Olá Aki! Podes apresentar-te e apresentar a tua função na Midaxo?
Chamo-me Aki Hänninen, CISO e DevSecOps lead na Midaxo. Dividi estas funções deliberadamente: o lado CISO é mais sobre segurança empresarial, governação e certificações como a ISO 27001, enquanto o lado DevSecOps se concentra na segurança do produto e da plataforma. A nossa equipa de engenharia tem cerca de 15 pessoas (em 5 equipas) divididas entre a Finlândia e os EUA.
Na verdade, comecei na Midaxo como arquiteto de software quando reconstruímos a nossa plataforma de nuvem a partir do zero. À medida que amadurecemos, fiz a transição para operações e segurança, e agora considero-me um "arquiteto de software em recuperação" (risos). Ainda estou perto do código, mas concentrado em permitir a segurança em toda a organização.
E o que é que a Midaxo faz?
A Midaxo fornece uma plataforma centralizada que ajuda as equipas de desenvolvimento corporativo a gerir processos complexos como fusões e aquisições, desinvestimentos, gestão de propriedade intelectual ou mesmo transacções imobiliárias.
Em vez de dependerem do Excel e do PowerPoint (que ainda é a norma para muitos), os nossos clientes utilizam a Midaxo Cloud para tornar os seus fluxos de trabalho mais sistemáticos, repetíveis e melhoráveis. Concentramo-nos na transparência, na colaboração e na garantia de que as informações certas estão disponíveis para as pessoas certas no momento certo para reduzir o risco em iniciativas estratégicas.
Qual é a importância da segurança para a sua empresa?
É absolutamente obrigatório. A maioria dos nossos negócios envolve passar por avaliações de gestão de risco de terceiros, e as expectativas em torno da confidencialidade dos dados são elevadas. A segurança é um importante fator de vendas para nós: sem práticas de segurança fortes, simplesmente não conseguiríamos ganhar negócios neste espaço.
"A segurança é um importante facilitador de vendas para nós: sem práticas de segurança fortes, simplesmente não ganharíamos negócios neste espaço."
Não se trata apenas de conformidade ou de caixas de seleção para uma avaliação de segurança. Tratamos a segurança como uma parte integrante do produto. Isso inclui a forma como construímos, como implementamos e como gerimos internamente os incidentes ou as vulnerabilidades.
É por isso que investimos tanto em segurança em todas as áreas: do produto à infraestrutura.
Quais eram as suas principais preocupações de segurança antes de utilizar o Aikido?
Somos muito nativos da nuvem e nos apoiamos fortemente nos serviços gerenciados pela AWS e na infraestrutura sem servidor, o que significa que podemos descarregar parte da segurança da infraestrutura. Mas isso também muda nosso foco interno para a segurança de aplicativos.
Gerir as vulnerabilidades era uma dor de cabeça. Descobertas SCA, SAST, DAST... tudo estava espalhado por diferentes ferramentas (AWS Inspetor, SonarCloud e Detectify, para citar algumas). Tornou-se o clássico jogo whack-a-mole de "Ei, alguém já olhou para esta vulnerabilidade?"
"A gestão da segurança tornou-se o clássico jogo de "Ei, alguém já investigou esta vulnerabilidade?".
Cada ferramenta funcionava de forma isolada. Não havia uma visão unificada. As vulnerabilidades tinham de ser triadas e atribuídas manualmente. Tudo isto tornava tudo mais lento. A nossa equipa de segurança estava a fazer a maior parte do trabalho pesado e a adoção de ferramentas e práticas de segurança por toda a equipa de engenharia era baixa.
O que é que fez com que o Aikido se destacasse durante a sua avaliação?
O Aikido parecia ter sido criado a pensar em empresas como a nossa, com fortes equipas de engenharia internas, mas com recursos limitados em termos de pessoal de segurança, e não exclusivamente para empresas gigantes (como alguns dos outros fornecedores no espaço).
"Os programadores começaram a resolver os problemas por si próprios, porque o Aikido tornou mais fácil saber o que fazer e quem o devia fazer."
A configuração foi fácil, a governação tornou-se mais clara e a propriedade tornou-se óbvia. A plataforma ajudou-nos a fazer chegar os problemas relevantes às equipas certas, sem todo o ruído. O que mais me agradou foi o facto de ter simplificado o nosso fluxo de trabalho. Foi um alívio deixar de andar a saltar entre painéis e ferramentas.
Como é que correu a implementação? Foi difícil integrar com a configuração existente?
"Sinceramente? A implementação foi quase invisível. Tudo se encaixa como uma luva".
Somos grandes defensores da autonomia das equipas, e a funcionalidade de filtragem de equipas do Aikido foi crucial para mim enquanto CISO. Cada uma de nossas cinco equipes agora vê apenas quais descobertas de segurança são relevantes para seu código, e isso se alinha perfeitamente com a forma como operamos. Só isso tornou a adoção fácil.
Como foi a sua experiência de trabalho com a equipa de Aikido?
A equipa tem sido excelente. Quando finalmente tive tempo para experimentar a ferramenta, a equipa estava lá para ajudar. Todas as pessoas com quem interagimos demonstraram uma verdadeira mentalidade de colocar o cliente em primeiro lugar. Ouvem os comentários, agem em conformidade e fazem-nos sentir parceiros.
Sinceramente, este tipo de resposta é raro e deixou-nos uma impressão duradoura.
O que é que mudou na forma como gere a segurança?
Transformou o nosso processo de gestão de vulnerabilidades em algo muito mais pró-ativo e amigo do programador. Agora, enviamos as descobertas críticas diretamente para os canais Slack específicos das equipas. A consciencialização é maior, o ruído é menor e o processo é finalmente sustentável. A equipa de segurança pode dar um passo atrás e concentrar-se na governação, e não no acompanhamento diário.
"Antes do Aikido, a AppSec parecia uma fricção. Agora é apenas parte do fluxo. A segurança já não é vista como algo externo ou incómodo. É apenas parte da forma como as equipas enviam software."
Antes, era difícil levar as equipas a agir. Agora estamos a assistir a um declínio constante dos problemas críticos e de alta gravidade. Estamos a planear definir uma linha de base no final deste ano para acompanhar a forma como mantemos esta postura melhorada ao longo do tempo.
Além disso, a maior vitória é cultural: a segurança já não é vista como externa ou irritante. É apenas uma parte da forma como as equipas enviam software.
Como é que os programadores reagiram?
Esta é a parte engraçada. Na cultura finlandesa, se algo está estragado, ouve-se falar disso. Se funcionar, não se ouve.
"O facto de ninguém se queixar do Aikido? Esse é o melhor feedback que se pode ter aqui na Finlândia."
E se me permitem acrescentar uma nota cultural: na cultura finlandesa, não gostamos muito de fazer elogios. Mas quando os nossos programadores dizem "não é uma porcaria e funciona", isso é o maior elogio que se pode receber (risos). E é assim que a nossa equipa se sente em relação ao Aikido: é útil, silencioso e faz o trabalho.
Qual é a sua caraterística favorita?
Como já foi referido, a filtragem de equipas é para mim a número um. Apoia a nossa forma descentralizada de trabalhar e facilita muito o meu trabalho de supervisão da segurança entre equipas.
Mas também gostaria de fazer uma menção especial à funcionalidade de ignorar automaticamente. Remove silenciosamente um monte de descobertas irrelevantes, o que nos poupa tempo e largura de banda mental. Por vezes, verifico o número só para me sentir bem.
"Por vezes, verifico a contagem de auto-ignição só para me sentir bem. É todo um trabalho que não precisámos de fazer".
Por último, mas não menos importante: se tivesse de resumir o Aikido numa frase, qual seria?
"Simplesmente funciona." E para uma equipa de desenvolvimento finlandesa? Isso é um grande elogio.
.webp){kind=logo}
.png)