Olá, Aki! Você pode se apresentar e falar sobre seu papel na Midaxo?
Sou Aki Hänninen, CISO e líder de DevSecOps na Midaxo. Divido essas funções deliberadamente: o lado CISO é mais sobre segurança corporativa, governança e certificações como ISO 27001, enquanto o lado DevSecOps foca na segurança de produto e plataforma. Nossa equipe de engenharia é composta por cerca de 15 pessoas (em 5 equipes) divididas entre a Finlândia e os EUA.
Na verdade, comecei na Midaxo como arquiteto de software quando reconstruímos nossa plataforma Cloud do zero. À medida que amadurecemos, fiz a transição para operações e segurança, e agora me considero um “arquiteto de software em recuperação” (risos). Ainda estou próximo do código, mas focado em habilitar a segurança em toda a organização.
E o que a Midaxo faz?
Midaxo é uma plataforma de software centralizada, desenvolvida especificamente para equipes de M&A e desenvolvimento corporativo. Ela foi projetada para gerenciar processos complexos como aquisições, desinvestimentos, gestão de IP e muito mais.
Embora muitas equipes ainda dependam de Excel e PowerPoint para executar essas iniciativas, a Midaxo oferece um sistema centralizado que substitui essas ferramentas manuais por um fluxo de trabalho mais estruturado, colaborativo e repetível. Ele reúne tudo em um só lugar, para que as equipes possam avançar mais rapidamente, reduzir riscos e tomar melhores decisões com visibilidade e responsabilidade em tempo real em todo o ciclo de vida do negócio.
Qual a importância da segurança para o seu negócio?
É absolutamente obrigatório. A maioria dos nossos negócios envolve avaliações de risco de terceiros, e as expectativas em torno da proteção e confidencialidade dos dados são altas (especialmente dada a natureza do trabalho de nossos clientes). A segurança é um grande diferencial para nós. Ela dá aos nossos clientes confiança ao escolher a Midaxo como parceira na gestão de processos sensíveis e de alto risco.
Não se trata apenas de conformidade ou de marcar caixas para uma avaliação de segurança. Tratamos a segurança como uma parte integrante do produto. Isso inclui como construímos, como implantamos e como gerenciamos incidentes ou vulnerabilidades internamente. É por isso que investimos tão pesadamente em segurança em todos os níveis: do produto à infraestrutura.
Quais eram suas principais preocupações de segurança antes de usar o Aikido?
Somos muito Cloud-native e dependemos fortemente de serviços gerenciados da AWS e infraestrutura serverless, o que significa que podemos descarregar parte da segurança da infraestrutura. Mas isso também direciona nosso foco interno para a segurança de aplicações.
Gerenciar vulnerabilidades era um problema. Achados de SCA, SAST, DAST… tudo estava espalhado por diferentes ferramentas (AWS Inspector, SonarCloud e Detectify, para citar algumas). Tornou-se o clássico jogo de whack-a-mole de “Ei, alguém já investigou essa vulnerabilidade?”.
“Antes do Aikido, gerenciar a segurança era o clássico jogo de "whack-a-mole" de “Ei, alguém já investigou esta vulnerabilidade?”
Cada ferramenta funcionava isoladamente. Não havia uma visão unificada. As vulnerabilidades tinham que ser triadas e atribuídas manualmente. Isso atrasava tudo. Nossa equipe de segurança estava fazendo a maior parte do trabalho pesado, e a adoção de ferramentas e práticas de segurança pela equipe de engenharia em geral era baixa.
O que fez o Aikido se destacar durante sua avaliação?
O Aikido parecia ter sido construído pensando em empresas como a nossa, com equipes de engenharia fortes internamente, mas com recursos limitados em pessoal de segurança, e não exclusivamente para grandes corporações (como alguns dos outros fornecedores no mercado).
“Os desenvolvedores começaram a corrigir os problemas por conta própria, porque o Aikido facilitou saber o que fazer e quem deveria fazer.”
A configuração foi fácil, a governança ficou mais clara e a responsabilidade se tornou óbvia. A plataforma nos ajudou a apresentar problemas relevantes às equipes certas sem todo o ruído. O que mais gostei foi que ela otimizou nosso fluxo de trabalho. Que alívio parar de pular entre dashboards e ferramentas.
Como foi o rollout? Foi difícil integrar com sua configuração existente?
“Honestamente? A implementação foi quase invisível. Tudo se encaixa perfeitamente.”
Valorizamos muito a autonomia das equipes, e o do Aikido recurso de filtragem por equipe foi crucial para mim como CISO. Cada uma das nossas cinco equipes agora vê apenas quais descobertas de segurança são relevantes para o seu código, e isso se alinha perfeitamente com a forma como operamos. Só isso já tornou a adoção tranquila.
Como foi sua experiência trabalhando com a equipe do Aikido?
A equipe tem sido excepcional. Quando finalmente tive tempo para experimentar a ferramenta, a equipe estava lá para ajudar. Todos com quem interagimos demonstraram uma verdadeira mentalidade de cliente em primeiro lugar. Eles ouvem o feedback, agem sobre ele e nos fazem sentir como parceiros.
Honestamente, esse tipo de responsividade é raro, e nos causou uma impressão duradoura.
O que mudou na forma como você gerencia a segurança?
Transformou nosso processo de gerenciamento de vulnerabilidades em algo muito mais proativo e amigável para desenvolvedores. Agora, enviamos achados críticos diretamente para canais Slack específicos da equipe. A conscientização é maior, o ruído é menor, e o processo é finalmente sustentável. A equipe de segurança pode se afastar e focar na governança, não nos acompanhamentos diários.
“Antes do Aikido, o AppSec parecia atrito. Agora, é apenas parte do fluxo. A segurança não é mais vista como externa ou irritante. É apenas parte de como as equipes entregam software.”
Antes, era difícil fazer as equipes agirem. Agora estamos vendo um declínio constante em problemas críticos e de alta severidade. Estamos planejando definir uma linha de base ainda este ano para acompanhar o quão bem mantemos essa postura aprimorada ao longo do tempo.
Além disso, a maior vitória é cultural: a segurança não é mais vista como algo externo ou irritante. É apenas parte de como as equipes entregam software.
Como os desenvolvedores responderam?
Essa é a parte engraçada. Na cultura finlandesa, se algo está quebrado, você vai ouvir falar sobre isso. Se funciona, você não vai.
“O fato de ninguém reclamar da Aikido? Esse é o melhor feedback que se pode ter aqui na Finlândia.”
E se me permite uma nota cultural: na cultura finlandesa, não somos muito de dar elogios. Mas quando nossos desenvolvedores dizem “não é lixo e funciona”, isso é o maior elogio que se pode receber (risos). E é assim que nossa equipe se sente em relação ao Aikido: é útil, discreto e cumpre o que promete.
Qual sua funcionalidade favorita?
Como mencionado, a filtragem por equipe é a prioridade número um para mim. Ela apoia nossa forma descentralizada de trabalhar e torna meu trabalho de supervisão da segurança entre as equipes muito mais fácil.
Mas também quero dar um destaque especial ao recurso de autoignorar. Ele remove silenciosamente uma série de descobertas irrelevantes, o que nos economiza tempo e largura de banda mental. Às vezes, verifico o número só para me sentir bem.
“Às vezes, verifico a contagem de ignorados automaticamente só para me sentir bem. Esse é todo o trabalho que não tivemos que fazer.”
Por último, mas não menos importante: se você tivesse que resumir o Aikido em uma frase, qual seria?
“Simplesmente funciona.” E para uma equipe de desenvolvimento finlandesa? Isso é um grande elogio.
