Cómo Apheris sustituyó las herramientas de seguridad fragmentadas en menos de una semana

¡Hola Alejandro! ¿Qué hace Apheris y cuál es tu papel?

Apheris potencia las redes federadas de datos de ciencias de la vida, abordando el reto crítico de acceder a datos patentados bloqueados en silos debido a problemas de propiedad intelectual y privacidad. Nuestro producto es una infraestructura de computación federada con controles de gobernanza, seguridad y privacidad, que permite a las organizaciones de ciencias de la vida entrenar en colaboración modelos de mayor calidad sobre datos complementarios de múltiples partes. Somos un equipo relativamente pequeño (unos 25 ingenieros), lo que nos permite ser ágiles, probar cosas nuevas y adoptar tecnologías como Aikido.

Soy Alejandro y lidero la seguridad, privacidad y TI en Apheris. Con más de 12 años en el campo, he pasado de grandes organizaciones como Cisco, Rackspace y Auth0 al mundo de las startups, donde construyo programas de seguridad, privacidad y cumplimiento (y los equipos detrás de ellos) desde cero. Mi trabajo se centra en la seguridad de la nube y las aplicaciones, la infraestructura como código, la automatización y el mantenimiento de la resiliencia de los sistemas y la privacidad de los datos.

Vivo en la soleada Alicante, España. Cuando el tiempo me lo permite, me sigue gustando ponerme manos a la obra: escribir código, ajustar detecciones y crear herramientas internas. Últimamente, me he sumergido en la IA y la automatización, introduciendo agentes amigables con la gobernanza para agilizar la seguridad y los flujos de trabajo de TI y hacer que nuestra pila sea un poco más inteligente (y mucho más eficiente).

¿Qué importancia tiene el reto de la seguridad cuando se trabaja con clientes del sector farmacéutico?

Enorme y con razón. Tratamos con datos sensibles, por lo que la seguridad no es sólo una buena práctica, sino un requisito para hacer negocios. Por poner un ejemplo: Para un acuerdo empresarial, un cliente nos exigió que pasáramos cuatro pruebas de penetración independientes antes de firmar. Eso supone más de 100.000 euros gastados por su parte sólo para iniciar la conversación. También hemos creado un centro de confianza para que nuestros clientes o clientes potenciales puedan revisar toda nuestra postura interna en materia de privacidad, seguridad y cumplimiento. Esto también ayuda a nuestros clientes a agilizar y reducir el tiempo de respuesta en un orden de magnitud para sus revisiones de proveedores y evaluación de cumplimiento.

"Nunca había visto este nivel de escrutinio antes de firmar un contrato. No hay lugar para atajos".

Hemos integrado la privacidad y la seguridad en nuestros productos y procesos desde el primer día. Llevamos nuestro producto a los datos, no al revés. Nuestro sistema federado de formación de modelos se ejecuta en la infraestructura del cliente, como su cuenta de AWS, por lo que los datos no necesitan moverse. Esta configuración mantiene la conformidad, preserva la privacidad y se alinea con la forma en que los clientes farmacéuticos esperan que se gestionen sus datos. Cumplimos las normas ISO 27001, SOC 2 Tipo I y II y GDPR. La seguridad y la privacidad no son una ocurrencia tardía, son fundamentales para nuestro negocio. 

¿A qué retos se enfrentaba antes de pasarse al Aikido?

Nuestra configuración estaba fragmentada y carecía de centralización. Dependíamos de una mezcla de herramientas de código abierto para la exploración secreta: soluciones propietarias como Snyk para la seguridad de los contenedores y la gestión de dependencias, y Detectify para la exploración de aplicaciones web. Cada herramienta servía para un propósito, pero la falta de cohesión significaba que teníamos que dedicar un esfuerzo significativo a mantener todo unido con mucha cinta aislante y grasa de codo (risas).

La adopción de Aikido ha ayudado a consolidar varios de estos esfuerzos en un único producto más unificado, reduciendo la fricción para el equipo. Aunque no es una solución milagrosa, se ha convertido en una pieza importante de una estrategia de seguridad más amplia que sigue incluyendo otras herramientas y procesos que valoramos.

"Teníamos esta sobrecarga de un pequeño equipo que mantenía varias herramientas de código abierto. Era un fastidio".

Cada herramienta vivía en su propio silo. Resultaba difícil gestionar las configuraciones de los distintos repositorios y aún más difícil obtener una visión agregada de nuestra postura de seguridad. La exploración secreta era ruidosa. Los resultados del escaneado de contenedores no eran procesables. Y, en general, la carga de mantenimiento crecía a medida que teníamos más repositorios que escanear. Los resultados de Snyk eran difíciles de utilizar, especialmente para los ingenieros que necesitan conocer diferentes herramientas e interactuar con ellas de diferentes maneras. Incluso con nuestra infraestructura de Github como código, mantener estas herramientas actualizadas y funcionales se convirtió en una sangría de tiempo.

"Si yo, como ingeniero de seguridad, tengo que dedicar tiempo a descifrar los hallazgos, ¿cómo puedo esperar que nuestros ingenieros actúen en consecuencia? Se limitarán a ignorarlos".

¿Qué le llevó a elegir el Aikido?

Queríamos una plataforma que nos diera visibilidad, redujera el ruido y no requiriera una persona a tiempo completo para cuidarla.

Aikido cubre muchas de nuestras necesidades desde el primer momento. Muchas de las herramientas de código abierto que ya utilizábamos estaban integradas en la plataforma, lo que nos resultó familiar y redujo los gastos de migración. Gracias a nuestro enfoque de configuración como código de GitHub, pudimos desplegarlo en todos los repositorios en tan solo unos días, mucho más rápido de lo que habíamos previsto inicialmente.

Por supuesto, ningún despliegue se realiza sin esfuerzo. Tuvimos que validar nuestros procesos y comprobar que la cobertura se ajustaba a nuestras expectativas. Pero, en general, Aikido nos ayudó a acelerar el proceso y a reducir la carga operativa que suponía unir las cosas manualmente. Ahora es una parte sólida de nuestras herramientas de seguridad más amplias, aunque (como con cualquier proveedor) evaluamos y supervisamos continuamente su papel dentro de nuestro modelo de amenazas.

"Basándonos en experiencias anteriores, esperábamos una transición lenta. En cambio, migramos todo en una semana, sin interrumpir a nadie".

¿Qué ha cambiado tras el despliegue del Aikido?

La diferencia es de la noche al día. La seguridad se ha vuelto invisible para la mayoría de los desarrolladores, y eso es bueno. 

Aikido facilitó que los ingenieros vieran y resolvieran los problemas sin tener que devolver las preguntas al equipo de seguridad. Cada repositorio tiene información relevante y procesable. A los ingenieros les resulta fácil autoservirse y resolver problemas, sin necesidad de que yo les traduzca los informes de seguridad. Sin conjeturas. Sin PDF que interpretar. Las integraciones en pull requests y también en IDEs son una pasada.

¿Qué característica le ha impactado más?

Si tuviera que elegir uno, sería el Informe comparativo de equipos. Nos ofrece una visión excelente del rendimiento de los distintos equipos, e incluso publicamos el informe en Slack. No se trata de una competición en sí, pero sin duda gamifica la seguridad de una forma saludable.

Dicho esto, AutoFix también destaca. No sólo por lo que hace, sino por la rapidez con la que el equipo de Aikido actuó sobre nuestros comentarios. Al principio, nuestros estándares de PR bloquearon Autofix para que funcionara correctamente, ya que exigimos estándares estrictos para las solicitudes de pull, como el título del PR o los mensajes de commit. En cuestión de semanas, el equipo había añadido soporte para nuestra configuración específica.

Venimos de soluciones empresariales que no responden a los comentarios de los clientes (ya que somos una tienda pequeña), que requieren largas ventanillas de asistencia técnica incluso para asuntos insignificantes y que sólo te comunican los gestores de cuentas justo antes del ciclo de renovación.

"El equipo tuvo en cuenta nuestros comentarios y envió una solución en cuestión de semanas. Esa capacidad de respuesta es importante".

¿Y si tuviera que resumir el Aikido en una frase?

"Aikido es la tranquilidad de saber que sus responsabilidades de seguridad están cubiertas, para que nuestros ingenieros puedan centrarse en el envío sin compromisos".

‍