¡Hola Martijn! ¿Puedes hablarnos de ti y de tu papel en Helin?
Soy el CTO y uno de los fundadores de Helin. Soy responsable de todo lo relacionado con la seguridad y los principios de diseño de software seguro. Hemos creado una plataforma que permite a las empresas industriales, especialmente de los sectores marítimo y de energías renovables, gestionar la inteligencia de borde a escala.
Nuestro equipo de ingenieros está formado por unas 40 personas. La complejidad de lo que construimos, tanto del software en sí como del entorno en el que se ejecuta, exige una mentalidad que dé prioridad a la seguridad desde el primer día.
¿Qué hace Helin y qué problema está resolviendo?
Estamos construyendo una plataforma de gestión de aplicaciones industriales. Nuestra misión es simplificar el despliegue y el funcionamiento del software en la periferia para clientes industriales. Piense en plataformas de perforación en alta mar, parques eólicos, parques de energías renovables... Básicamente, somos el sistema operativo de las instalaciones de energías renovables.
También bebemos nuestro propio champán: ejecutamos dos de nuestras propias aplicaciones en la plataforma para probar, validar y endurecer todo lo que hacemos. También significa que somos nuestro propio cliente cero. Si algo falla, lo sabemos antes que nadie.
¿En qué destaca Helin en el sector del software industrial?
"En nuestro sector, la seguridad es una 'licencia para operar'. Si no puedes demostrar que tu software es seguro, estás fuera".
La seguridad es una parte esencial de nuestra propuesta de valor, porque tiene que serlo. Nuestros clientes esperan una "licencia para operar". Eso incluye una total transparencia del SBOM, infraestructuras reforzadas y la capacidad de responder rápidamente a las amenazas. El sector de las energías renovables sigue siendo relativamente inmaduro en términos de seguridad, por lo que a menudo somos pioneros (junto con herramientas como Aikido para ayudarnos).
¿Cuáles eran los mayores retos de seguridad antes del Aikido?
Siempre hemos tenido una postura de seguridad sólida. Pero el verdadero reto era convertirlo en algo práctico para los desarrolladores. Puedes definir todas las políticas que quieras, pero si los desarrolladores no captan las señales, nada cambia.
"Puedes crear políticas de seguridad todo lo que quieras, pero si tus desarrolladores no las recogen, no solucionarás nada".
Probamos varias herramientas. Todas cubrían lo básico, pero les faltaba transparencia y flexibilidad. Además, el servicio de atención al cliente tampoco era bueno. Un proveedor tardó seis semanas en responder a nuestra petición. Y muchas herramientas no se podían implantar en los entornos de los clientes debido a restricciones de cumplimiento. Eso era un factor decisivo.
"Probamos múltiples herramientas. Todas cubrían lo básico, pero les faltaba transparencia y flexibilidad. Además, el servicio de atención al cliente tampoco era bueno".
¿Por qué eligió el Aikido?
Porque encaja con nuestra forma de concebir la seguridad: debe ser abierta, colaborativa y fácil de usar para los desarrolladores. Aikido no se limita a identificar vulnerabilidades, sino que ayuda a los desarrolladores a actuar en consecuencia. Ese cambio ha sido enorme.
"A los desarrolladores les gusta usar el Aikido. Se ha convertido en una especie de deporte para reducir vulnerabilidades".
También apreciamos el modelo transparente de Aikido. A diferencia de otros proveedores, que te cobran por sorpresa licencias por una simple alerta de Azure, Aikido deja claro lo que estás pagando. Historia real: una vez tuvimos una alerta de Azure un domingo (¡sólo una alerta!) y activó un cargo extra en una de nuestras antiguas herramientas. Fue entonces cuando nos dimos cuenta: necesitábamos un socio, no un sistema de penalización.
"A diferencia de otros proveedores, Aikido no te sorprende con alertas que de repente te cuestan dinero".
¿Cuál es su característica favorita?
Integración a nivel de código. Lleva los hallazgos a donde están los desarrolladores, no al revés. Todo se integra a la perfección en nuestros procesos CI/CD. Es nativo, no una ocurrencia tardía.
Además, el escaneo de contenedores y el análisis estático de código simplemente funcionan. No nos obligan a rediseñar nuestros sistemas. Eso importa mucho cuando tu infraestructura tiene que cumplir estrictas restricciones de despliegue.
¿Cómo le ha ayudado el Aikido a mejorar sus resultados en materia de seguridad?
Una de las cosas que hemos visto es que los desarrolladores disfrutan reduciendo los recuentos de vulnerabilidades. Se convierte un poco en un juego. Ese cambio cultural es una gran victoria. Aikido hace que sea más fácil mantener la seguridad en mente, sin ralentizar las cosas.
"El aikido no sólo nos ayuda a marcar casillas. Nos ayuda a construir el músculo adecuado como equipo".
Y como operamos en entornos con estrictos controles de datos, necesitábamos una herramienta que nos diera plena propiedad de los datos. Las API de Aikido nos permiten difundir y leer todo de forma segura dentro de nuestros propios entornos.
¿Qué consejo daría a otras empresas de software industrial que estén evaluando plataformas de seguridad?
"No busque sólo una herramienta de seguridad. Busca algo que tus desarrolladores vayan a usar".
No comprometa la visibilidad. Asegúrese de que sus desarrolladores puedan actuar en función de lo que encuentre la plataforma. Y si tus clientes se preocupan por cosas como los SBOM y las actualizaciones seguras (que deberían hacerlo), asegúrate de que tu herramienta te ayuda a conseguirlo.
Si tuviera que describir el Aikido en una frase, ¿cuál sería?
Es la única herramienta de seguridad que he visto que realmente equilibra la experiencia del desarrollador con los requisitos de nivel industrial.
.webp){kind=logo}
.png)