Athumi desempenha um papel central na habilitação da troca de dados confiável em Flandres, uma das três regiões da Bélgica (responsável por aproximadamente 60% da população belga). Como intermediário de dados, sua missão exige os mais altos níveis de proteção de dados, conformidade e empoderamento do desenvolvedor. Conversamos com o CTO da Athumi, David Van den Brande, para explorar como a empresa escalou sua maturidade de segurança e por que Aikido se tornou um parceiro chave nessa jornada.

“Aikido é um parceiro dinâmico que responde no momento certo com o foco adequado para atender à crescente necessidade de cibersegurança eficaz.”

Você pode se apresentar e falar sobre seu papel na Athumi?

Estou na Athumi desde o início, quando ainda éramos um programa dentro da Digitaal Vlaanderen, uma agência do governo flamengo que trabalha na transformação digital de serviços públicos. Supervisiono tanto a tecnologia quanto a infraestrutura, orientando decisões arquitetônicas para garantir coerência, agilidade e alinhamento estratégico em toda a organização.

O que me atraiu foi a magnitude do desafio: mesclar sistemas legados com novas plataformas, equilibrar equipes de desenvolvimento descentralizadas com governança unificada para garantir altos padrões de qualidade e conformidade em nível corporativo. É preciso fazer tudo isso enquanto se impulsionam projetos de inovação ambiciosos e se aproveita a tecnologia para estabelecer e cultivar a colaboração entre parceiros públicos e privados.

Qual é a missão da Athumi e como vocês apoiam o governo belga?

Athumi começou como parte do Plano de Recuperação de Resiliência Flamenga durante o período da COVID para apoiar a recuperação econômica em Flandres, Bélgica. Atuamos como um intermediário de dados que é confiável por governos e organizações privadas para fazer com que dados pessoais e empresariais fluam com segurança.

GDPR e NIS2 criaram proteções importantes, mas também dificultaram a comunicação entre os sistemas. Vimos uma lacuna no mercado: como você desbloqueia dados sem violar a confiança? A Athumi ajuda a preencher essa lacuna, técnica, legal e organizacionalmente.

Qual a importância da segurança no seu trabalho?

A segurança está no centro de tudo o que fazemos. Lidamos tanto com dados pessoais quanto com informações comerciais confidenciais. A confiança é inegociável. Todo o nosso ecossistema depende dela.

É por isso que investimos cedo em um Sistema de Gestão de Segurança da Informação (SGSI) dedicado, contratamos um CISO e estruturamos nossa organização para elevar a cibersegurança como uma responsabilidade de nível de diretoria.

Quais desafios você enfrentava antes de trabalhar com Aikido?

Tínhamos múltiplos desafios:

• Fragmentação: Tínhamos múltiplos alvos de hospedagem, cada um com seu próprio pipeline de CI/CD e regras de implantação específicas.
• Sobrecarga de conformidade: Auditorias centralizadas entravam em conflito com os fluxos de trabalho específicos da equipe.
• Distância do desenvolvedor do risco: Os desenvolvedores nem sempre estavam cientes dos impactos de segurança até o final do ciclo.
• Falta de visibilidade: A liderança não conseguia afirmar com confiança “entregamos código seguro.”

A conscientização sobre segurança variava muito. Enquanto a diretoria precisava de garantias claras, os desenvolvedores precisavam de ferramentas tangíveis e acionáveis. "Faça o que você prega" só funciona se as pessoas tiverem os meios para agir.

“Eu não queria ser o CTO de fora impondo a segurança de cima para baixo. Aikido ajuda os desenvolvedores a crescer aprendendo codificação segura em contexto; cada vulnerabilidade que eles corrigem os torna melhores na prevenção da próxima.”

Qual foi o gatilho para formalizar sua abordagem de segurança?

Quando unificamos nossa paisagem de hospedagem anteriormente fragmentada entre as equipes, isso nos deu uma tela em branco para redesenhar nosso pipeline de CI/CD. Nosso conselho consultivo, composto por especialistas em segurança independentes, nos desafiou: ‘como vocês tornarão este novo pipeline seguro por design?’

Isso nos levou a explorar soluções que suportam equipes descentralizadas, sem impor um pipeline de tamanho único. 

Como você descobriu o Aikido?

Aikido chegou até nós por meio de uma combinação de recomendações de colegas e contribuições do conselho consultivo. Estávamos mapeando o processo ideal de CI/CD seguro, avaliando como as equipes trabalhavam. Aikido se destacou por sua flexibilidade: ele se integrou perfeitamente aos fluxos de trabalho existentes da equipe – seja trabalhando em MOB no `main`, com `feature branches` ou entregando via `PRs`.

A equipe conseguiu manter o controle, enquanto ainda se beneficiava de verificações de segurança claras e automatizadas.

O que se destacou durante sua avaliação?

Três coisas se destacaram:

1. Feedback de desenvolvedores em contexto: Nossas equipes aprendem fazendo, não participando de cursos formais de segurança. Aikido se encaixa nessa mentalidade.
   
2. Não intrusividade: Ele roda como um sidecar. Ele complementa nossos fluxos de trabalho sem bloqueá-los.
   
3. Valor imediato: Desenvolvedores obtêm insights rápidos, ajudando-os a corrigir problemas no fluxo de trabalho.
   

“O ciclo de feedback é instantâneo. Os desenvolvedores não precisam de cursos de treinamento, eles aprendem fazendo, e Aikido apoia isso.”

Como foi a integração?

Começamos de forma simples: plugins de IDE, alertas do Slack, integração com Jira, para que as equipes pudessem começar a ver resultados imediatamente. A baixa barreira de entrada foi fundamental. Agora, expandimos para segurança em tempo de execução e configuração de Cloud. Você pode escalá-lo no seu ritmo, equipe por equipe.

“Não é embarcado, é um sidecar. Você mantém o controle do seu caminho de produção, enquanto Aikido torna a segurança visível e acionável.”

Como Aikido mudou sua forma de trabalhar?

A segurança não é mais um bloqueador ou um silo. É um hábito: parte de como nossas equipes entregam código. Estamos ativamente estabelecendo:

• Mais conscientização entre os desenvolvedores
• Remediação de vulnerabilidades mais rápida
• Melhor prontidão para auditoria
• Dashboards centrais para transparência
  

“Aikido nos ajuda a colocar em prática o que dizemos, transformando nosso compromisso de segurança em ação real em todos os ambientes de desenvolvimento e de tempo de execução.”

Ajudou com a conformidade?

Absolutamente. Estamos trabalhando para a certificação ISO, e Aikido desempenha um grande papel na documentação, rastreamento e comunicação de nossa postura de segurança.

Segurança não é um checklist; com Aikido, nós a melhoramos estruturalmente e demonstramos maturidade sem esforço, a qualquer momento.

O que você diria a outros líderes de tecnologia do governo?

Comece com confiança. Não imponha ferramentas, mas capacite suas equipes com as ferramentas certas. Segurança não é uma função de back-office. É uma preocupação de produto, uma preocupação de plataforma e um facilitador de negócios.

Aikido evolui conosco. Não nos prende a uma única forma de trabalhar. Essa flexibilidade é crucial quando você está gerenciando equipes descentralizadas e escalando a conformidade simultaneamente.

Por que é importante que Aikido seja europeu?

Importa mais do que você imagina. A segurança é estratégica. Apoiar a inovação europeia alinha-se com nossos valores de resiliência econômica, soberania, confiança e conformidade com o crescente arcabouço regulatório europeu. Ter um parceiro europeu (e, no nosso caso, belga) que entende nosso contexto é uma grande vantagem.

Como você descreveria o Aikido em uma frase?

“A Aikido é um parceiro dinâmico que surge com o foco certo exatamente quando você mais precisa: em meio a altos padrões internos de segurança, legislação e geopolítica.”