processo de desenvolvimento ao mesmo tempo", explicou Kleinfeld. A empresa escolheu a Wiz para apoiar suas metas de segurança entre empresas.
Com o Wiz, diferentes equipes podem aproveitar uma plataforma de segurança para criar, proteger e monitorar a infraestrutura em nuvem. Eles podem usar esse alinhamento para garantir que as políticas e os controles sejam padronizados, para que os riscos sejam avaliados de forma consistente e durante todo o processo de desenvolvimento. "Nossas equipes de segurança podem revisar o gerenciamento de postura, nossos desenvolvedores podem ver alertas de segurança sobre aplicativos e as operações podem ver problemas entre as equipes", disse Kleinfeld. "Cada equipe tem acesso ao que precisa e pode discutir facilmente com outras equipes porque está analisando as mesmas informações." Outra parte desse alinhamento também veio da inclusão das partes interessadas nas equipes durante o processo de avaliação. Com todos podendo ver o papel da Wiz em seus fluxos de trabalho, todos puderam se alinhar sobre como a solução apoiaria o trabalho futuro.
O Wiz CNAPP oferece suporte à segurança em nossos ambientes de nuvem em um único lugar. Todas as nossas informações de segurança estão em um só lugar e a solução é flexível o suficiente para que diferentes equipes possam se concentrar apenas nos detalhes de que precisam.
Para garantir que as equipes da OTTO estivessem usando esse contexto de segurança, a empresa implementou campeões de segurança nas equipes que usam o Wiz. Com o apoio deles, todos puderam explorar novas maneiras de integrar a segurança em seu trabalho. "Nossos desenvolvedores sabem que a segurança é importante, mas não passam seus dias no Wiz", apontou Kleinfeld. "Ser capaz de personalizar como eles recebem alertas realmente melhorou as taxas de adoção, o que significa que podemos continuar a resolver problemas mais rapidamente."
As equipes usam tudo, desde alertas Wiz no aplicativo até tíquetes de serviço e notificações por e-mail para ficar por dentro dos riscos de segurança e corrigir problemas com eficiência. Isso significava que a equipe poderia encontrar e resolver problemas imediatamente assim que uma vulnerabilidade fosse introduzida no ambiente.
A empresa também criou regras personalizadas no Wiz para se alinhar aos requisitos específicos do OTTO. "Temos um sistema de marcação para nossos recursos de nuvem e agora podemos garantir que nenhum recurso seja implantado que não esteja marcado com as informações adequadas", explicou Kleinfeld.
Usando o contexto para priorizar e colaborar na segurança Ser capaz não apenas de ver um alerta, mas também de entender o quão crítico é um problema e por que é importante resolvê-lo, reduz o tempo que a OTTO precisa para proteger seu ambiente de nuvem. "Agora sabemos que estamos olhando primeiro para as coisas importantes e podemos usar o Wiz para medir exatamente quanto tempo levamos para lidar com um problema", disse Kleinfeld. Com esses dados em mãos, o Diretor de Segurança da Informação pode demonstrar claramente o valor da segurança e descrever como a segurança permite, e não retarda, o trabalho na organização.
Como a Wiz avalia e prioriza nossos riscos automaticamente, conseguimos criar um processo mais estruturado para resolver problemas com base no impacto.
Ao consolidar, visualizando e medindo o impacto da segurança em um só lugar, o OTTO também tem uma maneira simples de relatar a jornada de segurança da organização. "Com o Wiz Dashboard, tenho uma visão ao vivo de nossa postura de segurança em um só lugar", explicou Kleinfeld. "Essa facilidade de acesso é algo que não tínhamos antes e torna minha vida muito mais fácil."
A organização continua a encontrar novas maneiras de aproveitar o Wiz para proteger seu desenvolvimento em nuvem. Ao mergulhar mais fundo em todos os elementos que compõem o complexo ambiente de nuvem da OTTO, a empresa pode continuar encontrando, gerenciando e protegendo todas as camadas de sua nuvem.