A Athumi desempenha um papel central na troca de dados fiáveis na Flandres, uma das três regiões da Bélgica (que representa cerca de 60% da população belga). Enquanto intermediário de dados, a sua missão exige os mais elevados níveis de proteção de dados, conformidade e capacitação dos programadores. Falámos com o CTO da Athumi, David Van den Brande, para saber como a empresa aumentou a sua maturidade em termos de segurança e porque é que a Aikido se tornou um parceiro fundamental nesse percurso.

"A Aikido é um parceiro dinâmico que responde no momento exato e com o foco certo para responder à necessidade crescente de uma cibersegurança eficaz."

Pode apresentar-se e apresentar o seu papel na Athumi?

Estou na Athumi desde o início, quando ainda éramos um programa dentro da Digitaal Vlaanderen, uma agência do governo flamengo que trabalha na transformação digital dos serviços públicos. Supervisiono a tecnologia e a infraestrutura, orientando as decisões de arquitetura para garantir a coerência, a agilidade e a adequação estratégica em toda a organização.

O que me atraiu foi a dimensão do desafio: fundir sistemas antigos com novas plataformas, equilibrando equipas de desenvolvimento descentralizadas com uma governação unificada para garantir elevados padrões de qualidade e conformidade a nível empresarial. É necessário fazer tudo isto enquanto se conduzem projectos de inovação ambiciosos e se utiliza a tecnologia para estabelecer e cultivar a colaboração entre parceiros públicos e privados.

Qual é a missão da Athumi e como é que apoiam o governo belga?

A Athumi começou como parte do Plano de Recuperação da Resiliência Flamenga durante o período da COVID para apoiar a recuperação económica na Flandres, Bélgica. Actuamos como um intermediário de dados em que governos e organizações privadas confiam para que os dados pessoais e empresariais circulem em segurança.

O GDPR e o NIS2 criaram proteções importantes, mas também dificultaram a comunicação entre os sistemas. Vimos uma lacuna no mercado: como desbloquear dados sem violar a confiança? A Athumi ajuda a preencher essa lacuna, do ponto de vista técnico, jurídico e organizacional.

Qual a importância da segurança no seu trabalho?

A segurança está no centro de tudo o que fazemos. Lidamos tanto com dados pessoais como com informações comerciais confidenciais. A confiança não é negociável. Todo o nosso ecossistema depende dela.

É por isso que investimos desde cedo num Sistema de Gestão de Segurança da Informação (ISMS) dedicado, contratámos um CISO e estruturámos a nossa organização para elevar a cibersegurança a uma responsabilidade ao nível da direção.

Que desafios enfrentou antes de trabalhar com o Aikido?

Tivemos vários desafios:

• Fragmentação: Tínhamos vários alvos de hospedagem, cada um com seu próprio pipeline de CI/CD e regras de implantação específicas.
• Custos indiretos de conformidade: As auditorias centralizadas colidiam com os fluxos de trabalho específicos das equipas.
• Distanciamento do risco por parte dos programadores: Os programadores nem sempre estavam conscientes dos impactos na segurança até ao final do ciclo.
• Falta de visibilidade: A liderança não podia dizer com confiança "nós enviamos código seguro".

A sensibilização para a segurança variava muito. Enquanto a direção precisava de garantias claras, os programadores precisavam de ferramentas tangíveis e acionáveis. O "fale o que pensa" só funciona se as pessoas tiverem os meios para o fazer.

"Eu não queria ser o outsider-CTO que empurra a segurança de cima para baixo. O Aikido ajuda os programadores a crescer, aprendendo a codificação segura no contexto; cada vulnerabilidade que corrigem torna-os melhores na prevenção da próxima."

O que é que desencadeou a formalização da sua abordagem de segurança?

Quando unificámos o nosso panorama de alojamento anteriormente fragmentado entre as equipas, tivemos a oportunidade de redesenhar o nosso pipeline de CI/CD. O nosso conselho consultivo, composto por especialistas independentes em segurança, desafiou-nos: "como é que vai tornar este novo pipeline seguro desde a conceção?

Isso levou-nos a explorar soluções que suportam equipas descentralizadas, sem impor um pipeline único para todos. 

Como é que descobriu o Aikido?

O Aikido chegou até nós através de uma mistura de recomendações de colegas e contribuições do conselho consultivo. Estávamos a mapear o processo seguro ideal de CI/CD, avaliando a forma como as equipas trabalhavam. O Aikido destacou-se pela sua flexibilidade: integrava-se perfeitamente com os fluxos de trabalho das equipas existentes - quer se tratasse de MOB'ing no main, de trabalhar com branches de funcionalidades ou de enviar através de PRs.

A equipa pode manter o controlo, beneficiando ao mesmo tempo de controlos de segurança claros e automatizados.

O que é que se destacou durante a sua avaliação?

Três coisas se destacaram:

1. Feedback do programador no local de trabalho: As nossas equipas aprendem fazendo, não frequentando cursos de segurança formais. O Aikido adapta-se a essa mentalidade.
   
2. Não é intrusivo: Funciona como um sidecar. Complementa os nossos fluxos de trabalho sem os bloquear.
   
3. Valor imediato: Os programadores obtêm informações rápidas, ajudando-os a corrigir problemas durante o fluxo de trabalho.
   

"O ciclo de feedback é instantâneo. Os programadores não precisam de cursos de formação, aprendem fazendo, e o Aikido apoia isso."

Como correu a integração?

Começámos de forma simples: Plugins IDE, alertas Slack, integração Jira, para que as equipas pudessem começar a ver resultados de imediato. A baixa barreira de entrada foi fundamental. Agora, estendemos a segurança do tempo de execução e a configuração da nuvem. Pode escalar ao seu ritmo, equipa a equipa.

"Não é incorporado, é um sidecar. Mantém-se o controlo do caminho da produção, enquanto o Aikido torna a segurança visível e acionável."

Como é que o Aikido mudou a sua forma de trabalhar?

A segurança já não é um bloqueador ou um silo. É um hábito: faz parte da forma como as nossas equipas enviam o código. Estamos a estabelecer ativamente:

• Maior sensibilização dos programadores
• Correção mais rápida das vulnerabilidades
• Melhor preparação para auditorias
• Painéis de controlo centrais para transparência
  

"O Aikido ajuda-nos a cumprir o que dizemos, transformando o nosso compromisso de segurança em acções reais em ambientes de desenvolvimento e de tempo de execução."

Ajudou no cumprimento da legislação?

Sem dúvida. Estamos a trabalhar para obter a certificação ISO, e o Aikido desempenha um papel importante na documentação, acompanhamento e comunicação da nossa postura de segurança.

A segurança não é uma caixa de verificação, com o Aikido, melhoramo-la estruturalmente e demonstramos maturidade sem esforço, em qualquer altura.

O que diria a outros líderes tecnológicos da administração pública?

Comece pela confiança. Não imponha ferramentas, mas capacite as suas equipas com as ferramentas certas. A segurança não é uma função de back-office. É uma preocupação de produto, uma preocupação de plataforma e um facilitador de negócios.

O Aikido evolui connosco. Não nos prende a uma única forma de trabalhar. Essa flexibilidade é crucial quando se está a gerir equipas descentralizadas e a aumentar a conformidade em simultâneo.

Que importância tem o facto de o Aikido ser europeu?

É mais importante do que se pensa. A segurança é estratégica. Apoiar a inovação europeia alinha-se com os nossos valores em torno da resiliência económica, soberania, confiança e conformidade com o quadro regulamentar europeu em evolução. Ter um parceiro europeu (e, no nosso caso, belga) que compreende o nosso contexto é uma grande vantagem.

Como descreveria o Aikido numa frase?

"O Aikido é um parceiro dinâmico que aparece com o foco certo exatamente quando mais se precisa dele: no meio de elevados padrões de segurança interna, legislação e geopolítica."