Olá, Aki! Você pode se apresentar e falar sobre seu papel na Midaxo?

Sou Aki Hänninen, CISO e DevSecOps na Midaxo. Dividi essas funções deliberadamente: a parte de CISO trata mais de segurança corporativa, governança e certificações como a ISO 27001, enquanto a DevSecOps se concentra na segurança de produtos e plataformas. A nossa equipa de engenharia é composta por cerca de 15 pessoas (em 5 equipas) divididas entre a Finlândia e os EUA.

Na verdade, comecei na Midaxo como arquiteto de software quando reconstruímos nossa plataforma Cloud do zero. À medida que amadurecemos, fiz a transição para operações e segurança, e agora me considero um “arquiteto de software em recuperação” (risos). Ainda estou próximo do código, mas focado em habilitar a segurança em toda a organização.

‍

E o que a Midaxo faz?

Midaxo é uma plataforma de software centralizada, desenvolvida especificamente para equipes de M&A e desenvolvimento corporativo. Ela foi projetada para gerenciar processos complexos como aquisições, desinvestimentos, gestão de IP e muito mais.

Embora muitas equipes ainda dependam de Excel e PowerPoint para executar essas iniciativas, a Midaxo oferece um sistema centralizado que substitui essas ferramentas manuais por um fluxo de trabalho mais estruturado, colaborativo e repetível. Ele reúne tudo em um só lugar, para que as equipes possam avançar mais rapidamente, reduzir riscos e tomar melhores decisões com visibilidade e responsabilidade em tempo real em todo o ciclo de vida do negócio.

‍

Qual a importância da segurança para o seu negócio?

É absolutamente obrigatório. A maioria dos nossos negócios envolve avaliações de risco de terceiros, e as expectativas em torno da proteção e confidencialidade dos dados são altas (especialmente dada a natureza do trabalho de nossos clientes). A segurança é um grande diferencial para nós. Ela dá aos nossos clientes confiança ao escolher a Midaxo como parceira na gestão de processos sensíveis e de alto risco.

‍

Não se trata apenas de conformidade ou de marcar caixas para uma avaliação de segurança. Tratamos a segurança como uma parte integrante do produto. Isso inclui como construímos, como implantamos e como gerenciamos incidentes ou vulnerabilidades internamente. É por isso que investimos tão pesadamente em segurança em todos os níveis: do produto à infraestrutura.

‍

Quais eram as suas principais preocupações em termos de segurança antes de usar Aikido?

Somos muito nativos da nuvem e dependemos fortemente dos serviços geridos pela AWS e da infraestrutura sem servidor, o que significa que podemos descarregar parte da segurança da infraestrutura. Mas isso também muda o nosso foco interno para a segurança das aplicações.

Gerenciar vulnerabilidades era um tormento. SCA , SAST, D DASTtudo estava espalhado por diferentes ferramentas (AWS Inspector, SonarCloud e Detectify citar algumas). Tornou-se o clássico jogo de "bate-bola" de "Ei, alguém já verificou essa vulnerabilidade?" 

‍

“Antes Aikido, gerenciar a segurança era como o clássico jogo de “bate na toupeira”: “Ei, alguém já investigou essa vulnerabilidade?”

‍

Cada ferramenta funcionava isoladamente. Não havia uma visão unificada. As vulnerabilidades tinham que ser triadas e atribuídas manualmente. Isso atrasava tudo. Nossa equipe de segurança estava fazendo a maior parte do trabalho pesado, e a adoção de ferramentas e práticas de segurança pela equipe de engenharia em geral era baixa.

‍

O que fez Aikido destacar durante a sua avaliação?

Aikido ter sido criado a pensar em empresas como a nossa, com equipas de engenharia internas fortes, mas com recursos limitados em termos de pessoal de segurança, e não exclusivamente para grandes empresas (como alguns dos outros fornecedores do setor).

‍

«Os programadores começaram a resolver os problemas por conta própria, porque Aikido saber o que fazer e quem deveria fazer.»

‍

A configuração foi fácil, a governança ficou mais clara e a responsabilidade se tornou óbvia. A plataforma nos ajudou a apresentar problemas relevantes às equipes certas sem todo o ruído. O que mais gostei foi que ela otimizou nosso fluxo de trabalho. Que alívio parar de pular entre dashboards e ferramentas.

‍

Como foi o rollout? Foi difícil integrar com sua configuração existente?

‍

“Honestamente? A implementação foi quase invisível. Tudo se encaixa perfeitamente.”

‍

Damos grande importância à autonomia das equipas, e o recurso de filtragem por equipa Aikido funcionalidade de filtragem de equipas foi crucial para mim como CISO. Cada uma das nossas cinco equipas agora vê apenas quais descobertas de segurança são relevantes para o seu código, e isso se alinha perfeitamente com a forma como operamos. Só isso já facilitou a adoção.

‍

‍

Como foi a sua experiência a trabalhar com a Aikido ?

A equipe tem sido excepcional. Quando finalmente tive tempo para experimentar a ferramenta, a equipe estava lá para ajudar. Todos com quem interagimos demonstraram uma verdadeira mentalidade de cliente em primeiro lugar. Eles ouvem o feedback, agem sobre ele e nos fazem sentir como parceiros.

Honestamente, esse tipo de responsividade é raro, e nos causou uma impressão duradoura.

‍

O que mudou na forma como você gerencia a segurança?

Isso transformou gerenciamento de vulnerabilidades nosso gerenciamento de vulnerabilidades em algo muito mais proativo e fácil para os programadores. Agora, enviamos as descobertas críticas diretamente para canais específicos da equipa no Slack. A conscientização é maior, o ruído é menor e o processo finalmente é sustentável. A equipa de segurança pode dar um passo atrás e se concentrar na governança, em vez de acompanhar o dia a dia.

‍

«Antes Aikido, AppSec um atrito. Agora, é apenas parte do fluxo. A segurança já não é vista como algo externo ou irritante. É apenas parte da forma como as equipas lançam software.»

‍

Antes, era difícil fazer as equipes agirem. Agora estamos vendo um declínio constante em problemas críticos e de alta severidade. Estamos planejando definir uma linha de base ainda este ano para acompanhar o quão bem mantemos essa postura aprimorada ao longo do tempo.
Além disso, a maior vitória é cultural: a segurança não é mais vista como algo externo ou irritante. É apenas parte de como as equipes entregam software.

‍

Como os desenvolvedores responderam?

Essa é a parte engraçada. Na cultura finlandesa, se algo está quebrado, você vai ouvir falar sobre isso. Se funciona, você não vai.

‍

“O fato de ninguém reclamar da Aikido? Esse é o melhor feedback que se pode ter aqui na Finlândia.”

‍

E, se me permitem acrescentar uma nota cultural: na cultura finlandesa, não somos muito adeptos de elogios. Mas quando os nossos programadores dizem «não é lixo e funciona», isso é o maior elogio que se pode receber (risos). E é assim que a nossa equipa se sente em relação Aikido: é útil, discreto e faz o que tem de ser feito.

‍

Qual sua funcionalidade favorita?

Como mencionado, a filtragem por equipe é a prioridade número um para mim. Ela apoia nossa forma descentralizada de trabalhar e torna meu trabalho de supervisão da segurança entre as equipes muito mais fácil.

Mas também quero dar um destaque especial ao recurso de autoignorar. Ele remove silenciosamente uma série de descobertas irrelevantes, o que nos economiza tempo e largura de banda mental. Às vezes, verifico o número só para me sentir bem.

‍

“Às vezes, verifico a contagem de ignorados automaticamente só para me sentir bem. Esse é todo o trabalho que não tivemos que fazer.”

‍

‍

Por último, mas não menos importante: se tivesse de resumir Aikido frase, qual seria?

“Simplesmente funciona.” E para uma equipe de desenvolvimento finlandesa? Isso é um grande elogio.