Olá Alejandro! O que é que o Apheris faz e qual é o teu papel?

A Apheris fornece redes federadas de dados de ciências da vida, abordando o desafio crítico de aceder a dados proprietários bloqueados em silos devido a preocupações com a propriedade intelectual e a privacidade. O nosso produto é uma infraestrutura de computação federada com controlos de governação, segurança e privacidade, permitindo que as organizações de ciências da vida treinem de forma colaborativa modelos de maior qualidade em dados complementares de várias partes. Somos uma equipa relativamente pequena (cerca de 25 engenheiros), o que nos permite manter a agilidade, experimentar coisas novas e ser os primeiros a adotar tecnologias como o Aikido.

Chamo-me Alejandro e estou a liderar a segurança, privacidade e TI na Apheris. Com mais de 12 anos na área, passei de grandes organizações como a Cisco, a Rackspace e a Auth0 para o mundo das startups, onde construo programas de segurança, privacidade e conformidade (e as equipas por detrás deles) a partir do zero. O meu foco abrange segurança na nuvem e em aplicações, infraestrutura como código, automação e manutenção de sistemas resilientes e dados privados.

Estou sediado na solarenga Alicante, em Espanha. Quando o tempo permite, ainda gosto de pôr a mão na massa: escrever código, ajustar detecções e criar ferramentas internas. Ultimamente, tenho mergulhado na IA e na automação, introduzindo agentes amigáveis à governança para simplificar os fluxos de trabalho de segurança e TI e tornar nossa pilha um pouco mais inteligente (e muito mais eficiente).

Que tipo de pressão é que os seus clientes exercem sobre as suas práticas de segurança e conformidade?

Muito. E por uma boa razão. Estamos a lidar com dados de saúde e a vender para algumas das indústrias mais regulamentadas do planeta. Para um negócio empresarial, o cliente pediu-nos que nos submetêssemos a quatro testes de penetração independentes antes de assinar. Foram mais de 100 mil euros gastos por eles só para começar a conversa.

"Nunca tinha visto este nível de controlo antes de assinar um contrato. Não há lugar para atalhos".

A segurança está incorporada no nosso produto e nos nossos processos desde o início. Temos a ISO 27001, SOC 2 Tipo I e II, estamos em conformidade com o RGPD e criámos um Centro de Confiança para que os clientes possam ver facilmente a nossa postura sem terem de enviar e-mails para trás e para a frente. O objetivo é criar confiança rapidamente.

Como é que lidava anteriormente com a segurança e a conformidade?

A nossa configuração era bastante típica de uma equipa em rápida evolução: fragmentada e com falta de centralização. Contávamos com uma mistura de ferramentas de código aberto para verificação de segredos, Snyk para segurança container e gerenciamento de dependências e Detectify para verificação de aplicativos da Web. Cada ferramenta servia um propósito, mas a falta de coesão significava que tínhamos de fazer um esforço significativo para manter tudo unido com muita fita adesiva e graxa de cotovelo (risos).

"Tínhamos a sobrecarga de uma pequena equipa que mantinha várias ferramentas de código aberto. Era uma chatice".

Cada ferramenta servia um propósito, mas nenhuma delas funcionava em conjunto. O scanning secreto era ruidoso e difícil de gerir entre repos, o scanning container era difícil para os engenheiros actuarem. Mesmo as tarefas básicas de conformidade, como a recolha de provas ou o acompanhamento de SLAs, estavam fragmentadas.

Por exemplo, era difícil atuar sobre os resultados do Snyk, especialmente para os engenheiros que precisam de conhecer diferentes ferramentas e interagir com elas de diferentes formas. Mesmo com a nossa infraestrutura Github como código, manter estas ferramentas actualizadas e funcionais tornou-se uma perda de tempo.

"Se eu, como engenheiro de segurança, tiver de perder tempo a decifrar descobertas, como posso esperar que os nossos engenheiros actuem sobre elas? Eles vão simplesmente ignorá-las".

Como era o processo de recolha de provas de conformidade antes de combinar o Aikido com o Vanta?

Dolorosamente manual. As políticas eram armazenadas no SharePoint. A integração e a desinstalação eram controladas separadamente. Para reunir provas de auditoria, era necessário recorrer a várias ferramentas e folhas de cálculo.

"Manual, manual e mais manual. Cada ciclo de auditoria criava um entrave à atividade."

Faltava-nos uma visão unificada das vulnerabilidades, do inventário, do risco do fornecedor, etc. E para uma equipa pequena, este tipo de fricção operacional pode realmente atrasar as coisas quando é mais importante

Como descreveria o papel que a tecnologia desempenha atualmente no apoio à sua postura de segurança e conformidade?

A diferença é noite e dia. A segurança tornou-se invisível para a maioria dos programadores, e isso é bom. 

O Aikido tornou mais fácil para os engenheiros verem e resolverem os problemas sem terem de voltar a colocar questões à equipa de segurança. Cada repositório tem informações relevantes e acionáveis. É fácil para os engenheiros resolverem os problemas sem precisarem que eu traduza os relatórios de segurança para eles. Sem adivinhações. Sem PDFs para interpretar. As integrações em solicitações pull e também em IDEs são fantásticas.

O Aikido e o Vanta juntos dão-nos visibilidade e automatização. O Aikido verifica continuamente a existência de problemas e alimenta o Vanta com dados reais. Isso inclui:

• Acompanhamento do SLA de vulnerabilidades e patches
• Deteção de malware
• Gestão da mudança
• Validação da configuração de base (via Terraform e IaC)
• Aplicação da política do GitHub
• E formação automatizada de sensibilização para a segurança

"Agora podemos mostrar como estamos a cumprir os SLAs e os controlos, sem compilar relatórios manualmente."

A Vanta atua então como nossa única fonte de verdade para auditorias, análises de clientes e supervisão interna de GRC. Ele une tudo com evidências que estão prontas para a auditoria e são acionáveis.

O que é que se destacou na avaliação de ambas as ferramentas?

Para o Aikido: foi a facilidade de implementação e a facilidade de desenvolvimento. Esperávamos uma transição dolorosa, mas conseguimos que o Aikido funcionasse em todos os repositórios em menos de uma semana. O Aikido cobre muito do que precisamos logo à partida. Muitas das ferramentas de código aberto que já estávamos a utilizar foram integradas na plataforma, o que tornou as coisas familiares e reduziu as nossas despesas de migração. Graças à nossa abordagem de configuração como código do GitHub, conseguimos implementá-lo nos repositórios em apenas alguns dias, muito mais depressa do que inicialmente previsto.

"Com base na experiência anterior, esperávamos uma transição lenta. Em vez disso, migrámos tudo numa semana, sem perturbar ninguém."

Para a Vanta: foi a amplitude da automação e a rapidez com que pudemos reduzir a coleta manual de evidências. As integrações com o Aikido, o Microsoft Defender, o GitHub e outros tornaram-no a opção certa para centralizar a conformidade.

Juntos, eles reduziram o esforço e o risco. Ganhámos visibilidade, reduzimos o ruído e mudámos para uma configuração que não requer uma pessoa a tempo inteiro para tomar conta dela.

Pode partilhar um momento em que o Aikido e o Vanta lhe pouparam tempo ou stress?

Sem dúvida. O Relatório de Comparação de Equipas do Aikido dá-nos uma excelente perspetiva do desempenho das diferentes equipas, e até publicamos o relatório no Slack. Não se trata de competição, por si só, mas definitivamente gamifica a segurança de uma forma saudável.

Dito isto, o AutoFix também se destaca. Não só pelo que faz, mas também pela rapidez com que a equipa do Aikido reagiu ao nosso feedback. No início, nossos padrões de PR impediram que o Autofix funcionasse corretamente, pois exigimos padrões rígidos de pull request, como título de PR ou mensagens de commit. Em poucas semanas, a equipa adicionou suporte para a nossa configuração específica.

Viemos de soluções empresariais que não respondem às reacções dos clientes (uma vez que somos uma pequena loja), requerem bilhetes de apoio de longa duração, mesmo para questões menores, e só se tem notícias dos gestores de conta pouco antes do ciclo de renovação.

"A equipa recebeu os nossos comentários e enviou uma correção no espaço de semanas. Esse tipo de capacidade de resposta é importante."

Do lado da Vanta, ter sinais de segurança do Aikido a fluir para os nossos painéis de conformidade significa que já não temos de procurar respostas quando os clientes perguntam: "Como é que gerem as vulnerabilidades?" Já está lá, com contexto e acompanhamento de SLA.

E finalmente: como é que resumiria o impacto do Aikido e do Vanta?

"O Aikido e o Vanta dão-nos paz de espírito. A segurança e a conformidade estão cobertas, pelo que os nossos engenheiros podem concentrar-se na construção."