Olá, Eric! Pode falar-nos um pouco de si e da HiringBranch?
Claro! Sou o CTO da HiringBranch. Comecei por ser o único programador há cerca de 12-15 anos e tornámo-nos numa equipa pequena, mas concentrada, de 10 engenheiros, incluindo pessoal de ML.
Começámos por trabalhar na área da educação, mas atualmente especializámo-nos em avaliações pré-contratação, avaliando especificamente a comunicação e as competências transversais utilizando a PNL e a aprendizagem automática. O que nos distingue é o facto de permitirmos que os candidatos respondam num formato aberto. Em vez de múltipla escolha, analisamos o que as pessoas realmente dizem para avaliar as suas competências. É uma forma muito mais natural e exacta de avaliar as qualidades humanas.
Que papel desempenha a segurança no espaço tecnológico da contratação?
É tudo uma questão de confiança. Quando as empresas utilizam a nossa plataforma, estão a confiar-nos dados sensíveis dos candidatos. Temos a responsabilidade de proteger esses dados, não apenas porque é a coisa certa a fazer, mas porque isso se reflecte na nossa marca e na nossa credibilidade.
Houve algum momento em que se apercebeu: "Precisamos de levar a segurança a sério"?
Sim, sem dúvida. Nos primeiros tempos, especialmente quando trabalhávamos sobretudo com clientes mais pequenos, a segurança não era uma grande preocupação. Mas quando começámos a entrar no espaço empresarial, talvez há 5 ou 6 anos, isso mudou rapidamente. Os clientes estavam a fazer perguntas para as quais não tínhamos grandes respostas. Foi um sinal de alerta.
Como eram os seus fluxos de trabalho de segurança antes do Aikido?
"Tínhamos ferramentas de código aberto, plataformas Microsoft, scans baseados em Docker... e nada falava entre si. Era o caos."
Eu tinha uma imagem Docker que executava localmente para analisar o código. Depois, gerava um relatório e enviava-o manualmente para algum lugar. Era complicado e propenso a erros.
Utilizámos uma mistura de ferramentas Frankenstein: scanners de código aberto, algo da Microsoft no Azure, SonarQube, AWS Security Hub... tudo misturado. E, claro, nenhuma delas se comunicava entre si. Era confuso e difícil de manter.
E como é que conheceu o Aikido?
Começámos a estudar o Aikido há cerca de dois anos. Mas as coisas estavam ocupadas, por isso não começámos imediatamente. Quando acabámos por contratar um engenheiro de segurança, ele começou a investigar o Aikido e voltou a dizer: "Isto faz tudo o que precisamos". Pouco a pouco, começámos a remover ferramentas antigas. Não foi uma mudança de um dia para o outro, foi uma migração prática e ponderada.
O que é que fez do Aikido a escolha certa?
"Está tudo num só lugar. As integrações do Slack e do Azure DevOps são revolucionárias."
A diferença para nós foi:
- Consolidação: De cinco ferramentas para uma.
- Automação: As vulnerabilidades são divulgadas no Slack, onde podemos marcar os programadores e atuar rapidamente.
- Relatórios: "Em todas as reuniões de segurança, elaboro um relatório completo com tudo o que precisamos de saber. O que há de novo, o que foi corrigido, está tudo lá."
- Facilidade de utilização: Simplesmente funciona. Sem sessões de formação ou configurações complexas.
Falemos de conformidade. Como é que geria a conformidade antes do Aikido?
Sim, temos oficialmente a certificação SOC 2 Tipo II. O processo começou há cerca de dois anos e, embora a obtenção da certificação Tipo I tenha sido sobretudo uma questão de documentação de políticas, a certificação Tipo II foi completamente diferente. Foi aí que começou o verdadeiro rigor operacional e a dor da recolha de provas.
Antes, tínhamos de exportar manualmente relatórios de várias ferramentas e carregá-los no Vanta. Era complicado e demorado. E agora? A sincronização é feita automaticamente. É fácil.
Era complicado e manual. Tínhamos planeado exportar relatórios de segurança de várias ferramentas e depois carregá-los no Vanta, a nossa plataforma de conformidade.
Que papel desempenhou o Aikido no seu percurso de conformidade?
O Aikido, e especificamente a sua integração com o Vanta, fez uma enorme diferença durante o nosso processo SOC 2 Tipo II. Assim que o ativamos, ele automatizou todo o nosso fluxo de trabalho de coleta de evidências de segurança. Vulnerabilidades, correções, cobertura de controle, tudo isso começou a ser sincronizado em segundo plano, sem que tivéssemos que procurar nada manualmente.
"Não adoptámos o Aikido por causa da conformidade, mas quando vimos como se integrava perfeitamente com o Vanta, tornou-se óbvio. Basta clicar nalguns botões e as provas já estão lá."
Isto significa que deixámos de exportar relatórios, carregar PDFs ou de nos preocuparmos com a falta de documentação durante as auditorias. Em vez de provar a conformidade, podíamos concentrar-nos em melhorar efetivamente a nossa postura de segurança.
"O Aikido eliminou o stress da conformidade. A automatização simplesmente funciona - mantém tudo pronto para a auditoria, sem a confusão."
O que costumava ser uma confusão trimestral transformou-se num processo calmo e contínuo: sempre ligado, sempre pronto. Exatamente como deve ser.
Como é que a mentalidade de segurança da sua equipa mudou desde que adoptou o Aikido?
Tornámo-nos muito mais proactivos. Em vez de reagirmos aos problemas, ou pior, de os ignorarmos, recebemos agora alertas em tempo real. O controlo é contínuo. Há menos caos, menos adivinhação. Tudo é estruturado e visível.
Como tem sido a sua experiência de trabalho com a equipa de Aikido?
Honestamente, ótimo. Temos check-ins mensais, que são super úteis para aprender sobre novos recursos. A equipa de apoio é recetiva, e até temos um canal Slack dedicado com eles, o que torna a comunicação fácil e rápida.
E finalmente, se tivesse de resumir o Aikido numa frase?
"Tranquilidade em todo o processo de segurança".
A sério. Costumava ser uma confusão caótica de ferramentas e tarefas. Agora, está tudo calmo, limpo e sob controlo.
.webp){kind=logo}
.png)