Hola, Aki. ¿Puedes presentarte y explicarnos tu papel en Midaxo?

Soy Aki Hänninen, CISO y responsable de DevSecOps en Midaxo. He dividido esas funciones deliberadamente: la parte de CISO se centra más en la seguridad corporativa, la gobernanza y las certificaciones como ISO 27001, mientras que la parte de DevSecOps se centra en la seguridad de los productos y las plataformas. Nuestro equipo de ingeniería está formado por unas 15 personas (en 5 equipos) repartidas entre Finlandia y Estados Unidos.

En realidad empecé en Midaxo como arquitecto de software cuando reconstruimos nuestra plataforma en la nube desde cero. A medida que maduramos, hice la transición hacia las operaciones y la seguridad, y ahora me considero un "arquitecto de software en recuperación" (risas). Todavía estoy cerca del código, pero centrado en habilitar la seguridad en toda la organización.

‍

¿Y qué hace Midaxo?

Midaxo es una plataforma de software centralizada diseñada específicamente para equipos de fusiones y adquisiciones y desarrollo corporativo. Está diseñada para gestionar procesos complejos como adquisiciones, desinversiones, gestión de la propiedad intelectual, etc.

Aunque muchos equipos siguen confiando en Excel y PowerPoint para llevar a cabo estas iniciativas, Midaxo ofrece un sistema centralizado que sustituye esas herramientas manuales por un flujo de trabajo más estructurado, colaborativo y repetible. Reúne todo en un solo lugar, para que los equipos puedan avanzar más rápido, reducir el riesgo y tomar mejores decisiones con visibilidad y responsabilidad en tiempo real a lo largo de todo el ciclo de vida de la operación.

‍

¿Qué importancia tiene la seguridad para su empresa?

Es absolutamente obligatorio. La mayoría de nuestros acuerdos implican evaluaciones de riesgo por parte de terceros, y las expectativas en torno a la protección de datos y la confidencialidad son altas (especialmente dada la naturaleza del trabajo de nuestros clientes). La seguridad es un factor diferenciador importante para nosotros. Da confianza a nuestros clientes a la hora de elegir a Midaxo como socio en la gestión de procesos sensibles y de alto riesgo.

‍

No se trata sólo de cumplir la normativa o de marcar casillas en una evaluación de seguridad. Tratamos la seguridad como una parte integral del producto. Eso incluye cómo lo construimos, cómo lo implantamos y cómo gestionamos internamente los incidentes o las vulnerabilidades. Por eso hemos invertido tanto en seguridad en todos los ámbitos: desde el producto hasta la infraestructura.

‍

¿Cuáles eran sus principales preocupaciones en materia de seguridad antes de utilizar el Aikido?

Somos muy nativos en la nube y nos apoyamos en gran medida en servicios gestionados por AWS e infraestructura sin servidor, lo que significa que podemos descargar parte de la seguridad de la infraestructura. Pero eso también desplaza nuestro enfoque interno a la seguridad de las aplicaciones.

La gestión de vulnerabilidades era un suplicio. Hallazgos de SCA, SAST, DAST... todo estaba repartido entre diferentes herramientas (AWS Inspector, SonarCloud y Detectify, por nombrar algunas). Se convirtió en el clásico juego whack-a-mole de "Eh, ¿alguien ha mirado ya esta vulnerabilidad?". 

‍

"Antes de Aikido, la gestión de la seguridad era el clásico juego de la cachiporra: "Oye, ¿alguien ha investigado ya esta vulnerabilidad?".

‍

Cada herramienta funcionaba de forma aislada. No existía una visión unificada. Había que clasificar y asignar manualmente las vulnerabilidades. Todo se ralentizaba. Nuestro equipo de seguridad realizaba la mayor parte del trabajo pesado, y la adopción de herramientas y prácticas de seguridad por parte del equipo de ingeniería en general era escasa.

‍

¿Qué hizo que el Aikido destacara durante su evaluación?

Aikido daba la sensación de haber sido creado pensando en empresas como la nuestra, con potentes equipos de ingeniería internos, pero con recursos limitados en cuanto a personal de seguridad, y no exclusivamente para empresas gigantes (como algunos de los otros proveedores del sector).

‍

"Los desarrolladores empezaron a solucionar problemas por su cuenta, porque Aikido facilitaba saber qué hacer y quién debía hacerlo".

‍

La configuración fue fácil, la gobernanza se hizo más clara y la propiedad se hizo evidente. La plataforma nos ayudó a hacer llegar los problemas relevantes a los equipos adecuados sin tanto ruido. Lo que más me gustó es que agilizó nuestro flujo de trabajo. Fue un alivio dejar de saltar de un panel de control a otro y de una herramienta a otra.

‍

¿Cómo fue la implantación? ¿Fue difícil integrarlo con la configuración existente?

‍

¿"Honestamente"? El despliegue fue casi invisible. Todo encaja como un guante".

‍

Nos gusta que los equipos sean autónomos, y la función de filtrado de equipos de Aikido de Aikido fue crucial para mí como CISO. Cada uno de nuestros cinco equipos ve ahora qué hallazgos de seguridad son relevantes para su código, y se alinea perfectamente con nuestra forma de trabajar. Eso por sí solo facilitó la adopción.

‍

‍

¿Cómo fue su experiencia trabajando con el equipo de Aikido?

El equipo ha sido excepcional. Cuando por fin tuve tiempo de probar la herramienta, el equipo estaba allí para ayudarme. Todas las personas con las que hemos interactuado han mostrado una verdadera mentalidad de dar prioridad al cliente. Escuchan los comentarios, actúan en consecuencia y nos hacen sentir como socios.

Honestamente, ese tipo de respuesta es poco frecuente, y nos ha causado una impresión duradera.

‍

¿Qué ha cambiado en su gestión de la seguridad?

Ha transformado nuestro proceso de gestión de vulnerabilidades en algo mucho más proactivo y sencillo para los desarrolladores. Ahora enviamos los hallazgos críticos directamente a los canales de Slack específicos de cada equipo. La concienciación es mayor, el ruido es menor y el proceso es por fin sostenible. El equipo de seguridad puede dar un paso atrás y centrarse en la gobernanza, no en el seguimiento diario.

‍

"Antes de Aikido, AppSec parecía una fricción. Ahora forma parte del flujo. La seguridad ya no se ve como algo externo o molesto. Forma parte de la forma en que los equipos distribuyen el software".

‍

Antes era difícil conseguir que los equipos actuaran. Ahora observamos un descenso constante de los problemas críticos y de alta gravedad. Tenemos previsto establecer una línea de base a finales de este año para comprobar si mantenemos esta postura mejorada a lo largo del tiempo.
Además, la mayor ventaja es cultural: la seguridad ya no se ve como algo externo o molesto. Forma parte de la forma en que los equipos distribuyen el software.

‍

¿Cómo han respondido los promotores?

Esa es la parte divertida. En la cultura finlandesa, si algo está roto, te enterarás. Si funciona, no.

‍

"¿El hecho de que nadie se queje del Aikido? Ese es el mejor feedback que puedes recibir aquí en Finlandia".

‍

Y si se me permite añadir una nota cultural: en la cultura finlandesa no somos muy dados a hacer cumplidos. Pero cuando nuestros desarrolladores dicen "no es una basura y funciona", es el mayor elogio que se puede recibir (risas). Y eso es lo que piensa nuestro equipo de Aikido: es útil, silencioso y cumple su cometido.

‍

¿Cuál es su característica favorita?

Como se ha mencionado, el filtrado por equipos es el número uno para mí. Es compatible con nuestra forma descentralizada de trabajar y facilita enormemente mi trabajo de supervisión de la seguridad en todos los equipos.

Pero voy a dar un grito especial a la función de auto-ignorar también. Elimina silenciosamente un montón de hallazgos irrelevantes, lo que nos ahorra tiempo y ancho de banda mental. A veces compruebo el número sólo para sentirme bien.

‍

"A veces compruebo el recuento de auto-ignorados sólo para sentirme bien. Es todo trabajo que no teníamos que hacer".

‍

‍

Por último, pero no menos importante: si tuviera que resumir el Aikido en una frase, ¿cuál sería?

"Simplemente funciona". ¿Y para un equipo de desarrollo finlandés? Es un gran elogio.