Onde a UX encontra a AppSec: A mudança da gravidade para uma segurança integrada e proactiva

Introdução sobre Gravidade e Segurança na conceção de produtos digitais

Olá Ruben! Podes falar-nos um pouco sobre ti e sobre a Gravity?

Claro que sim! Chamo-me Ruben de Baat e sou consultor digital da Gravity.

A Gravity começou como uma agência altamente técnica focada no desenvolvimento de plataformas personalizadas, aplicativos móveis e integrações complexas. Desde que nos juntámos ao Loyals Group, expandimos a nossa experiência, mantendo-nos fiéis ao nosso valor principal: A simplicidade move. Independentemente da complexidade da tecnologia nos bastidores, garantimos sempre uma experiência de utilizador perfeita e intuitiva.

Como consultor digital, faço a ponte entre a empresa e a tecnologia, ligando clientes e programadores, tirando partido da minha experiência em UI/UX, DevOps e negócios. Ajudo a criar soluções digitais escaláveis e seguras, traduzindo as necessidades dos clientes em requisitos técnicos, garantindo a arquitetura correta, a segurança e o valor a longo prazo. 

‍

"O meu objetivo é desafiar os clientes e os programadores a colaborarem eficazmente, ultrapassando os limites para criar a melhor solução digital possível."

Que papel desempenha a segurança numa agência digital como a Gravity?

A segurança é uma parte fundamental do nosso trabalho. Desenvolvemos e gerimos soluções digitais personalizadas para os clientes, desde plataformas completas e aplicações móveis a ferramentas de backend, portais de administração e integrações com todo o tipo de soluções SaaS, como sistemas ERP e CRM.

À medida que assumimos mais projectos, a segurança e os testes estão a tornar-se cada vez mais importantes. Mas simplesmente adicionar mais mão de obra não é uma solução sustentável. É por isso que nos voltámos para a automatização da segurança. Anteriormente, a segurança era tratada de forma reactiva, através de verificações periódicas e acordos contratuais com os clientes. Mas vimos uma necessidade crescente de uma abordagem proactiva, o que nos levou ao Aikido.
‍

Como é que o Aikido se enquadra no fluxo de trabalho do dia a dia

Como é que integrou o Aikido no seu trabalho?

Criámos uma ferramenta de monitorização da segurança interna que se integra no Aikido. Isto permite-nos partilhar informações de segurança com os clientes sem lhes dar acesso direto ao Aikido.

Os clientes recebem uma visão geral clara e concisa dos problemas de segurança em aberto, das vulnerabilidades resolvidas e do desempenho geral da plataforma. Pense nisso como uma pequena janela de visualização, mantendo as coisas simples e geríveis para os nossos clientes.

Esta abordagem não só proporciona transparência, como também assegura aos clientes que estão a manter-se na vanguarda da segurança. Embora não mencionemos explicitamente o Aikido, a segurança é uma parte essencial dos nossos serviços contratuais. Este facto acrescenta valor e reforça a nossa experiência.

‍

"Ao integrar a segurança diretamente nos nossos fluxos de trabalho, tornámo-la uma parte natural do processo e não uma reflexão tardia."

‍

Atualmente, trabalha com grandes empresas e instituições governamentais. O que é que isso significa para a vossa abordagem de segurança?

Inicialmente, trabalhámos com startups, onde a velocidade e a funcionalidade eram as principais prioridades. Mas à medida que essas startups cresceram e começámos a trabalhar com empresas maiores e clientes governamentais, os requisitos de segurança tornaram-se muito mais rigorosos.

Para nos mantermos a par, estamos concentrados na automatização dos processos de segurança para que cada novo projeto comece de forma eficiente e em escala. A segurança não é mais uma reflexão tardia. Com o Aikido, estamos a integrá-la diretamente no nosso pipeline de DevOps para garantir que é uma parte perfeita do nosso fluxo de trabalho.
‍

"À medida que crescemos, a segurança tem de crescer connosco - a automatização é a chave para que isso aconteça."

‍

Porque escolheu o Aikido e como tem sido a sua experiência de trabalho com eles?

O momento não podia ter sido melhor: quando estávamos à procura de uma solução, encontrámos o sítio Web da Aikido e começámos a conversar. O que nos chamou imediatamente a atenção foi o seu modelo de agência amigável. Ao contrário de ferramentas como a Snyk, que são concebidas para os utilizadores finais, a Aikido foi concebida especificamente a pensar nas agências. Além disso, a Aikido tem sede na Europa e está em conformidade com o RGPD, o que se alinha bem com o quadro regulamentar a que os nossos clientes na UE estão sujeitos.

Outro fator importante foi a comunicação rápida e direta. As nossas perguntas são sempre respondidas prontamente, e o facto de podermos comunicar em neerlandês é incrivelmente conveniente. A eficiência dos custos é também uma vantagem significativa. Graças ao modelo de agência da Aikido, podemos oferecer segurança de alta qualidade a um preço acessível, mesmo aos clientes mais pequenos.

Além disso, o Aikido se integra perfeitamente ao DigitalOcean, nossa solução de hospedagem preferida para clientes sem infraestrutura existente, tornando-o um ajuste perfeito. Por último, o recurso de correção automática de IA do Aikido parece promissor e, embora eu ainda não o tenha testado, estou ansioso para explorá-lo ainda mais nos próximos meses.
‍

Quais são os próximos passos para a segurança no Gravity?

Estabelecemos uma base sólida para melhores práticas de segurança, e agora o nosso foco está em refinar e escalar a nossa abordagem. O Aikido é uma parte crucial deste processo, ajudando-nos a manter a segurança no topo das nossas preocupações sem abrandar o desenvolvimento. A segurança já não é um processo separado, é agora uma parte integrante do nosso fluxo de trabalho DevOps.

‍