¡Hola Martijn! ¿Puedes contarnos un poco sobre ti y tu rol en Helin?

Soy el CTO y uno de los fundadores de Helin. Soy responsable de todo lo relacionado con la seguridad y los principios de diseño de software seguro. Hemos construido una plataforma que permite a las empresas industriales, especialmente en los sectores marítimo y de energías renovables, gestionar la inteligencia en el borde a escala.

Nuestro equipo de ingeniería está formado por unas 40 personas. La complejidad de lo que construimos, tanto el software en sí como el entorno en el que se ejecuta, exige una mentalidad de seguridad desde el primer día.

¿Qué hace Helin y qué problema estáis resolviendo?

Estamos construyendo una plataforma de gestión de aplicaciones industriales. Nuestra misión es simplificar el despliegue y la operación de software en el edge para clientes industriales. Piensen en plataformas de perforación offshore, parques eólicos, parques de energía renovable... Somos esencialmente el sistema operativo para sitios de energía renovable.

También aplicamos lo que predicamos: ejecutamos dos de nuestras propias aplicaciones en la plataforma para probar, validar y fortalecer todo lo que hacemos. Esto también significa que somos nuestro propio cliente cero. Si algo falla, lo sabemos antes que nadie.

¿Cómo destaca Helin en el sector del software industrial?

“En nuestra industria, la seguridad es una 'licencia para operar'. Si no puedes demostrar que tu software es seguro, estás fuera.”

La seguridad es una parte fundamental de nuestra propuesta de valor, porque tiene que serlo. Nuestros clientes esperan una «licencia para operar». Eso incluye SBOM total SBOM , una infraestructura reforzada y la capacidad de responder rápidamente a las amenazas. El sector de las energías renovables aún es relativamente inmaduro en términos de seguridad, por lo que a menudo somos pioneros en este ámbito (con la ayuda de herramientas como Aikido).

¿Cuáles eran los mayores desafíos de seguridad antes de Aikido?

Siempre hemos tenido una sólida postura de seguridad. Pero el verdadero desafío era convertirla en algo accionable para los desarrolladores. Se pueden definir todas las políticas que se quieran, pero si los desarrolladores no captan las señales, nada cambia.

“Puedes crear tantas políticas de seguridad como quieras, pero si tus desarrolladores no las adoptan, no resolverás nada.”

Probamos múltiples herramientas. Todas cubrían lo básico, pero carecían de transparencia y flexibilidad. Además, el servicio al cliente tampoco era excelente. Un proveedor tardó una vez seis semanas de verificación solo para responder a una solicitud nuestra. Y muchas herramientas simplemente no podían implementarse en entornos de clientes debido a restricciones de cumplimiento. Eso fue un factor decisivo.

«Probamos varias herramientas. Todas cubrían lo básico, pero carecían de transparencia y flexibilidad. Además, el servicio de atención al cliente tampoco era excelente.»

¿Por qué elegiste Aikido?

Porque encaja con nuestra forma de entender la seguridad: debe ser abierta, colaborativa y amigable para el desarrollador. Aikido no solo identifica vulnerabilidades, sino que ayuda a los desarrolladores a actuar sobre ellas. Ese cambio ha sido enorme.

“A los desarrolladores realmente les gusta usar Aikido. Se ha convertido en una especie de deporte reducir las vulnerabilidades.”

También valoramos el modelo transparente de Aikido. A diferencia de algunos proveedores donde recibes cargos de licencia sorpresa activados por una simple alerta de Azure, Aikido deja claro por qué estás pagando. Historia real: una vez tuvimos una alerta de Azure un domingo (¡solo una alerta!) y activó un cargo extra en una de nuestras antiguas herramientas. Fue entonces cuando nos dimos cuenta: necesitábamos un socio, no un sistema de penalización.

“A diferencia de otros proveedores, Aikido no te sorprende con alertas que de repente te cuestan dinero.”

¿Cuál es tu característica favorita?

Integración a nivel de código. Lleva los hallazgos a donde están los desarrolladores, y no al revés. Todo se integra sin problemas en nuestras pipelines de CI/CD. Es nativo, no una ocurrencia tardía.

Además, el escaneo de contenedores y análisis estático de código funcionan. No requieren que rediseñemos nuestros sistemas. Eso es muy importante cuando tu infraestructura tiene que cumplir con estrictas restricciones de implementación.

¿Cómo ha ayudado Aikido a mejorar sus resultados de seguridad?

Una de las cosas que hemos observado es que los desarrolladores disfrutan reduciendo el número de vulnerabilidades. Se convierte en una especie de juego. Ese cambio cultural es una gran victoria. Aikido facilita mantener la seguridad como una prioridad, sin ralentizar los procesos.

“Aikido no solo nos ayuda a cumplir requisitos. Nos ayuda a desarrollar la capacidad adecuada como equipo.”

Y dado que operamos en entornos con estrictos controles de datos, necesitábamos una herramienta que nos diera la propiedad total de los datos. Las APIs de Aikido nos permiten transmitir y leer todo de forma segura dentro de nuestros propios entornos.

¿Qué consejo daría a otras empresas de software industrial que están evaluando plataformas de seguridad?

“No busques solo una herramienta de seguridad. Busca algo que tus desarrolladores vayan a usar.”

No comprometas la visibilidad. Asegúrate de que tus desarrolladores puedan actuar sobre lo que encuentra la plataforma. Y si a tus clientes les importan aspectos como los SBOMs y las actualizaciones seguras (lo cual deberían), asegúrate de que tu herramienta te ayude a cumplir con ello.

Si tuviera que describir Aikido en una frase, ¿cuál sería?

Es la única herramienta de seguridad que he visto que realmente equilibra la experiencia del desarrollador con requisitos de grado industrial.