Olá Aki! Podes apresentar-te e apresentar a tua função na Midaxo?

Chamo-me Aki Hänninen, CISO e DevSecOps lead na Midaxo. Dividi estas funções deliberadamente: o lado CISO é mais sobre segurança empresarial, governação e certificações como a ISO 27001, enquanto o lado DevSecOps se concentra na segurança do produto e da plataforma. A nossa equipa de engenharia tem cerca de 15 pessoas (em 5 equipas) divididas entre a Finlândia e os EUA.

Na verdade, comecei na Midaxo como arquiteto de software quando reconstruímos a nossa plataforma de nuvem a partir do zero. À medida que fomos amadurecendo, fiz a transição para operações e segurança, e agora considero-me um "arquiteto de software em recuperação" (risos). Ainda estou perto do código, mas concentrado em permitir a segurança em toda a organização.

‍

E o que é que a Midaxo faz?

A Midaxo é uma plataforma de software centralizada, criada especificamente para equipas de M&A e de desenvolvimento empresarial. Foi concebida para gerir processos complexos como aquisições, desinvestimentos, gestão de propriedade intelectual e muito mais.

Embora muitas equipas ainda dependam do Excel e do PowerPoint para executar estas iniciativas, a Midaxo fornece um sistema centralizado que substitui essas ferramentas manuais por um fluxo de trabalho mais estruturado, colaborativo e repetível. Reúne tudo num único local, para que as equipas possam avançar mais rapidamente, reduzir o risco e tomar melhores decisões com visibilidade e responsabilidade em tempo real ao longo de todo o ciclo de vida do negócio.

‍

Qual é a importância da segurança para a sua empresa?

É absolutamente obrigatório. A maioria dos nossos negócios envolve avaliações de risco por terceiros e as expectativas em relação à proteção e confidencialidade dos dados são elevadas (especialmente tendo em conta a natureza do trabalho dos nossos clientes). A segurança é um importante fator de diferenciação para nós. Dá confiança aos nossos clientes na escolha da Midaxo como seu parceiro na gestão de processos sensíveis e de alto risco.

‍

Não se trata apenas de conformidade ou de caixas de seleção para uma avaliação de segurança. Tratamos a segurança como uma parte integrante do produto. Isso inclui a forma como construímos, como implementamos e como gerimos incidentes ou vulnerabilidades internamente. É por isso que investimos tanto em segurança em todas as áreas: do produto à infraestrutura.

‍

Quais eram as suas principais preocupações de segurança antes de utilizar o Aikido?

Somos muito nativos da nuvem e nos apoiamos fortemente nos serviços gerenciados pela AWS e na infraestrutura sem servidor, o que significa que podemos descarregar parte da segurança da infraestrutura. Mas isso também muda nosso foco interno para a segurança de aplicativos.

Gerir as vulnerabilidades era uma dor de cabeça. Descobertas SCA, SAST, DAST... tudo estava espalhado por diferentes ferramentas (AWS Inspetor, SonarCloud e Detectify, para citar algumas). Tornou-se o clássico jogo de "Ei, alguém já investigou esta vulnerabilidade?" 

‍

"Antes do Aikido, a gestão da segurança era o clássico jogo de "Ei, alguém já investigou esta vulnerabilidade?".

‍

Cada ferramenta funcionava de forma isolada. Não havia uma visão unificada. As vulnerabilidades tinham de ser triadas e atribuídas manualmente. Tudo isto tornava tudo mais lento. A nossa equipa de segurança estava a fazer a maior parte do trabalho pesado e a adoção de ferramentas e práticas de segurança por toda a equipa de engenharia era baixa.

‍

O que é que fez com que o Aikido se destacasse durante a sua avaliação?

O Aikido parece ter sido criado a pensar em empresas como a nossa, com fortes equipas de engenharia internas, mas com recursos limitados em termos de pessoal de segurança, e não exclusivamente para empresas gigantes (como alguns dos outros fornecedores do sector).

‍

"Os programadores começaram a resolver os problemas por si próprios, porque o Aikido tornou mais fácil saber o que fazer e quem o devia fazer."

‍

A configuração foi fácil, a governação tornou-se mais clara e a propriedade tornou-se óbvia. A plataforma ajudou-nos a fazer chegar os problemas relevantes às equipas certas, sem todo o ruído. O que mais me agradou foi o facto de ter simplificado o nosso fluxo de trabalho. Foi um alívio deixar de andar a saltar entre painéis e ferramentas.

‍

Como é que correu a implementação? Foi difícil integrá-la com a configuração existente?

‍

"Sinceramente? A implementação foi quase invisível. Tudo se encaixa como uma luva".

‍

Somos grandes defensores da autonomia das equipas e a funcionalidade de filtragem de equipas do Aikido filtragem de equipas foi crucial para mim como CISO. Cada uma das nossas cinco equipas vê agora apenas as descobertas de segurança que são relevantes para o seu código, o que se alinha perfeitamente com a nossa forma de trabalhar. Só isso já facilitou a adoção.

‍

‍

Como foi a sua experiência de trabalho com a equipa de Aikido?

A equipa tem sido excelente. Quando finalmente tive tempo para experimentar a ferramenta, a equipa estava lá para ajudar. Todas as pessoas com quem interagimos demonstraram uma verdadeira mentalidade de colocar o cliente em primeiro lugar. Ouvem os comentários, agem em conformidade e fazem-nos sentir parceiros.

Sinceramente, este tipo de reatividade é raro e deixou-nos uma impressão duradoura.

‍

O que é que mudou na forma como gere a segurança?

Transformou o nosso processo de gestão de vulnerabilidades em algo muito mais pró-ativo e amigo do programador. Agora, enviamos as descobertas críticas diretamente para os canais Slack específicos das equipas. A consciencialização é maior, o ruído é menor e o processo é finalmente sustentável. A equipa de segurança pode dar um passo atrás e concentrar-se na governação, e não no acompanhamento diário.

‍

"Antes do Aikido, a AppSec parecia uma fricção. Agora é apenas parte do fluxo. A segurança já não é vista como algo externo ou incómodo. É apenas parte da forma como as equipas enviam software."

‍

Antes, era difícil levar as equipas a agir. Agora estamos a assistir a um declínio constante dos problemas críticos e de alta gravidade. Estamos a planear definir uma linha de base no final deste ano para acompanhar a forma como mantemos esta postura melhorada ao longo do tempo.
Além disso, a maior vitória é cultural: a segurança já não é vista como externa ou irritante. É apenas uma parte da forma como as equipas enviam software.

‍

Como é que os programadores reagiram?

Esta é a parte engraçada. Na cultura finlandesa, se algo está estragado, ouve-se falar disso. Se funciona, não se ouve.

‍

"O facto de ninguém se queixar do Aikido? Esse é o melhor feedback que se pode ter aqui na Finlândia."

‍

E se me permitem acrescentar uma nota cultural: na cultura finlandesa, não gostamos muito de fazer elogios. Mas quando os nossos programadores dizem "não é uma porcaria e funciona", isso é o maior elogio que se pode receber (risos). E é assim que a nossa equipa se sente em relação ao Aikido: é útil, silencioso e faz o trabalho.

‍

Qual é a sua caraterística favorita?

Como mencionado, a filtragem de equipas é o número um para mim. Apoia a nossa forma descentralizada de trabalhar e facilita muito o meu trabalho de supervisão da segurança entre equipas.

Mas vou dar um destaque especial à funcionalidade funcionalidade de ignorar automaticamente também. Remove discretamente uma série de resultados irrelevantes, o que nos poupa tempo e largura de banda mental. Por vezes, verifico o número só para me sentir bem.

‍

"Por vezes, verifico a contagem de auto-ignição só para me sentir bem. É todo um trabalho que não precisámos de fazer".

‍

‍

Por último, mas não menos importante: se tivesse de resumir o Aikido numa frase, qual seria?

"Simplesmente funciona." E para uma equipa de desenvolvimento finlandesa? Isso é um grande elogio.