¡Hola Alejandro! ¿A qué se dedica Apheris y cuál es tu rol?
Apheris impulsa redes de datos federadas para ciencias de la vida, abordando el desafío crítico de acceder a datos propietarios bloqueados en silos debido a preocupaciones de propiedad intelectual y privacidad. Nuestro producto es una infraestructura de computación federada con controles de gobernanza, seguridad y privacidad, que permite a las organizaciones de ciencias de la vida entrenar colaborativamente modelos de mayor calidad con datos complementarios de múltiples partes. Somos un equipo relativamente pequeño (alrededor de 25 ingenieros), lo que nos permite mantenernos ágiles, probar cosas nuevas y ser los primeros en adoptar tecnologías como Aikido.
Soy Alejandro y dirijo la seguridad, la privacidad y la TI en Apheris. Con más de 12 años en el campo, he pasado de grandes organizaciones como Cisco, Rackspace y Auth0 al mundo de las startups, donde construyo programas de seguridad, privacidad y cumplimiento (y los equipos que los respaldan) desde cero. Mi enfoque abarca la seguridad en la nube y de aplicaciones, la infraestructura como código, la automatización y el mantenimiento de sistemas resilientes y datos privados.
Estoy basado en la soleada Alicante, España. Cuando el tiempo lo permite, sigo disfrutando de la parte práctica: escribiendo código, ajustando detecciones y construyendo herramientas internas. Últimamente, me he estado adentrando en la IA y la automatización, introduciendo agentes que facilitan la gobernanza para optimizar los flujos de trabajo de seguridad y TI y hacer que nuestra pila tecnológica sea un poco más inteligente (y mucho más eficiente).
¿Qué tipo de presión ejercen sus clientes sobre sus prácticas de seguridad y cumplimiento?
Mucho. Y con razón. Trabajamos con datos de salud y vendemos a algunas de las industrias más reguladas del planeta. Para un acuerdo empresarial, el cliente nos pidió que nos sometiéramos a cuatro pruebas de penetración independientes antes de firmar. Eso supone más de 100.000 € gastados por su parte solo para iniciar la conversación.
“Nunca había visto este nivel de escrutinio antes de firmar un contrato. No hay lugar para atajos.”
La seguridad está integrada en nuestro producto y procesos desde el principio. Cumplimos con ISO 27001, SOC 2 Tipo I y II, GDPR, y hemos creado un Centro de Confianza para que los clientes puedan ver fácilmente nuestra postura sin necesidad de intercambiar correos electrónicos. Se trata de generar confianza, rápidamente.
¿Cómo gestionaba la seguridad y la conformidad antes?
Nuestra configuración era bastante típica para un equipo en rápido movimiento: fragmentada y carente de centralización. Nos basábamos en una mezcla de herramientas de código abierto para el escaneo de secretos, Snyk para la seguridad de contenedores y la gestión de dependencias, y Detectify para el escaneo de aplicaciones web. Cada herramienta cumplía un propósito, pero la falta de cohesión significaba que teníamos que dedicar un esfuerzo considerable a mantener todo unido con parches y mucho esfuerzo (risas).
“Teníamos la sobrecarga de un pequeño equipo manteniendo varias herramientas de código abierto. Era un engorro.”
Cada herramienta cumplía un propósito, pero ninguna funcionaba en conjunto. El escaneo de secretos era ruidoso y difícil de gestionar entre repositorios, el escaneo de contenedores era complicado para que los ingenieros actuaran sobre él. Incluso tareas básicas de cumplimiento como la recopilación de pruebas o el seguimiento de los SLA estaban fragmentadas.
Por ejemplo, la salida de Snyk era difícil de procesar, especialmente para los ingenieros que necesitan conocer diferentes herramientas e interactuar con ellas de distintas maneras. Incluso con nuestra infraestructura como código de Github, mantener estas herramientas actualizadas y funcionales se convirtió en una pérdida de tiempo.
“Si yo, como ingeniero de seguridad, tengo que dedicar tiempo a descifrar los hallazgos, ¿cómo puedo esperar que nuestros ingenieros actúen en consecuencia? Simplemente lo ignorarán.”
¿Cómo era el proceso de recopilación de pruebas de cumplimiento antes de combinar Aikido con Vanta?
Excesivamente manual. Las políticas se almacenaban en SharePoint. La incorporación y desvinculación se gestionaban por separado. Recopilar la evidencia de auditoría requería saltar entre múltiples herramientas y hojas de cálculo.
“Manual, manual y más manual. Cada ciclo de auditoría suponía un lastre para el negocio.”
Carecíamos de una visión unificada de vulnerabilidades, inventario, riesgo de proveedores, lo que sea. Y para un equipo pequeño, este tipo de fricción operativa puede ralentizar mucho las cosas cuando más importa.
¿Cómo describiría el papel que la tecnología desempeña ahora en el apoyo a su postura de seguridad y conformidad?
La diferencia es abismal. La seguridad se volvió invisible para la mayoría de los desarrolladores, y eso es algo bueno.
Aikido facilitó a los ingenieros ver y resolver problemas sin tener que devolver preguntas al equipo de seguridad. Cada repositorio tiene información relevante y accionable. Es fácil para los ingenieros auto-servirse y resolver problemas, sin necesidad de que yo les traduzca los informes de seguridad. Sin conjeturas. Sin PDFs que interpretar. Las integraciones en las pull requests y también en los IDEs son geniales.
Aikido y Vanta juntos nos proporcionan visibilidad y automatización. Aikido escanea continuamente en busca de problemas e introduce datos reales en Vanta. Esto incluye:
- Seguimiento de SLA de vulnerabilidades y parches
- Detección de malware
- Gestión de cambios
- Validación de la configuración base (a través de Terraform e IaC)
- Aplicación de políticas de GitHub
- Y formación automatizada en concienciación sobre seguridad
“Ahora podemos demostrar cómo cumplimos con los SLA y los controles, sin tener que compilar informes manualmente.”
Vanta actúa entonces como nuestra única fuente de verdad para auditorías, revisiones de clientes y supervisión interna de GRC. Lo conecta todo con pruebas que están listas para auditorías y son accionables.
¿Qué destacó al evaluar ambas herramientas?
Para Aikido: fue la facilidad de implementación y la amigabilidad para desarrolladores. Esperábamos una transición dolorosa, pero lo tuvimos funcionando en todos los repositorios en menos de una semana. Aikido cubre gran parte de nuestras necesidades de forma predeterminada. Muchas de las herramientas de código abierto que ya utilizábamos estaban integradas en la plataforma, lo que hizo que todo resultara familiar y redujo nuestra sobrecarga de migración. Gracias a nuestro enfoque de GitHub de configuración como código, pudimos implementarlo en todos los repositorios en solo unos días, mucho más rápido de lo que habíamos anticipado inicialmente.
“Basándonos en experiencias previas, esperábamos una transición lenta. En cambio, migramos todo en una semana, sin interrumpir a nadie.”
Para Vanta: fue la amplitud de la automatización y la rapidez con la que pudimos reducir la recopilación manual de pruebas. Las integraciones con Aikido, Microsoft Defender, GitHub y otros lo convirtieron en la solución adecuada para centralizar el cumplimiento.
Juntos, redujeron tanto el esfuerzo como el riesgo. Ganamos visibilidad, redujimos el ruido y pasamos a una configuración que no requiere una persona a tiempo completo para supervisarla.
¿Puedes compartir un momento en que Aikido y Vanta te ahorraron tiempo o estrés?
Definitivamente. El Informe de Comparación de Equipos de Aikido nos ofrece una excelente perspectiva sobre el rendimiento de los diferentes equipos, e incluso publicamos el informe en Slack. No se trata de competencia per se, pero sin duda gamifica la seguridad de una manera saludable.
Dicho esto, AutoFix también destaca. No solo por lo que hace, sino por la rapidez con la que el equipo de Aikido actuó según nuestros comentarios. Al principio, nuestros estándares de PRs impedían que Autofix funcionara correctamente, ya que exigimos estándares estrictos para las solicitudes de extracción, como el título del PR o los mensajes de commit. En cuestión de semanas, el equipo había añadido soporte para nuestra configuración específica.
Veníamos de soluciones empresariales que no responden a los comentarios de los clientes (ya que somos una pequeña empresa), requieren tickets de soporte con largos tiempos de respuesta incluso para asuntos menores y solo te contactan tus gestores de cuenta justo antes del ciclo de renovación.
“El equipo tomó nuestra retroalimentación y lanzó una solución en cuestión de semanas. Ese tipo de capacidad de respuesta es importante.”
Por parte de Vanta, tener las señales de seguridad de Aikido fluyendo hacia nuestros paneles de cumplimiento significa que ya no tenemos que buscar respuestas a toda prisa cuando los clientes preguntan: “¿Cómo gestionáis las vulnerabilidades?” Ya está ahí, con contexto y seguimiento de SLA.
Y finalmente: ¿cómo resumirías el impacto de Aikido y Vanta?
“Aikido y Vanta nos dan tranquilidad. La seguridad y el cumplimiento están cubiertos, para que nuestros ingenieros puedan centrarse en desarrollar.”
