Olá, Eric! Você pode nos falar um pouco sobre você e a HiringBranch?
Claro! Sou o CTO da HiringBranch. Comecei como o único desenvolvedor há cerca de 12 a 15 anos, e crescemos para uma equipe pequena, mas focada, de 10 engenheiros, incluindo profissionais de ML.
Originalmente, começamos na área da educação, mas hoje, somos especializados em avaliações pré-contratação, avaliando especificamente habilidades de comunicação e soft skills usando PNL e aprendizado de máquina. O que nos diferencia é que permitimos que os candidatos respondam em um formato aberto. Em vez de múltipla escolha, analisamos o que as pessoas realmente dizem para avaliar suas habilidades. É uma forma muito mais natural e precisa de avaliar qualidades humanas.
Que papel a segurança desempenha no setor de tecnologia de recrutamento?
É tudo sobre confiança. Quando as empresas usam nossa plataforma, elas estão nos confiando dados sensíveis de candidatos. Temos a responsabilidade de proteger esses dados, não apenas porque é a coisa certa a fazer, mas porque isso reflete em nossa marca e em nossa credibilidade.
Houve um momento em que você percebeu: “Precisamos levar a segurança a sério”?
Sim, com certeza. Nos primeiros dias, especialmente quando trabalhávamos principalmente com clientes menores, a segurança não era um grande foco. Mas, assim que entramos no espaço corporativo, talvez há 5 ou 6 anos, isso mudou rapidamente. Os clientes faziam perguntas para as quais não tínhamos boas respostas. Foi um alerta.
Como eram seus fluxos de trabalho de segurança antes do Aikido?
“Tínhamos ferramentas de código aberto, plataformas Microsoft, varreduras baseadas em Docker… e nada se comunicava. Era um caos.”
Eu tinha uma imagem Docker que executei localmente para escanear o código. Então eu gerava um relatório e o enviava manualmente para algum lugar. Era desajeitado e propenso a erros.
Usávamos uma mistura Frankenstein de ferramentas: scanners de código aberto, algo da Microsoft no Azure, SonarQube, AWS Security Hub… tudo interligado. E, claro, nenhuma delas se comunicava. Era uma bagunça e difícil de manter.
E como vocês conheceram o Aikido?
Nós analisamos o Aikido pela primeira vez talvez há dois anos. Mas estávamos ocupados, então não nos aprofundamos imediatamente. Quando finalmente contratamos um engenheiro de segurança, ele começou a se aprofundar no Aikido e voltou dizendo: ‘Isso faz tudo o que precisamos.’ Pouco a pouco, começamos a remover as ferramentas antigas. Não foi uma mudança da noite para o dia, foi uma migração prática e bem pensada.
O que tornou o Aikido a escolha certa?
“Tudo está em um só lugar. As integrações com Slack e Azure DevOps são um divisor de águas.”
A diferença para nós foi:
- Consolidação: De cinco ferramentas para uma.
- Automação: Vulnerabilidades são exibidas no Slack, onde podemos marcar desenvolvedores e agir rapidamente.
- Relatórios: “Em cada reunião de segurança, eu gero um relatório claro com tudo o que precisamos saber. O que é novo, o que foi corrigido, está tudo lá.”
- Facilidade de uso: Simplesmente funciona. Sem sessões de treinamento ou configurações complexas.
Vamos falar sobre conformidade. Como vocês gerenciavam a conformidade antes do Aikido?
Sim, somos oficialmente certificados SOC 2 Tipo II. O processo começou há cerca de dois anos, e enquanto obter o Tipo I era principalmente sobre documentar políticas, o Tipo II foi uma fera completamente diferente. Foi aí que o verdadeiro rigor operacional e a dor da coleta de evidências entraram em ação.
Antes, tínhamos que exportar relatórios manualmente de várias ferramentas e carregá-los no Vanta. Era complicado e demorado. Agora? É sincronizado automaticamente. É perfeito.
Era pesado e manual. Tínhamos planejado exportar relatórios de segurança de várias ferramentas e depois carregá-los no Vanta, nossa plataforma de conformidade.
Qual o papel do Aikido na sua jornada de conformidade?
O Aikido, e especificamente sua integração com Vanta, fez uma enorme diferença durante nosso processo SOC 2 Tipo II. Assim que o ativamos, ele automatizou todo o nosso fluxo de trabalho de coleta de evidências de segurança. Vulnerabilidades, remediações, cobertura de controle, tudo começou a sincronizar em segundo plano sem que tivéssemos que buscar nada manualmente.
“Não adotamos o Aikido por causa da conformidade, mas assim que vimos como ele se integrou de forma limpa com Vanta, tornou-se uma decisão óbvia. Basta clicarmos em alguns botões, e a evidência já está lá.”
Isso significava o fim da exportação de relatórios, upload de PDFs ou preocupações com a falta de documentação durante as auditorias. Em vez de provar conformidade, pudemos focar em realmente melhorar nossa postura de segurança.
“O Aikido tirou o estresse da conformidade. A automação simplesmente funciona — ela mantém tudo pronto para auditoria, sem a correria.”
O que costumava ser uma correria trimestral transformou-se em um processo contínuo e tranquilo: sempre ativo, sempre pronto. Exatamente como deveria ser.
Como a mentalidade de segurança da sua equipe mudou desde a adoção do Aikido?
Nos tornamos muito mais proativos. Em vez de reagir a problemas, ou pior, ignorá-los, agora recebemos alertas em tempo real. A varredura é contínua. Há menos caos, menos suposições. Tudo é estruturado e visível.
Como tem sido sua experiência trabalhando com a equipe do Aikido?
Honestamente, ótimo. Temos reuniões mensais de acompanhamento, que são super úteis para conhecer novas funcionalidades. A equipe de suporte é responsiva, e temos até um canal dedicado no Slack com eles, o que torna a comunicação fácil e rápida.
E, finalmente, se você tivesse que resumir o Aikido em uma frase?
“Tranquilidade para todo o processo de segurança.”
Sério. Costumava ser uma bagunça caótica de ferramentas e tarefas. Agora, tudo está calmo, limpo e sob controle.
