Olá Daan! Podes falar-nos da Tellent e do teu papel?

O meu nome é Daan Goumans e sou o responsável pela segurança da informação e chefe de equipa de TI na Tellent. Estou na empresa há cerca de 3,5 anos. O meu principal objetivo é a gestão de riscos e a vertente estratégica dos controlos de segurança, enquanto a minha equipa gere as operações diárias das nossas principais ferramentas empresariais, como o correio, as comunicações internas e os terminais dos utilizadores. 

A nossa equipa de engenharia é composta por cerca de 90-100 pessoas, incluindo gestores de produto. Juntos, construímos e mantemos a plataforma de RH da Tellent, que combina recrutamento (ATS), RH principal (HRIS) e ferramentas de desempenho e crescimento num único sistema. O que nos distingue é a flexibilidade de começar com o que precisa e crescer ao longo do tempo, juntamente com mais de 200 integrações e uma extensa personalização do fluxo de trabalho.

"A segurança e a conformidade são pilares fundamentais da nossa estratégia de produtos. Os nossos clientes confiam em nós para proteger os dados sensíveis das contratações e dos empregados."

Como é que a segurança e a conformidade moldaram a sua estratégia de produto?

O tratamento de dados sensíveis significa que temos de cumprir normas rigorosas de segurança e conformidade. Somos auditados regularmente em relação à ISO 27001, SOC 2 Tipo 2, e efectuamos testes de penetração como parte da nossa estratégia. Também queremos que os nossos clientes cumpram os seus próprios requisitos, pelo que incorporámos funcionalidades como o controlo de acesso baseado em funções, a retenção de dados configurável e fluxos de trabalho automatizados para os apoiar.

O que o levou a começar a avaliar o Aikido?

Não houve um grande incidente que nos tenha levado a avaliar o Aikido. Tentámos sempre ser proactivos na melhoria da segurança. Um parceiro na área da segurança disse-nos que tinham consolidado soluções no Aikido e que estavam muito satisfeitos com os resultados. Nós próprios analisámos a solução e percebemos que nos poderia ajudar a obter uma melhor supervisão de todos os activos num único local. 

Antes do Aikido, as nossas ferramentas não tinham cobertura para linguagens de programação específicas (estávamos a utilizar o Dependabot) ou só resolviam parte do problema. Algumas criavam ruído em vez de conselhos acionáveis, enquanto outras não davam um bom retorno do investimento.

"Precisávamos de algo que nos desse uma cobertura total, menos ruído e mais informações acionáveis num só local."

Que desafios enfrentou na altura?

Durante a nossa fusão, tivemos de integrar novas bases de código, ambientes de nuvem e integrações de terceiros. As nossas ferramentas existentes não conseguiam acompanhar o ritmo ou o âmbito. Para além disso, à medida que a nossa base de clientes crescia, também cresciam os requisitos de conformidade. Para provar que tínhamos o controlo, implementámos um sistema de gestão da segurança da informação com certificação ISO 27001. O Aikido facilitou a demonstração da conformidade à liderança sénior, aos auditores, aos clientes e aos potenciais clientes, porque cobria todos os aspectos técnicos a partir de uma única plataforma.

O que é que se destacou no Aikido durante a avaliação?

Três coisas se destacaram durante a avaliação: ampla cobertura em clouds, linguagens de programação e registos numa única interface; vulnerabilidades pré-processadas para que nos pudéssemos concentrar nas descobertas críticas com conselhos acionáveis em vez de ruído; e funcionalidades de relatório e supervisão que facilitaram a demonstração de valor para a liderança de nível C.

"Os relatórios de Tendências ao longo do tempo facilitam a apresentação dos progressos à liderança sénior e destacam o trabalho realizado pela engenharia."

Como foi o processo de integração?

Passámos da assinatura à implementação de tudo em cerca de um mês. O nosso CTO liderou a implementação, pelo que foi necessário um esforço operacional mínimo por parte do resto da equipa. 

A equipa da Aikido foi sempre rápida a responder e, para quaisquer decisões que exigissem uma ponderação de prós e contras, explicaram claramente as nossas opções. Na maior parte das vezes, conseguimos utilizar a documentação disponível e, quando necessário, o suporte estava apenas a uma mensagem do Slack de distância.

Como é que o Aikido se integrou nos vossos fluxos de trabalho?

Tudo correu muito bem. Não necessitámos de quaisquer alterações técnicas ao nosso produto. Integra-se com o ClickUp, pelo que os novos problemas de gravidade elevada e crítica aparecem automaticamente no nosso quadro de pendências do projeto de segurança. O nosso diretor técnico pode então atribuí-los às equipas certas, o que mantém as prioridades claras e reduz o ruído para os programadores. 

"Com as integrações do Slack e do ClickUp, passámos de resumos de alertas semanais para alertas em tempo real."

Também utilizamos os relatórios do Aikido nas nossas reuniões mensais de segurança com a liderança sénior e de nível C. O facto de podermos acompanhar os problemas novos e os resolvidos mês após mês ajuda-nos a orientar a estratégia e a afetar recursos quando necessário.

Que resultados tangíveis observou desde que adoptou o Aikido?

O Aikido eliminou completamente o tempo de preparação para as auditorias. Agora, durante qualquer auditoria, basta abrir a plataforma e mostrar como as integrações estão configuradas, dando uma garantia imediata de que estamos no controlo. A emissão automática de bilhetes não reduziu o tempo total gasto em questões de segurança, mas transformou a forma como o tempo é utilizado. Com uma melhor filtragem e priorização, os desenvolvedores se concentram apenas no que é mais importante, e a liderança obtém visibilidade em tempo real, em vez de esperar por relatórios manuais.

"Antes do Aikido, a recolha de todas as informações de segurança era entediante. Agora, a supervisão, os relatórios e a tomada de decisões estratégicas são muito mais simples."

Como resumiria o impacto do Aikido em Tellent?

O Aikido ajudou-nos a consolidar os nossos scanners de segurança, a melhorar a colaboração com a liderança e a obter uma supervisão mais clara de todos os sistemas. Deu-nos a confiança para experimentar e avançar mais rapidamente, sabendo que temos uma camada adicional de segurança a vigiar.

"O Aikido permitiu-nos ser proactivos em vez de reactivos, com um único local para supervisão, relatórios e acções."