Olá, Alejandro! O que a Apheris faz e qual é o seu papel?

A Apheris alimenta redes federadas de dados de ciências da vida, abordando o desafio crítico de aceder a dados proprietários bloqueados em silos devido a preocupações com propriedade intelectual e privacidade. O nosso produto é uma infraestrutura de computação federada com controlos de governança, segurança e privacidade, permitindo que organizações de ciências da vida treinem colaborativamente modelos de maior qualidade em dados complementares de várias partes. Somos uma equipa relativamente pequena (cerca de 25 engenheiros), o que nos permite manter a agilidade, experimentar coisas novas e ser pioneiros na adoção de tecnologias como Aikido.

Sou Alejandro e lidero as áreas de segurança, privacidade e TI na Apheris. Com mais de 12 anos de experiência na área, passei de grandes organizações como Cisco, Rackspace e Auth0 o mundo das startups, onde construo programas de segurança, privacidade e conformidade (e as equipas por trás deles) a partir do zero. O meu foco abrange segurança de nuvem e aplicações, infraestrutura como código, automação e manutenção da resiliência dos sistemas e da privacidade dos dados.

Sou baseado na ensolarada Alicante, Espanha. Quando o tempo permite, ainda gosto de colocar a mão na massa: escrever código, ajustar detecções e construir ferramentas internas. Ultimamente, tenho mergulhado em IA e automação, introduzindo agentes amigáveis à governança para otimizar fluxos de trabalho de segurança e TI e tornar nossa stack um pouco mais inteligente (e muito mais eficiente).

Que tipo de pressão seus clientes exercem sobre suas práticas de segurança e conformidade?

Muito. E por um bom motivo. Estamos lidando com dados de saúde e vendendo para algumas das indústrias mais regulamentadas do planeta. Para um negócio empresarial, o cliente nos pediu para passar por quatro testes de penetração independentes antes de assinar. Isso representa mais de €100K gastos do lado deles apenas para iniciar a conversa.

“Nunca vi esse nível de escrutínio antes de assinar um contrato. Não há espaço para atalhos.”

A segurança é incorporada em nosso produto e processos desde o início. Somos compatíveis com ISO 27001, SOC 2 Tipo I e II, GDPR, e construímos um Trust Center para que os clientes possam facilmente ver nossa postura sem a necessidade de trocar e-mails. É tudo sobre construir confiança, rapidamente.

Como você lidava com segurança e compliance antes?

A nossa configuração era bastante típica para uma equipa em rápida evolução: fragmentada e sem centralização. Contávamos com uma combinação de ferramentas de código aberto para varredura secreta, Snyk container e gestão de dependências e Detectify varredura de aplicações web. Cada ferramenta tinha uma finalidade, mas a falta de coesão significava que tínhamos de despender um esforço significativo para manter tudo unido com muita fita adesiva e trabalho árduo (risos).

“Tínhamos essa sobrecarga de uma pequena equipe mantendo várias ferramentas de código aberto. Era um problema.”

Cada ferramenta tinha um propósito, mas nenhuma delas funcionava em conjunto. A varredura de segredos era ruidosa e difícil de gerenciar entre repositórios, a varredura de Container era complicada para os engenheiros agirem. Até mesmo tarefas básicas de conformidade, como coletar evidências ou rastrear SLAs, eram fragmentadas.

Por exemplo, era difícil agir com base nos resultados Snyk, especialmente para engenheiros que precisam conhecer diferentes ferramentas e interagir com elas de maneiras diferentes. Mesmo com a nossa infraestrutura Github como código, manter essas ferramentas atualizadas e funcionais tornou-se uma perda de tempo.

“Se eu, como engenheiro de segurança, tenho que gastar tempo decifrando descobertas, como posso esperar que nossos engenheiros ajam sobre elas? Eles simplesmente ignorarão.”

Como era o processo de coleta de evidências de conformidade antes de combinar Aikido com Vanta?

Excessivamente manual. As políticas eram armazenadas no SharePoint. O onboarding e o offboarding eram rastreados separadamente. Reunir evidências de auditoria exigia transitar por múltiplas ferramentas e planilhas.

“Manual, manual e mais manual. Cada ciclo de auditoria gerava atrito para o negócio.”

Faltava-nos uma visão unificada de vulnerabilidades, inventário, risco de fornecedores e tudo mais. E para uma equipe pequena, esse tipo de atrito operacional pode realmente atrasar as coisas quando mais importa.

Como você descreveria o papel que a tecnologia desempenha agora no suporte à sua postura de segurança e compliance?

A diferença é gritante. A segurança tornou-se invisível para a maioria dos desenvolvedores, e isso é uma coisa boa. 

Aikido para os engenheiros verem e resolverem problemas sem precisar encaminhar as questões para a equipa de segurança. Cada repositório tem insights relevantes e acionáveis. É fácil para os engenheiros se autoatenderem e resolverem problemas, sem precisar que eu traduza relatórios de segurança para eles. Sem suposições. Sem PDFs para interpretar. As integrações em pull requests e também em IDEs são incríveis.

Aikido o Vanta juntos proporcionam visibilidade e automação. Aikido verifica Aikido se há problemas e envia dados reais para o Vanta. Isso inclui:

• Rastreamento de SLA de vulnerabilidade e patches
• Detecção de malware
• Gerenciamento de mudanças
• Validação da configuração base (via Terraform e IaC)
• Aplicação de políticas do GitHub
• E treinamento automatizado de conscientização em segurança

“Agora podemos mostrar como estamos cumprindo SLAs e controles, sem compilar relatórios manualmente.”

Vanta então atua como nossa fonte única de verdade para auditorias, avaliações de clientes e supervisão interna de GRC. Ele conecta tudo com evidências que estão prontas para auditoria e são acionáveis.

O que se destacou ao avaliar ambas as ferramentas?

Para Aikido: foi a facilidade de implementação e a compatibilidade com o desenvolvimento. Esperávamos uma transição difícil, mas conseguimos colocá-lo em funcionamento em todos os repositórios em menos de uma semana. Aikido grande parte do que precisamos logo de início. Muitas das ferramentas de código aberto que já utilizávamos foram integradas à plataforma, o que tornou tudo mais familiar e reduziu os custos de migração. Graças à nossa abordagem de configuração como código do GitHub, conseguimos implementá-lo em todos os repositórios em apenas alguns dias, muito mais rápido do que inicialmente prevíamos.

“Com base em experiências anteriores, esperávamos uma transição lenta. Em vez disso, migramos tudo em uma semana, sem interromper ninguém.”

Para a Vanta: foi a amplitude da automação e a rapidez com que conseguimos reduzir a recolha manual de evidências. As integrações com Aikido, Microsoft Defender, GitHub e outros tornaram-na a opção certa para centralizar a conformidade.

Juntos, eles reduziram tanto o esforço quanto o risco. Ganhamos visibilidade, reduzimos o ruído e passamos para uma configuração que não exige uma pessoa em tempo integral para monitorá-la.

Você pode compartilhar um momento em que o Aikido e o Vanta economizaram seu tempo ou estresse?

Com certeza. O Relatório de Comparação de Equipas Aikido nos dá uma excelente visão sobre o desempenho das diferentes equipas, e nós até publicamos o relatório no Slack. Não se trata de competição, propriamente dita, mas definitivamente torna a segurança mais divertida de uma forma saudável.

Dito isto, o AutoFix também se destaca. Não apenas pelo que faz, mas pela rapidez com que a Aikido agiu em resposta ao nosso feedback. No início, os nossos padrões de PR impediram o Autofix de funcionar corretamente, pois exigimos padrões rígidos de pull request, como título de PR ou mensagens de commit. Em poucas semanas, a equipa adicionou suporte para a nossa configuração específica.

Viemos de soluções Enterprise que não respondem ao feedback do cliente (já que somos uma empresa pequena), exigem tickets de suporte com longos prazos de resposta, mesmo para questões mínimas, e você só ouve seus gerentes de conta pouco antes do ciclo de renovação.

“A equipe pegou nosso feedback e lançou uma correção em semanas. Esse tipo de responsividade importa.”

Do lado da Vanta, ter sinais de segurança do Aikido para os nossos painéis de conformidade significa que não precisamos mais nos esforçar para encontrar respostas quando os clientes perguntam: «Como vocês gerenciam as vulnerabilidades?» A resposta já está lá, com contexto e acompanhamento do SLA.

E, finalmente: como resumiria o impacto Aikido do Vanta?

Aikido a Vanta proporcionam-nos tranquilidade. A segurança e a conformidade estão garantidas, para que os nossos engenheiros possam concentrar-se na construção.”