Greenlight Guru optimiza su cumplimiento normativo en AWS con Lacework

Greenlight Guru, que está basado en Amazon Web Services (AWS), ofrece software como servicio (SaaS) de administración de calidad para empresas de dispositivos médicos. A fin de mantener altos estándares de seguridad para los datos de sus clientes y estar al día con las cambiantes regulaciones del sector de los dispositivos médicos, Greenlight Guru contrató a Lacework, socio de AWS, una plataforma de seguridad basada en datos que prioriza la nube y que automatiza la seguridad a gran escala.

Con un equipo pequeño, una nueva ronda de financiación inicial y una base de clientes en rápida expansión, Greenlight Guru tenía que asegurarse de que su sistema interno de seguridad de la información funcionara de manera óptima. Tras evaluar sus sistemas existentes de monitoreo y administración de redes y seguridad, la empresa decidió que era hora de buscar una solución mejor. Estos sistemas consistían principalmente en monitores de red, observadores de registros y el apoyo de algunos socios externos. A pesar de ser eficaces, corrían el riesgo de volverse cada vez más ineficientes y difíciles de mantener y monitorear.

Como empresa que opera en el sector de los dispositivos médicos, surgieron preocupaciones adicionales sobre cómo mantenerse al día con la constante afluencia de nuevos requisitos de los organismos normativos y las agencias reguladoras, por lo que Greenlight Guru decidió contratar a Lacework, socio de AWS.

Tras una implementación fluida que no requirió ninguna configuración, Greenlight Guru sustituyó satisfactoriamente sus soluciones de seguridad multipunto por una única plataforma para la seguridad y el cumplimiento en la nube en todas las cuentas, las cargas de trabajo, los contenedores y los entornos de AWS. Greenlight Guru puede administrar mejor los riesgos derivados de las vulnerabilidades y los errores de configuración y, al mismo tiempo, monitorear continuamente la actividad de las cuentas en la nube y el comportamiento de la carga de trabajo. Este potente monitoreo se extiende desde la creación hasta el tiempo de ejecución, lo que permite responder, contener e investigar los incidentes con mayor rapidez. Con Lacework, Greenlight Guru cuenta con inteligencia de amenazas procesable que identifica las actividades maliciosas y mitiga el riesgo a medida que se introduce en su entorno.

El jefe de seguridad de Greenlight Guru, David Odmark, explica el proceso de transición a los servicios y soluciones de Lacework en AWS: “Nuestra transición a Lacework fue muy sencilla. Lacework promete cero configuraciones y descubrimos que es así. Ante cualquier anomalía que tuviéramos, recibíamos comentarios instantáneos sobre lo que había salido mal y cómo solucionarlo adecuadamente”.

Lacework se convirtió en algo esencial para las operaciones y el rendimiento de Greenlight Guru para los clientes. La empresa también utiliza Amazon EventBridge y la infraestructura como servicios de código en sus proyectos.

Lacework en AWS proporcionó a Greenlight Guru un enfoque de administración de la seguridad y el cumplimiento que es eficiente, escalable y se integra perfectamente en los flujos de trabajo de DevSecOps existentes.

Debido a la naturaleza de su sector, Greenlight Guru se enfrenta a frecuentes auditorías del sitio y debe cumplir con los más altos estándares de seguridad y protección de los datos de los clientes. Con su enfoque integral de la seguridad de los datos y la prevención de infracciones, Lacework reforzó la tranquilidad tanto del equipo de Greenlight Guru como de sus clientes. Con Lacework, Greenlight Guru puede mostrar fácilmente a sus clientes rastros de evidencias, lo que les permite disipar rápidamente las inquietudes y demostrar de manera efectiva la presencia activa de medidas reglamentarias y protocolos de seguridad en todos los recursos de los clientes.

Lacework ayuda con las auditorías, pues proporciona fácilmente una visión completa del entorno de Greenlight Guru y asigna controles específicos, como la ISO 27001, a los controles de seguridad en la nube monitoreados por Lacework. El equipo de Greenlight Guru puede elaborar informes en cualquier momento, durante diferentes periodos de tiempo, para comprobar el cumplimiento en función de su entorno. Esto informa a su equipo de las desviaciones en el cumplimiento que deben revisarse, investigarse y solucionarse. Greenlight Guru puede evitar problemas y reducir el tiempo de recopilación de pruebas antes de que se realicen las auditorías con una visión consolidada desde una única plataforma. AWS CloudTrail también admite la visibilidad mejorada de Greenlight Guru.

Odmark explica lo siguiente: “Lacework se creó teniendo en cuenta un entorno normativo y es una solución que depende en gran medida de los datos. De hecho, podemos mostrar a los clientes nuestras respuestas a los eventos del entorno en tiempo real. Es una parte tremendamente importante de nuestro conjunto de herramientas de seguridad de datos”.

Lacework proporciona un monitoreo continuo en todo el entorno de Greenlight Guru para que pueda detectar y abordar los riesgos para su negocio desde el tiempo de creación hasta el tiempo de ejecución. Esto ayuda al equipo de Greenlight Guru a permanecer alerta ante cualquier actividad anómala y a responder rápidamente a los eventos, sin necesidad de una investigación manual excesiva. “Nuestros programas de seguridad requieren que se comparen con una serie de sistemas de cumplimiento, estándares voluntarios y puntos de referencia de la industria. Lacework nos ayuda a administrar estas métricas en una ubicación central que nos alerta de los cambios a medida que se producen”, explica Odmark.

Greenlight Guru cuenta con un enfoque de seguridad por niveles que identifica los ataques desde el principio y alerta a los miembros adecuados del equipo cuando algo no cumple con las recomendaciones contextuales para dar una solución de forma eficaz.

Al clasificar los eventos del entorno de Greenlight Guru como alertas altas, medias o bajas, la plataforma de datos Polygraph® de Lacework optimiza el proceso de administración de la seguridad, lo que permite un flujo de trabajo más eficiente y productivo en toda la organización. La plataforma crea una comprensión básica del entorno único de Greenlight Guru para determinar cuál es el comportamiento normal en un momento dado, de modo que se puedan detectar las desviaciones, sin una lista preestablecida de reglas, y se puedan enviar alertas al equipo. Estas alertas permiten a Greenlight Guru ver y comprender los cambios en la nube a gran escala. Greenlight Guru implementó políticas internas y automatización en torno a estas alertas, lo que también ayuda a estandarizar las respuestas y los protocolos de seguridad del equipo.

Un equipo de tres personas en Greenlight Guru puede ejecutar de forma correcta sus operaciones de seguridad y, al mismo tiempo, asumir otras responsabilidades.

“La plataforma Lacework se encarga de todo el trabajo pesado. Esto significa que nuestro equipo puede centrarse en otras actividades importantes de la empresa y en otros aspectos de la seguridad. Esto es muy valioso”, afirma Odmark.