A Athumi desempenha um papel central na troca de dados fiáveis na Flandres, uma das três regiões da Bélgica (que representa cerca de 60% da população belga). Enquanto intermediário de dados, a sua missão exige os mais elevados níveis de proteção de dados, conformidade e capacitação dos programadores. Falámos com o CTO da Athumi, David Van den Brande, para saber como a empresa aumentou a sua maturidade em termos de segurança e porque é que a Aikido se tornou um parceiro fundamental nesse percurso.
"A Aikido é um parceiro dinâmico que responde no momento exato e com o foco certo para responder à necessidade crescente de uma cibersegurança eficaz."
Pode apresentar-se e apresentar o seu papel na Athumi?
Estou na Athumi desde o início, quando ainda éramos um programa dentro da Digitaal Vlaanderen, uma agência do governo flamengo que trabalha na transformação digital dos serviços públicos. Supervisiono a tecnologia e a infraestrutura, orientando as decisões de arquitetura para garantir a coerência, a agilidade e a adequação estratégica em toda a organização.
O que me atraiu foi a dimensão do desafio: fundir sistemas antigos com novas plataformas, equilibrando equipas de desenvolvimento descentralizadas com uma governação unificada para garantir elevados padrões de qualidade e conformidade a nível empresarial. É necessário fazer tudo isto enquanto se conduzem projectos de inovação ambiciosos e se utiliza a tecnologia para estabelecer e cultivar a colaboração entre parceiros públicos e privados.
Qual é a missão da Athumi e como é que apoiam o governo belga?
A Athumi começou como parte do Plano de Recuperação da Resiliência Flamenga durante o período da COVID para apoiar a recuperação económica na Flandres, Bélgica. Actuamos como um intermediário de dados em que governos e organizações privadas confiam para que os dados pessoais e empresariais circulem em segurança.
O GDPR e o NIS2 criaram proteções importantes, mas também dificultaram a comunicação entre os sistemas. Vimos uma lacuna no mercado: como desbloquear dados sem violar a confiança? A Athumi ajuda a preencher essa lacuna, do ponto de vista técnico, jurídico e organizacional.
Qual a importância da segurança no seu trabalho?
A segurança está no centro de tudo o que fazemos. Lidamos tanto com dados pessoais como com informações comerciais confidenciais. A confiança não é negociável. Todo o nosso ecossistema depende dela.
É por isso que investimos desde cedo num Sistema de Gestão de Segurança da Informação (ISMS) dedicado, contratámos um CISO e estruturámos a nossa organização para elevar a cibersegurança a uma responsabilidade ao nível da direção.
Que desafios enfrentou antes de trabalhar com o Aikido?
Tivemos vários desafios:
- Fragmentação: Tínhamos vários alvos de hospedagem, cada um com seu próprio pipeline de CI/CD e regras de implantação específicas.
- Custos indiretos de conformidade: As auditorias centralizadas colidiam com os fluxos de trabalho específicos das equipas.
- Distanciamento do risco por parte dos programadores: Os programadores nem sempre estavam conscientes dos impactos na segurança até ao final do ciclo.
- Falta de visibilidade: A liderança não podia dizer com confiança "nós enviamos código seguro".
A sensibilização para a segurança variava muito. Enquanto a direção precisava de garantias claras, os programadores precisavam de ferramentas tangíveis e acionáveis. O "fale o que pensa" só funciona se as pessoas tiverem os meios para o fazer.
"Eu não queria ser o outsider-CTO que empurra a segurança de cima para baixo. O Aikido ajuda os programadores a crescer, aprendendo a codificação segura no contexto; cada vulnerabilidade que corrigem torna-os melhores na prevenção da próxima."
O que é que desencadeou a formalização da sua abordagem de segurança?
Quando unificámos o nosso panorama de alojamento anteriormente fragmentado entre as equipas, tivemos a oportunidade de redesenhar o nosso pipeline de CI/CD. O nosso conselho consultivo, composto por especialistas independentes em segurança, desafiou-nos: "como é que vai tornar este novo pipeline seguro desde a conceção?
Isso levou-nos a explorar soluções que suportam equipas descentralizadas, sem impor um pipeline único para todos.
Como é que descobriu o Aikido?
O Aikido chegou até nós através de uma mistura de recomendações de colegas e contribuições do conselho consultivo. Estávamos a mapear o processo seguro ideal de CI/CD, avaliando a forma como as equipas trabalhavam. O Aikido destacou-se pela sua flexibilidade: integrava-se perfeitamente com os fluxos de trabalho das equipas existentes - quer se tratasse de MOB'ing no main, de trabalhar com branches de funcionalidades ou de enviar através de PRs.
A equipa pode manter o controlo, beneficiando ao mesmo tempo de controlos de segurança claros e automatizados.
O que é que se destacou durante a sua avaliação?
Três coisas se destacaram:
- Feedback do programador no local de trabalho: As nossas equipas aprendem fazendo, não frequentando cursos de segurança formais. O Aikido adapta-se a essa mentalidade.
- Não é intrusivo: Funciona como um sidecar. Complementa os nossos fluxos de trabalho sem os bloquear.
- Valor imediato: Os programadores obtêm informações rápidas, ajudando-os a corrigir problemas durante o fluxo de trabalho.
"O ciclo de feedback é instantâneo. Os programadores não precisam de cursos de formação, aprendem fazendo, e o Aikido apoia isso."
Como correu a integração?
Começámos de forma simples: Plugins IDE, alertas Slack, integração Jira, para que as equipas pudessem começar a ver resultados de imediato. A baixa barreira de entrada foi fundamental. Agora, estendemos a segurança do tempo de execução e a configuração da nuvem. Pode escalar ao seu ritmo, equipa a equipa.
"Não é incorporado, é um sidecar. Mantém-se o controlo do caminho da produção, enquanto o Aikido torna a segurança visível e acionável."
Como é que o Aikido mudou a sua forma de trabalhar?
A segurança já não é um bloqueador ou um silo. É um hábito: faz parte da forma como as nossas equipas enviam o código. Estamos a estabelecer ativamente:
- Maior sensibilização dos programadores
- Correção mais rápida das vulnerabilidades
- Melhor preparação para auditorias
- Painéis de controlo centrais para transparência
"O Aikido ajuda-nos a cumprir o que dizemos, transformando o nosso compromisso de segurança em acções reais em ambientes de desenvolvimento e de tempo de execução."
Ajudou no cumprimento da legislação?
Sem dúvida. Estamos a trabalhar para obter a certificação ISO, e o Aikido desempenha um papel importante na documentação, acompanhamento e comunicação da nossa postura de segurança.
A segurança não é uma caixa de verificação, com o Aikido, melhoramo-la estruturalmente e demonstramos maturidade sem esforço, em qualquer altura.
O que diria a outros líderes tecnológicos da administração pública?
Comece pela confiança. Não imponha ferramentas, mas capacite as suas equipas com as ferramentas certas. A segurança não é uma função de back-office. É uma preocupação de produto, uma preocupação de plataforma e um facilitador de negócios.
O Aikido evolui connosco. Não nos prende a uma única forma de trabalhar. Essa flexibilidade é crucial quando se está a gerir equipas descentralizadas e a aumentar a conformidade em simultâneo.
Porque é que é importante o facto de o Aikido ser europeu?
É mais importante do que se pensa. A segurança é estratégica. Apoiar a inovação europeia alinha-se com os nossos valores em torno da resiliência económica, soberania, confiança e conformidade com o quadro regulamentar europeu em evolução. Ter um parceiro europeu (e, no nosso caso, belga) que compreende o nosso contexto é uma grande vantagem.
Como descreveria o Aikido numa frase?
"O Aikido é um parceiro dinâmico que aparece com o foco certo exatamente quando mais se precisa dele: no meio de elevados padrões de segurança interna, legislação e geopolítica."
"O Aikido é uma das ferramentas que transforma políticas de segurança abstractas em práticas concretas e acionáveis. Permite-nos liderar pelo exemplo, dentro da Athumi e em todo o ecossistema belga e europeu."
.webp){kind=logo}
.png)