Olá, Alejandro! O que a Apheris faz e qual é o seu papel?
A Apheris impulsiona redes de dados federadas para ciências da vida, abordando o desafio crítico de acessar dados proprietários bloqueados em silos devido a preocupações com IP e privacidade. Nosso produto é uma infraestrutura de computação federada com controles de governança, segurança e privacidade, permitindo que organizações de ciências da vida treinem colaborativamente modelos de maior qualidade em dados complementares de múltiplas partes. Somos uma equipe relativamente pequena (cerca de 25 engenheiros), o que nos permite manter a agilidade, experimentar coisas novas e ser early adopters de tecnologias como o Aikido.
Sou Alejandro e lidero a segurança, privacidade e TI na Apheris. Com mais de 12 anos na área, passei de grandes organizações como Cisco, Rackspace e Auth0 para o mundo das startups, onde construo programas de segurança, privacidade e conformidade (e as equipes por trás deles) do zero. Meu foco abrange segurança de Cloud e aplicações, infraestrutura como código, automação e manutenção de sistemas resilientes e dados privados.
Sou baseado na ensolarada Alicante, Espanha. Quando o tempo permite, ainda gosto de colocar a mão na massa: escrever código, ajustar detecções e construir ferramentas internas. Ultimamente, tenho mergulhado em IA e automação, introduzindo agentes amigáveis à governança para otimizar fluxos de trabalho de segurança e TI e tornar nossa stack um pouco mais inteligente (e muito mais eficiente).
Que tipo de pressão seus clientes exercem sobre suas práticas de segurança e conformidade?
Muito. E por um bom motivo. Estamos lidando com dados de saúde e vendendo para algumas das indústrias mais regulamentadas do planeta. Para um negócio empresarial, o cliente nos pediu para passar por quatro testes de penetração independentes antes de assinar. Isso representa mais de €100K gastos do lado deles apenas para iniciar a conversa.
“Nunca vi esse nível de escrutínio antes de assinar um contrato. Não há espaço para atalhos.”
A segurança é incorporada em nosso produto e processos desde o início. Somos compatíveis com ISO 27001, SOC 2 Tipo I e II, GDPR, e construímos um Trust Center para que os clientes possam facilmente ver nossa postura sem a necessidade de trocar e-mails. É tudo sobre construir confiança, rapidamente.
Como você lidava com segurança e compliance antes?
Nossa configuração era bastante típica para uma equipe ágil: fragmentada e sem centralização. Contávamos com uma mistura de ferramentas de código aberto para varredura de segredos, Snyk para segurança de contêineres e gerenciamento de dependências, e Detectify para varredura de aplicações web. Cada ferramenta servia a um propósito, mas a falta de coesão significava que tínhamos que gastar um esforço significativo para manter tudo junto com muita fita adesiva e esforço manual (risos).
“Tínhamos essa sobrecarga de uma pequena equipe mantendo várias ferramentas de código aberto. Era um problema.”
Cada ferramenta tinha um propósito, mas nenhuma delas funcionava em conjunto. A varredura de segredos era ruidosa e difícil de gerenciar entre repositórios, a varredura de Container era complicada para os engenheiros agirem. Até mesmo tarefas básicas de conformidade, como coletar evidências ou rastrear SLAs, eram fragmentadas.
Por exemplo, a saída do Snyk era difícil de agir, especialmente para engenheiros que precisam conhecer diferentes ferramentas e interagir com elas de maneiras distintas. Mesmo com nossa infraestrutura como código no Github, manter essas ferramentas atualizadas e funcionais tornou-se um dreno de tempo.
“Se eu, como engenheiro de segurança, tenho que gastar tempo decifrando descobertas, como posso esperar que nossos engenheiros ajam sobre elas? Eles simplesmente ignorarão.”
Como era o processo de coleta de evidências de conformidade antes de combinar Aikido com Vanta?
Excessivamente manual. As políticas eram armazenadas no SharePoint. O onboarding e o offboarding eram rastreados separadamente. Reunir evidências de auditoria exigia transitar por múltiplas ferramentas e planilhas.
“Manual, manual e mais manual. Cada ciclo de auditoria gerava atrito para o negócio.”
Faltava-nos uma visão unificada de vulnerabilidades, inventário, risco de fornecedores e tudo mais. E para uma equipe pequena, esse tipo de atrito operacional pode realmente atrasar as coisas quando mais importa.
Como você descreveria o papel que a tecnologia desempenha agora no suporte à sua postura de segurança e compliance?
A diferença é gritante. A segurança tornou-se invisível para a maioria dos desenvolvedores, e isso é uma coisa boa.
O Aikido facilitou para os engenheiros verem e resolverem problemas sem precisar encaminhar perguntas de volta para a equipe de segurança. Cada repositório possui insights relevantes e acionáveis. É fácil para os engenheiros se autoatenderem e resolverem problemas, sem que eu precise traduzir relatórios de segurança para eles. Sem suposições. Sem PDFs para interpretar. As integrações em pull requests e também em IDEs são fantásticas.
O Aikido e a Vanta juntos nos proporcionam visibilidade e automação. O Aikido verifica continuamente por problemas e alimenta dados reais na Vanta. Isso inclui:
- Rastreamento de SLA de vulnerabilidade e patches
- Detecção de malware
- Gerenciamento de mudanças
- Validação da configuração base (via Terraform e IaC)
- Aplicação de políticas do GitHub
- E treinamento automatizado de conscientização em segurança
“Agora podemos mostrar como estamos cumprindo SLAs e controles, sem compilar relatórios manualmente.”
Vanta então atua como nossa fonte única de verdade para auditorias, avaliações de clientes e supervisão interna de GRC. Ele conecta tudo com evidências que estão prontas para auditoria e são acionáveis.
O que se destacou ao avaliar ambas as ferramentas?
Para o Aikido: foi a facilidade de implementação e a amigabilidade para desenvolvedores. Esperávamos uma transição dolorosa, mas o tivemos funcionando em todos os repositórios em menos de uma semana. O Aikido cobre muito do que precisamos de imediato. Muitas das ferramentas de código aberto que já usávamos foram integradas à plataforma, o que tornou as coisas familiares e reduziu nossa sobrecarga de migração. Graças à nossa abordagem de GitHub setup-as-code, conseguimos implementá-lo em todos os repositórios em apenas alguns dias, muito mais rápido do que inicialmente prevíamos.
“Com base em experiências anteriores, esperávamos uma transição lenta. Em vez disso, migramos tudo em uma semana, sem interromper ninguém.”
Para a Vanta: foi a amplitude da automação e a rapidez com que conseguimos reduzir a coleta manual de evidências. As integrações com Aikido, Microsoft Defender, GitHub e outros tornaram-no a escolha certa para centralizar a conformidade.
Juntos, eles reduziram tanto o esforço quanto o risco. Ganhamos visibilidade, reduzimos o ruído e passamos para uma configuração que não exige uma pessoa em tempo integral para monitorá-la.
Você pode compartilhar um momento em que o Aikido e o Vanta economizaram seu tempo ou estresse?
Com certeza. O Relatório de Comparação de Equipes do Aikido nos dá uma ótima perspectiva sobre o desempenho de diferentes equipes, e nós até publicamos o relatório no Slack. Não se trata de competição, por si só, mas definitivamente gamifica a segurança de uma forma saudável.
Dito isso, o AutoFix também se destaca. Não apenas pelo que faz, mas pela rapidez com que a equipe do Aikido agiu com base em nosso feedback. No início, nossos padrões de PR impediam que o Autofix funcionasse corretamente, pois exigimos padrões rigorosos para pull requests, como título do PR ou mensagens de commit. Em poucas semanas, a equipe adicionou suporte para nossa configuração específica.
Viemos de soluções Enterprise que não respondem ao feedback do cliente (já que somos uma empresa pequena), exigem tickets de suporte com longos prazos de resposta, mesmo para questões mínimas, e você só ouve seus gerentes de conta pouco antes do ciclo de renovação.
“A equipe pegou nosso feedback e lançou uma correção em semanas. Esse tipo de responsividade importa.”
Do lado da Vanta, ter sinais de segurança do Aikido fluindo para nossos painéis de conformidade significa que não precisamos mais correr atrás de respostas quando os clientes perguntam: “Como vocês gerenciam vulnerabilidades?” Já está lá, com contexto e rastreamento de SLA.
E, finalmente: como você resumiria o impacto do Aikido e da Vanta?
“Aikido e Vanta nos dão tranquilidade. Segurança e conformidade estão cobertas, para que nossos engenheiros possam focar na construção.”
