Athumi desempeña un papel fundamental a la hora de facilitar el intercambio de datos fiables en Flandes, una de las tres regiones de Bélgica (donde vive aproximadamente el 60% de la población belga). Como intermediario de datos, su misión exige los más altos niveles de protección de datos, conformidad y capacitación de los desarrolladores. Hablamos con el director de tecnología de Athumi, David Van den Brande, para que nos explique cómo la empresa ha aumentado su madurez en materia de seguridad y por qué Aikido se ha convertido en un socio clave en este viaje.
"Aikido es un socio dinámico que responde en el momento exacto y con el enfoque adecuado para hacer frente a la creciente necesidad de una ciberseguridad eficaz."
¿Podría presentarse a sí mismo y su función en Athumi?
Llevo en Athumi desde el principio, cuando aún éramos un programa dentro de Digitaal Vlaanderen, una agencia del gobierno flamenco que trabaja en la transformación digital de los servicios públicos. Superviso tanto la tecnología como la infraestructura, orientando las decisiones arquitectónicas para garantizar la coherencia, la agilidad y el ajuste estratégico en toda la organización.
Lo que me atrajo fue la magnitud del reto: fusionar sistemas heredados con nuevas plataformas, equilibrar equipos de desarrollo descentralizados con una gobernanza unificada para garantizar altos niveles de calidad y conformidad a nivel corporativo. Hay que hacerlo todo al tiempo que se impulsan ambiciosos proyectos de innovación y se aprovecha la tecnología para establecer y cultivar la colaboración entre socios públicos y privados.
¿Cuál es la misión de Athumi y cómo apoya al gobierno belga?
Athumi comenzó como parte del Plan Flamenco de Recuperación de la Resiliencia durante el periodo COVID para apoyar la recuperación económica en Flandes, Bélgica. Actuamos como intermediario de datos en el que confían gobiernos y organizaciones privadas para que los datos personales y empresariales fluyan de forma segura.
El GDPR y el NIS2 crearon protecciones importantes, pero también dificultaron la comunicación entre sistemas. Vimos un vacío en el mercado: ¿cómo desbloquear los datos sin violar la confianza? Athumi ayuda a llenar ese vacío, desde el punto de vista técnico, legal y organizativo.
¿Qué importancia tiene la seguridad en su trabajo?
La seguridad está en el centro de todo lo que hacemos. Tratamos tanto datos personales como información empresarial confidencial. La confianza no es negociable. Todo nuestro ecosistema depende de ella.
Por eso invertimos desde el principio en un Sistema de Gestión de la Seguridad de la Información (SGSI), contratamos a un CISO y estructuramos nuestra organización para elevar la ciberseguridad al nivel de responsabilidad del consejo de administración.
¿A qué retos se enfrentaba antes de trabajar con el Aikido?
Tuvimos múltiples retos:
- Fragmentación: Teníamos varios objetivos de alojamiento, cada uno con su propia canalización CI/CD y reglas de despliegue específicas.
- Sobrecarga de cumplimiento: Las auditorías centralizadas chocaban con los flujos de trabajo específicos de cada equipo.
- Distancia de los desarrolladores con respecto al riesgo: Los desarrolladores no siempre eran conscientes de las repercusiones en la seguridad hasta una fase avanzada del ciclo.
- Falta de visibilidad: La dirección no podía decir con confianza "enviamos código seguro".
La concienciación en materia de seguridad era muy variada. Mientras que la junta directiva necesitaba garantías claras, los desarrolladores necesitaban herramientas tangibles y prácticas. "Hablar por hablar" sólo funciona si la gente tiene los medios para hacerlo.
"No quería ser un director de tecnología ajeno a la empresa que imponía la seguridad desde arriba. Aikido ayuda a los desarrolladores a crecer aprendiendo codificación segura en contexto; cada vulnerabilidad que solucionan les hace mejores en la prevención de la siguiente."
¿Cuál fue el detonante para formalizar su enfoque de seguridad?
Cuando unificamos nuestro entorno de alojamiento entre equipos, que antes estaba fragmentado, hicimos borrón y cuenta nueva para rediseñar nuestra canalización de CI/CD. Nuestro consejo asesor, formado por expertos independientes en seguridad, nos planteó el siguiente reto: "¿Cómo vais a hacer que este nuevo canal sea seguro por diseño?
Eso nos llevó a explorar soluciones que apoyaran a los equipos descentralizados, sin imponer un proceso único para todos.
¿Cómo descubrió el Aikido?
Aikido llegó a nosotros a través de una mezcla de recomendaciones de compañeros y aportaciones del consejo asesor. Estábamos mapeando el proceso de CI/CD seguro ideal, evaluando cómo trabajaban los equipos. Aikido destacaba por su flexibilidad: se integraba a la perfección con los flujos de trabajo existentes del equipo, ya fuera MOB en main, trabajando con ramas de características o enviando a través de PR.
El equipo podía mantener el control, al tiempo que se beneficiaba de controles de seguridad claros y automatizados.
¿Qué ha destacado durante su evaluación?
Destacaron tres cosas:
- Comentarios de los desarrolladores sobre el terreno: Nuestros equipos aprenden haciendo, no asistiendo a cursos formales de seguridad. Aikido se ajusta a esa mentalidad.
- No es intrusivo: Se ejecuta como sidecar. Complementa nuestros flujos de trabajo sin bloquearlos.
- Valor inmediato: Los desarrolladores obtienen información rápidamente, lo que les ayuda a solucionar problemas en el flujo de trabajo.
"El bucle de retroalimentación es instantáneo. Los desarrolladores no necesitan cursos de formación, aprenden haciendo, y Aikido les ayuda a ello".
¿Cómo fue la integración?
Empezamos de forma sencilla: Plugins de IDE, alertas de Slack, integración con Jira, para que los equipos pudieran empezar a ver resultados de inmediato. La baja barrera de entrada fue clave. Ahora, hemos ampliado la seguridad en tiempo de ejecución y la configuración en la nube. Puedes escalarlo a tu ritmo, equipo por equipo.
"No está integrado, es un sidecar. Tú mantienes el control de tu ruta de producción, mientras que Aikido hace que la seguridad sea visible y procesable".
¿Cómo ha cambiado el Aikido su forma de trabajar?
La seguridad ya no es un obstáculo ni un silo. Es un hábito: forma parte de cómo nuestros equipos distribuyen el código. Lo estamos estableciendo activamente:
- Mayor concienciación entre los desarrolladores
- Corrección de vulnerabilidades más rápida
- Mejor preparación para las auditorías
- Cuadros de mando centrales para la transparencia
"Aikido nos ayuda a predicar con el ejemplo convirtiendo nuestro compromiso de seguridad en acciones reales en todos los entornos de desarrollo y ejecución".
¿Ha contribuido al cumplimiento?
Por supuesto. Estamos trabajando para obtener la certificación ISO, y Aikido desempeña un papel importante en la documentación, el seguimiento y la comunicación de nuestra postura de seguridad.
La seguridad no es una casilla de verificación, con el Aikido, la mejoramos estructuralmente y demostramos madurez sin esfuerzo, en cualquier momento.
¿Qué les diría a otros líderes tecnológicos gubernamentales?
Empiece por la confianza. No imponga herramientas, sino dote a sus equipos de las adecuadas. La seguridad no es una función administrativa. Es una cuestión de producto, de plataforma y de negocio.
El aikido evoluciona con nosotros. No nos encierra en una sola forma de trabajar. Esa flexibilidad es crucial cuando se gestionan equipos descentralizados y se amplía el cumplimiento simultáneamente.
¿Por qué importa que el Aikido sea europeo?
Importa más de lo que cree. La seguridad es estratégica. Apoyar la innovación europea concuerda con nuestros valores en torno a la resistencia económica, la soberanía, la confianza y el cumplimiento del marco normativo europeo en evolución. Contar con un socio europeo (y, en nuestro caso, belga) que entienda nuestro contexto es una gran ventaja.
¿Cómo describiría el Aikido en una frase?
"Aikido es un socio dinámico que aparece con el enfoque adecuado justo cuando más lo necesitas: en medio de elevadas normas de seguridad interna, legislación y geopolítica".
"Aikido es una de las herramientas que convierte las políticas de seguridad abstractas en prácticas concretas y procesables. Nos permite predicar con el ejemplo, dentro de Athumi y en todo el ecosistema belga y europeo."
.webp){kind=logo}
.png)