Olá, Daan! Você pode nos falar sobre a Tellent e seu papel lá?
Meu nome é Daan Goumans, e sou o Oficial de Segurança da Informação e Líder de Equipe de TI na Tellent. Estou na empresa há cerca de 3,5 anos. Meu foco principal é a gestão de riscos e o lado estratégico dos controles de segurança, enquanto minha equipe gerencia as operações diárias de nossas ferramentas de negócios essenciais, como e-mail, comunicações internas e endpoints de usuário.
Nossa equipe de engenharia é composta por cerca de 90 a 100 pessoas, incluindo gerentes de produto. Juntos, construímos e mantemos a plataforma de RH da Tellent, que combina ferramentas de recrutamento (ATS), RH central (HRIS) e desempenho & crescimento em um único sistema. O que nos diferencia é a flexibilidade para começar com o que você precisa e crescer ao longo do tempo, juntamente com mais de 200 integrações e ampla personalização de fluxo de trabalho.
“Segurança e conformidade são pilares fundamentais em nossa estratégia de produto. Nossos clientes confiam em nós para proteger dados sensíveis de contratação e de funcionários.”
Como segurança e conformidade moldaram sua estratégia de produto?
Lidar com dados sensíveis significa que precisamos atender a rigorosos padrões de segurança e conformidade. Somos auditados regularmente para ISO 27001, SOC 2 Tipo 2, e realizamos testes de penetração como parte de nossa estratégia. Também queremos que nossos clientes atendam aos seus próprios requisitos, por isso incorporamos recursos como controle de acesso baseado em função, retenção de dados configurável e fluxos de trabalho automatizados para apoiá-los.
O que os levou a começar a avaliar o Aikido?
Não houve um grande incidente que nos levou a avaliar o Aikido. Sempre tentamos ser proativos na melhoria da segurança. Um parceiro na área de segurança nos disse que havia consolidado soluções no Aikido e estava muito satisfeito com os resultados. Investigamos por conta própria e percebemos que isso poderia nos ajudar a obter uma melhor visão geral de todos os ativos em um só lugar.
Antes do Aikido, nossas ferramentas ou não tinham cobertura para linguagens de programação específicas (usávamos o Dependabot) ou resolviam apenas parte do problema. Algumas geravam ruído em vez de conselhos acionáveis, enquanto outras não ofereciam um bom retorno sobre o investimento.
“Precisávamos de algo que nos desse cobertura completa, menos ruído e insights mais acionáveis em um só lugar.”
Quais desafios você estava enfrentando naquela época?
Durante nossa fusão, tivemos que integrar novas bases de código, ambientes Cloud e integrações de terceiros. Nossas ferramentas existentes não conseguiam acompanhar o ritmo ou o escopo. Além disso, à medida que nossa base de clientes crescia, os requisitos de conformidade também aumentavam. Para provar que tínhamos controle, implementamos um sistema de gestão de segurança da informação certificado ISO 27001. O Aikido facilitou a demonstração de conformidade para a alta gerência, auditores, clientes e prospects, pois cobria todos os aspectos técnicos a partir de uma única plataforma.
O que se destacou no Aikido durante a avaliação?
Três coisas se destacaram durante a avaliação: ampla cobertura em Clouds, linguagens de programação e registros em uma única interface; vulnerabilidades pré-processadas para que pudéssemos focar nas descobertas críticas com conselhos acionáveis em vez de ruído; e recursos de relatórios e supervisão que facilitaram a demonstração de valor para a liderança C-level.
“Os relatórios de Tendências ao Longo do Tempo facilitam a demonstração de progresso à liderança sênior e destacam o trabalho realizado pela engenharia.”
Como foi o processo de onboarding?
Passamos da assinatura à implementação completa em cerca de um mês. Nosso CTO liderou a implementação, o que exigiu um esforço operacional mínimo do restante da equipe.
A equipe do Aikido sempre foi rápida em responder, e para quaisquer decisões que exigiam a avaliação de prós e contras, eles explicaram claramente nossas opções. Nos viramos principalmente com a documentação disponível e, quando necessário, o suporte estava a apenas uma mensagem de Slack de distância.
Como o Aikido se integrou aos seus fluxos de trabalho?
Muito tranquilamente. Não precisamos de nenhuma mudança técnica em nosso produto. Ele se integra ao ClickUp, então novas issues de alta e crítica severidade aparecem automaticamente em nosso backlog de projeto de segurança. Nosso diretor técnico pode então atribuí-las às equipes certas, o que mantém as prioridades claras e reduz o ruído para os desenvolvedores.
“Com as integrações com Slack e ClickUp, passamos de resumos de alertas semanais para alertas em tempo real.”
Também usamos os relatórios do Aikido em nossas reuniões mensais de segurança com a liderança sênior e de nível C. Ser capaz de acompanhar problemas novos versus resolvidos mês a mês nos ajuda a direcionar a estratégia e alocar recursos onde necessário.
Quais resultados tangíveis vocês observaram desde a adoção do Aikido?
O Aikido eliminou completamente o tempo de preparação para auditorias. Agora, durante qualquer auditoria, simplesmente abrimos a plataforma e mostramos como as integrações estão configuradas, oferecendo a garantia instantânea de que estamos no controle. O sistema de tickets automatizado não reduziu o tempo total gasto com questões de segurança, mas transformou a forma como o tempo é utilizado. Com melhor filtragem e priorização, os desenvolvedores se concentram apenas no que é mais importante, e a liderança obtém visibilidade em tempo real, em vez de esperar por relatórios manuais.
“Antes do Aikido, coletar todas as informações de segurança era tedioso. Agora, a supervisão, os relatórios e a tomada de decisões estratégicas são muito mais simples.”
Como você resumiria o impacto do Aikido na Tellent?
O Aikido nos ajudou a consolidar nossos scanners de segurança, melhorar a colaboração com a liderança e obter uma supervisão mais clara em todos os sistemas. Nos deu a confiança para experimentar e avançar mais rapidamente, sabendo que temos uma camada adicional de segurança monitorando.
“O Aikido nos permitiu ser proativos em vez de reativos, com um único local para supervisão, relatórios e ação.”
