¡Hola Alejandro! ¿Qué hace Apheris y cuál es tu papel?

Apheris potencia las redes federadas de datos de ciencias de la vida, abordando el reto crítico de acceder a datos patentados bloqueados en silos debido a problemas de propiedad intelectual y privacidad. Nuestro producto es una infraestructura de computación federada con controles de gobernanza, seguridad y privacidad, que permite a las organizaciones de ciencias de la vida entrenar en colaboración modelos de mayor calidad sobre datos complementarios de múltiples partes. Somos un equipo relativamente pequeño (unos 25 ingenieros), lo que nos permite ser ágiles, probar cosas nuevas y adoptar tecnologías como Aikido.

Soy Alejandro y lidero la seguridad, privacidad y TI en Apheris. Con más de 12 años en el campo, he pasado de grandes organizaciones como Cisco, Rackspace y Auth0 al mundo de las startups, donde construyo programas de seguridad, privacidad y cumplimiento (y los equipos detrás de ellos) desde cero. Mi trabajo se centra en la seguridad de la nube y las aplicaciones, la infraestructura como código, la automatización y el mantenimiento de la resiliencia de los sistemas y la privacidad de los datos.

Vivo en la soleada Alicante, España. Cuando el tiempo me lo permite, me sigue gustando ponerme manos a la obra: escribir código, ajustar detecciones y crear herramientas internas. Últimamente, me he sumergido en la IA y la automatización, introduciendo agentes amigables con la gobernanza para agilizar la seguridad y los flujos de trabajo de TI y hacer que nuestra pila sea un poco más inteligente (y mucho más eficiente).

¿Qué tipo de presión ejercen sus clientes sobre sus prácticas de seguridad y cumplimiento?

Mucho. Y con razón. Trabajamos con datos sanitarios y vendemos en algunos de los sectores más regulados del planeta. Para un acuerdo empresarial, el cliente nos pidió que nos sometiéramos a cuatro pruebas de penetración independientes antes de firmar. Eso supone más de 100.000 euros gastados por su parte sólo para iniciar la conversación.

"Nunca había visto este nivel de escrutinio antes de firmar un contrato. No hay lugar para atajos".

La seguridad está integrada en nuestros productos y procesos desde el principio. Cumplimos las normas ISO 27001, SOC 2 Tipo I y II y GDPR, y hemos creado un Centro de Confianza para que los clientes puedan ver fácilmente nuestra postura sin necesidad de enviar y recibir correos electrónicos. Se trata de generar confianza rápidamente.

¿Cómo gestionaba antes la seguridad y el cumplimiento de la normativa?

Nuestra configuración era bastante típica de un equipo en rápida evolución: fragmentada y carente de centralización. Dependíamos de una mezcla de herramientas de código abierto para la exploración secreta, Snyk para la seguridad de contenedores y la gestión de dependencias, y Detectify para la exploración de aplicaciones web. Cada herramienta servía para un propósito, pero la falta de cohesión significaba que teníamos que dedicar un esfuerzo significativo a mantener todo unido con mucha cinta aislante y grasa de codo (risas).

"Teníamos esta sobrecarga de un pequeño equipo que mantenía varias herramientas de código abierto. Era un fastidio".

Cada herramienta servía para algo, pero ninguna de ellas funcionaba en conjunto. El escaneado de secretos era ruidoso y difícil de gestionar entre repos, el escaneado de contenedores era difícil de actuar para los ingenieros. Incluso las tareas básicas de cumplimiento, como la recopilación de pruebas o el seguimiento de los acuerdos de nivel de servicio, estaban fragmentadas.

Por ejemplo, la salida de Snyk era difícil de actuar, especialmente para los ingenieros que necesitan conocer diferentes herramientas e interactuar con ellas de diferentes maneras. Incluso con nuestra infraestructura de Github como código, mantener estas herramientas actualizadas y funcionales se convirtió en una sangría de tiempo.

"Si yo, como ingeniero de seguridad, tengo que dedicar tiempo a descifrar los hallazgos, ¿cómo puedo esperar que nuestros ingenieros actúen en consecuencia? Se limitarán a ignorarlos".

¿Cómo era el proceso de recogida de pruebas de conformidad antes de combinar Aikido con Vanta?

Dolorosamente manual. Las políticas se almacenaban en SharePoint. Las incorporaciones y las bajas se gestionaban por separado. La recopilación de pruebas de auditoría requería el uso de varias herramientas y hojas de cálculo.

"Manual, manual y más manual. Cada ciclo de auditoría suponía un lastre para la empresa".

Carecíamos de una visión unificada de las vulnerabilidades, el inventario, el riesgo de los proveedores, en fin. Y para un equipo pequeño, este tipo de fricción operativa puede ralentizar mucho las cosas cuando más importa

¿Cómo describiría el papel que desempeña ahora la tecnología en el apoyo a su postura de seguridad y cumplimiento?

La diferencia es de la noche al día. La seguridad se ha vuelto invisible para la mayoría de los desarrolladores, y eso es bueno. 

Aikido facilitó que los ingenieros vieran y resolvieran los problemas sin tener que devolver las preguntas al equipo de seguridad. Cada repositorio tiene información relevante y procesable. A los ingenieros les resulta fácil autoservirse y resolver problemas, sin necesidad de que yo les traduzca los informes de seguridad. Sin conjeturas. Sin PDF que interpretar. Las integraciones en pull requests y también en IDEs son una pasada.

Aikido y Vanta juntos nos dan visibilidad y automatización. Aikido escanea continuamente en busca de problemas e introduce datos reales en Vanta. Esto incluye:

• Seguimiento de SLA de vulnerabilidades y parches
• Detección de malware
• Gestión del cambio
• Validación de la configuración base (mediante Terraform e IaC)
• Aplicación de la política de GitHub
• Y formación automatizada sobre concienciación en materia de seguridad

"Ahora podemos mostrar cómo cumplimos los acuerdos de nivel de servicio y los controles, sin necesidad de compilar informes manualmente".

Vanta actúa entonces como nuestra única fuente de verdad para auditorías, revisiones de clientes y supervisión interna de GRC. Lo une todo con pruebas listas para auditorías y procesables.

¿Qué destacó al evaluar ambas herramientas?

En el caso de Aikido, fue la facilidad de implementación y la facilidad de desarrollo. Esperábamos una transición dolorosa, pero la tuvimos funcionando en todos los repos en menos de una semana. Aikido cubre muchas de nuestras necesidades desde el primer momento. Muchas de las herramientas de código abierto que ya estábamos utilizando se integraron en la plataforma, lo que hizo que las cosas se sintieran familiares y redujo nuestra sobrecarga de migración. Gracias a nuestro enfoque GitHub setup-as-code, hemos sido capaces de desplegarlo a través de repositorios en tan sólo unos días, mucho más rápido de lo que habíamos previsto inicialmente.

"Basándonos en experiencias anteriores, esperábamos una transición lenta. En cambio, migramos todo en una semana, sin interrumpir a nadie".

Para Vanta: fue la amplitud de la automatización y lo rápido que pudimos reducir la recogida manual de pruebas. Las integraciones con Aikido, Microsoft Defender y GitHub, entre otras, lo convirtieron en la solución perfecta para centralizar el cumplimiento de normativas.

Juntos, redujeron el esfuerzo y el riesgo. Ganamos visibilidad, redujimos el ruido y pasamos a una configuración que no requiere una persona a tiempo completo que la cuide.

¿Puedes compartir un momento en el que el Aikido y Vanta te hayan ahorrado tiempo o estrés?

Sin duda. El informe comparativo de equipos de Aikido nos ofrece una visión excelente del rendimiento de los distintos equipos, e incluso publicamos el informe en Slack. No se trata de competir, en sí, pero sin duda gamifica la seguridad de una forma saludable.

Dicho esto, AutoFix también destaca. No sólo por lo que hace, sino por la rapidez con la que el equipo de Aikido actuó sobre nuestros comentarios. Al principio, nuestros estándares de PR bloquearon Autofix para que funcionara correctamente, ya que exigimos estándares estrictos para las solicitudes de pull, como el título del PR o los mensajes de commit. En cuestión de semanas, el equipo había añadido soporte para nuestra configuración específica.

Venimos de soluciones empresariales que no responden a los comentarios de los clientes (ya que somos una tienda pequeña), que requieren largas ventanillas de asistencia técnica incluso para asuntos insignificantes y que sólo te comunican los gestores de cuentas justo antes del ciclo de renovación.

"El equipo tuvo en cuenta nuestros comentarios y envió una solución en cuestión de semanas. Esa capacidad de respuesta es importante".

Por el lado de Vanta, tener señales de seguridad de Aikido fluyendo en nuestros tableros de cumplimiento significa que ya no nos peleamos por respuestas cuando los clientes preguntan: "¿Cómo manejan las vulnerabilidades?". Ya está ahí, con contexto y seguimiento de SLA.

Y por último: ¿cómo resumiría el impacto de Aikido y Vanta?

"Aikido y Vanta nos dan tranquilidad. La seguridad y el cumplimiento están cubiertos, así que nuestros ingenieros pueden centrarse en construir."