Ogaga Abuchi tem trabalhado como um CISO fracionado desde 2021, apoiando empresas nas áreas de saúde, fintech e SaaS. Em 2023, ela começou a trabalhar com a Nerdio em capacidade fracionada, bem como com várias outras organizações.
Hoje, Ogaga gerencia a segurança de produtos e aplicações na Nerdio enquanto continua a aconselhar outras organizações como CISO fracionado. Essa dupla perspectiva molda como ela avalia as ferramentas: elas precisam funcionar não apenas para uma empresa, mas em múltiplos ambientes, níveis de maturidade e restrições.
Em resumo
- Pessoa com quem falamos: Ogaga Abuchi, CISO fracionado e Gerente de Segurança da Informação na Nerdio
- Empresa: Nerdio (plataforma de gerenciamento de Azure Virtual Desktop e Windows 365)
- Desafio principal: Escalar a segurança de aplicações entre equipes com tempo, orçamento e tolerância a ruído limitados
- Antes do Aikido: Ferramentas de AppSec caras com muitos falsos positivos e sinal fraco
- Usando o Aikido para: SAST, DAST, análise de dependências e SBOM, fluxos de trabalho de desenvolvedores, relatórios executivos
- Resultado chave: Menos ruído, correção mais rápida e mais tempo para desenvolvedores
Desafio: escalar a segurança sem escalar o caos
Na perspectiva de Ogaga, a maioria dos problemas de segurança não são técnicos. São estruturais.
Como CISO fracionado trabalhando com empresas de pequeno e médio porte, ela consistentemente encontra as mesmas restrições:
- Equipes de segurança pequenas com capacidade prática limitada
- Orçamentos apertados que não podem suportar ferramentas empresariais pesadas
- Proliferação de ferramentas, onde múltiplas ferramentas sobrepostas drenam dinheiro e atenção
- Resistência cultural, especialmente de desenvolvedores que temem que a segurança os atrase
- Uma atração constante para o combate a incêndios reativo em vez de segurança proativa
Na Nerdio, a base já era relativamente madura: desenvolvedores experientes, treinamento de segurança regular, testes de penetração internos e externos, e uma liderança que levava os resultados a sério.
Mas mesmo com essa maturidade, Ogaga viu um risco familiar.
Sem as ferramentas certas, as equipes ou se afogam em alertas ou param de confiar neles completamente.
Solução: uma plataforma AppSec que os desenvolvedores realmente ouvem
Antes do Aikido, a Nerdio usava outra ferramenta AppSec. Era cara, barulhenta e frequentemente desatualizada. A maioria dos achados não se revelava problemas reais, o que dificultava ter conversas produtivas com os desenvolvedores.
Esse foi o ponto de ruptura.
Após pesquisar alternativas e com base em experiência anterior, Ogaga introduziu o Aikido.
O que se destacou imediatamente não foi apenas a cobertura, mas a qualidade do sinal.
O Aikido revelou problemas reais em bibliotecas de terceiros e SBOMs, reduziu falsos positivos e explicou os achados de uma forma que os desenvolvedores pudessem entender.
“Estávamos gastando muito tempo com coisas que não eram problemas reais. Com o Aikido, estamos trabalhando em vulnerabilidades reais novamente.”
Na Nerdio, o Aikido agora está integrado a repositórios e fluxos de trabalho. A equipe usa ativamente SAST e DAST, e a adoção está se expandindo gradualmente para o uso de IDE para que os problemas possam ser detectados ainda mais cedo. Cloud scanning e pentest de IA são os próximos no roadmap.
Ogaga gosta particularmente da orientação impulsionada por IA do Aikido.
“Gosto que ele diga onde está o problema e como corrigi-lo. Não vou abrir pull requests automaticamente (os desenvolvedores me matariam), mas as sugestões são incrivelmente úteis.”
Resultado: menos ruído, mais confiança, tempo real economizado
O impacto mais notável do Aikido na Nerdio tem sido o quão silencioso o trabalho de segurança se tornou.
Às vezes, Ogaga precisa se lembrar de verificar.
“Alguns dias é tão tranquilo que preciso me lembrar de ir relatar vulnerabilidades.”
Esse silêncio não é falta de cobertura. É o resultado de ruído reduzido e melhor priorização.
Comparado a ferramentas anteriores que geravam centenas de achados por varredura, a maioria deles descartados como falsos positivos, o Aikido ajuda as equipes a focar no que realmente importa. Desenvolvedores gastam menos tempo discutindo sobre os achados e mais tempo corrigindo-os.
Também facilitou o trabalho de Ogaga como líder de segurança. Quando os desenvolvedores questionam um achado, ela pode apresentar contexto claro, trechos de código e explicações que falam a língua deles.
O resultado:
- Remediação mais rápida
- Menos falsos positivos
- Mais confiança dos desenvolvedores nas ferramentas de segurança
- Menos tempo gasto na triagem manual de descobertas
- Um programa de segurança de aplicações mais robusto no geral
Da perspectiva de um CISO fracionado, isso importa ainda mais.
Quando você é responsável por múltiplas organizações simultaneamente, cada hora economizada se multiplica.
Como a Nerdio está expandindo seu uso do Aikido
Já utilizando
- SAST
- DAST
- Análise de Dependências (SCA)
- Escaneamento de SBOM
- Fluxos de trabalho de desenvolvedores
- Relatórios executivos
Planejando adotar
Resumo: uma ferramenta desenvolvida para líderes de segurança com tempo limitado
Para Ogaga, Aikido não é apenas uma ferramenta da Nerdio. É parte do seu kit de ferramentas de CISO fracionado.
Ela usou e avaliou muitas plataformas AppSec ao longo dos anos. Nesse contexto, Aikido se destaca pela sua simplicidade, clareza e design amigável para desenvolvedores.
“Tudo é simples. As pessoas fazem login e imediatamente entendem o que fazer.”
Funciona para qualquer empresa que precise elevar seu nível de segurança sem construir uma organização de segurança massiva.
E se Ogaga tivesse que resumir o valor do Aikido em uma frase, da perspectiva de um CISO fracionado?
“Reduz o tempo.”
