Athumi desempeña un papel central en la habilitación del intercambio de datos de confianza en Flandes, una de las tres regiones de Bélgica (que representa aproximadamente el 60% de la población belga). Como intermediario de datos, su misión exige los más altos niveles de protección de datos, cumplimiento normativo y empoderamiento del desarrollador. Hablamos con el CTO de Athumi, David Van den Brande, para explorar cómo la empresa escaló su madurez en seguridad y por qué Aikido se convirtió en un socio clave en ese camino.

“Aikido es un socio dinámico que responde en el momento justo con el enfoque adecuado para abordar la creciente necesidad de una ciberseguridad efectiva.”

¿Puedes presentarte y describir tu rol en Athumi?

He estado en Athumi desde el principio, cuando todavía éramos un programa dentro de Digitaal Vlaanderen, una agencia del gobierno flamenco que trabaja en la transformación digital de los servicios públicos. Superviso tanto la tecnología como la infraestructura, guiando las decisiones arquitectónicas para asegurar la coherencia, la agilidad y el ajuste estratégico en toda la organización.

Lo que me atrajo fue la magnitud del desafío: fusionar sistemas heredados con nuevas plataformas, equilibrar equipos de desarrollo descentralizados con una gobernanza unificada para garantizar altos estándares de calidad y cumplimiento a nivel corporativo. Hay que hacerlo todo mientras se impulsan ambiciosos proyectos de innovación y se aprovecha la tecnología para establecer y cultivar la colaboración entre socios públicos y privados.

¿Cuál es la misión de Athumi y cómo apoyáis al gobierno belga?

Athumi comenzó como parte del Plan Flamenco de Recuperación de la Resiliencia durante el período de COVID para apoyar la recuperación económica en Flandes, Bélgica. Actuamos como un intermediario de datos en el que confían gobiernos y organizaciones privadas para que los datos personales y empresariales fluyan de forma segura.

GDPR y NIS2 crearon importantes protecciones, pero también dificultaron la comunicación entre sistemas. Vimos una brecha en el mercado: ¿cómo se desbloquean los datos sin violar la confianza? Athumi ayuda a llenar esa brecha, técnica, legal y organizativamente.

¿Qué importancia tiene la seguridad en su trabajo?

La seguridad es el eje central de todo lo que hacemos. Gestionamos tanto datos personales como información empresarial confidencial. La confianza no es negociable. Todo nuestro ecosistema depende de ella.

Por eso invertimos pronto en un Sistema de Gestión de Seguridad de la Información (SGSI) dedicado, contratamos a un CISO y estructuramos nuestra organización para elevar la ciberseguridad como una responsabilidad a nivel de junta directiva.

¿Qué desafíos enfrentaste antes de trabajar con Aikido?

Teníamos múltiples desafíos:

• Fragmentación: Teníamos múltiples objetivos de alojamiento, cada uno con su propia pipeline de CI/CD y reglas de despliegue específicas.
• Sobrecarga de cumplimiento: Las auditorías centralizadas chocaban con los flujos de trabajo específicos de cada equipo.
• Distancia del desarrollador al riesgo: Los desarrolladores no siempre eran conscientes de los impactos en la seguridad hasta etapas avanzadas del ciclo.
• Falta de visibilidad: La dirección no podía afirmar con confianza 'enviamos código seguro'.

La concienciación sobre seguridad variaba mucho. Mientras que la junta directiva necesitaba una garantía clara, los desarrolladores necesitaban herramientas tangibles y accionables. "Predicar con el ejemplo" solo funciona si la gente tiene los medios para llevarlo a cabo.

“No quería ser el CTO externo que impone la seguridad de arriba abajo. Aikido ayuda a los desarrolladores a crecer aprendiendo codificación segura en contexto; cada vulnerabilidad que solucionan les hace mejores a la hora de prevenir la siguiente.”

¿Cuál fue el desencadenante para formalizar su enfoque de seguridad?

Cuando unificamos nuestro panorama de alojamiento previamente fragmentado entre equipos, nos dio una oportunidad para rediseñar nuestra pipeline de CI/CD. Nuestro consejo asesor, compuesto por expertos en seguridad independientes, nos desafió: ‘¿cómo harán que esta nueva pipeline sea segura por diseño?’

Eso nos llevó a explorar soluciones que apoyan a equipos descentralizados, sin imponer una pipeline única para todos. 

¿Cómo descubrió Aikido?

Aikido llegó a nosotros a través de una combinación de recomendaciones de colegas y aportaciones del consejo asesor. Estábamos mapeando el proceso ideal de CI/CD seguro, evaluando cómo trabajaban los equipos. Aikido destacó por su flexibilidad: se integró sin problemas con los flujos de trabajo existentes del equipo, ya sea trabajando en el `main` (MOB'ing), con ramas de características o desplegando a través de PRs.

El equipo podía mantener el control, mientras seguía beneficiándose de controles de seguridad claros y automatizados.

¿Qué destacó durante vuestra evaluación?

Tres cosas destacaron:

1. Feedback del desarrollador en el puesto de trabajo: Nuestros equipos aprenden haciendo, no asistiendo a cursos de seguridad formales. Aikido se adapta a esa mentalidad.
   
2. No intrusivo: Se ejecuta como un sidecar. Complementa nuestros flujos de trabajo sin bloquearlos.
   
3. Valor inmediato: Los desarrolladores obtienen información rápida, ayudándoles a solucionar problemas en el flujo de trabajo.
   

“El ciclo de retroalimentación es instantáneo. Los desarrolladores no necesitan cursos de formación, aprenden haciendo, y Aikido lo apoya.”

¿Cómo resultó la integración?

Empezamos de forma sencilla: plugins de IDE, alertas de Slack, integración con Jira, para que los equipos pudieran ver resultados de inmediato. La baja barrera de entrada fue clave. Ahora, nos hemos expandido a la seguridad en tiempo de ejecución (runtime security) y la configuración de la nube (cloud config). Puede escalarlo a su ritmo, equipo por equipo.

“No está incrustado, es un sidecar. Mantienes el control de tu ruta de producción, mientras que Aikido hace que la seguridad sea visible y accionable.”

¿Cómo ha cambiado Aikido su forma de trabajar?

La seguridad ya no es un obstáculo ni un silo. Es un hábito: parte de cómo nuestros equipos despliegan código. Estamos estableciendo activamente:

• Mayor concienciación entre los desarrolladores
• Remediación de vulnerabilidades más rápida
• Mejor preparación para auditorías
• Paneles de control centrales para la transparencia
  

“Aikido nos ayuda a cumplir lo que prometemos, convirtiendo nuestro compromiso de seguridad en acciones reales en entornos de desarrollo y de ejecución.”

¿Ha ayudado con el cumplimiento?

Absolutamente. Estamos trabajando para obtener la certificación ISO, y Aikido juega un papel importante en la documentación, seguimiento y comunicación de nuestra postura de seguridad.

La seguridad no es una simple casilla de verificación, con Aikido, la mejoramos estructuralmente y demostramos madurez sin esfuerzo, en cualquier momento.

¿Qué les diría a otros líderes tecnológicos gubernamentales?

Empieza con la confianza. No impongas herramientas, sino habilita a tus equipos con las adecuadas. La seguridad no es una función de back-office. Es una preocupación del producto, una preocupación de la plataforma y un facilitador de negocio.

Aikido evoluciona con nosotros. No nos encierra en una única forma de trabajar. Esa flexibilidad es crucial cuando se gestionan equipos descentralizados y se escala el cumplimiento normativo simultáneamente.

¿Por qué importa que Aikido sea europeo?

Importa más de lo que crees. La seguridad es estratégica. Apoyar la innovación europea se alinea con nuestros valores de resiliencia económica, soberanía, confianza y cumplimiento con el marco regulatorio europeo en evolución. Tener un socio europeo (y, en nuestro caso, belga) que entienda nuestro contexto es una gran ventaja.

¿Cómo describiría Aikido en una frase?

“Aikido es un socio dinámico que aparece con el enfoque adecuado exactamente cuando más lo necesitas: en medio de altos estándares de seguridad internos, legislación y geopolítica.”