n8n tiene la misión de hacer que la automatización del flujo de trabajo sea accesible para los equipos técnicos. A medida que ampliaron su organización de productos e ingeniería, también lo hizo la complejidad de su postura de seguridad. Hablamos con Cornelius, vicepresidente de ingeniería (y responsable de seguridad en funciones) de n8n, sobre cómo Aikido se convirtió en una piedra angular de sus procesos de gestión de vulnerabilidades y cumplimiento normativo.

‍

¡Hola Cornelius! ¿Puedes presentarte y decirnos cuál es tu papel en n8n?

Soy Cornelius, vicepresidente de ingeniería de n8n. Llevo en n8n casi cuatro años, supervisando y haciendo crecer nuestra organización de ingeniería. Actualmente contamos con unos 40 ingenieros (dentro de un equipo de I+D de unas 50 personas) y esperamos llegar a los 60 a finales de año. Además de mis responsabilidades de ingeniería, actualmente también actúo como responsable de seguridad de la empresa, ayudando a superar auditorías como la SOC 2 y ayudando a definir nuestra postura general de seguridad a medida que crecemos.

‍

¿Qué hace que n8n sea único en el ámbito de la automatización de flujos de trabajo?

Nuestro objetivo es capacitar a los técnicos. No necesita ser programador para utilizar n8n, pero si lo es, la plataforma puede hacerle 10 veces más productivo. Combinamos lo mejor de ambos mundos: la flexibilidad del low-code y la potencia del código personalizado cuando es necesario. Esto facilita la creación de automatizaciones sólidas, agentes de IA y herramientas internas.

‍

¿Qué papel desempeña la seguridad en su sector y, en concreto, en n8n?

La seguridad es absolutamente crítica por dos razones clave. En primer lugar, los usuarios conectan sus credenciales más sensibles (de herramientas como Google, Salesforce, bases de datos y otras API), lo que significa que debemos ganarnos y mantener su confianza para manejar estos secretos.

En segundo lugar, prestamos servicios a empresas de sectores muy regulados, como agencias gubernamentales y organizaciones de seguridad con los requisitos de cumplimiento más estrictos. Estas organizaciones suelen optar por el autoalojamiento de n8n, lo que les proporciona un control total sobre sus datos e infraestructura al tiempo que cumplen sus estrictas normas de seguridad y privacidad.

‍

¿Hubo algún momento que desencadenara un enfoque más estratégico de la seguridad?

Al principio, la seguridad no se ignoraba, pero tampoco se gestionaba de forma muy estructurada. Teníamos herramientas como Dependabot, escaneo de código de GitHub y Snyk, pero el ruido que creaban y los correos electrónicos semanales que enviaban no eran lo suficientemente buenos. No había un proceso centralizado para ver los hallazgos, o la propiedad de manejarlos.

‍

Contábamos con herramientas como Dependabot, GitHub code scanning y Snyk, pero el ruido que generaban y los correos electrónicos semanales que enviaban no eran suficientes. No había un proceso centralizado para ver los hallazgos ni un responsable de gestionarlos.

‍

Aikido nos ayudó a construir ese proceso. Ahora, cada vulnerabilidad marcada por Aikido (ya sea para código, imágenes Docker o infraestructura) crea automáticamente un ticket en Linear, completo con SLAs basados en la gravedad. Esto significa que cada problema es rastreado, priorizado y trabajado dentro de los plazos definidos. La seguridad ya no es sólo una herramienta, sino que se ha convertido en un proceso.

‍

¿Cuáles eran sus principales preocupaciones en materia de seguridad antes de adoptar el Aikido?

Principalmente:

• Ningún proceso coherente
• No hay una visión centralizada de todos los resultados 
• No hay forma de hacer cumplir los SLA en materia de seguridad

Necesitábamos algo que nos ayudara a cumplir con fiabilidad los plazos de resolución, como 21 días para los hallazgos de alta gravedad. Aikido nos proporcionó la estructura necesaria para cumplir esos objetivos.

‍

¿Cómo gestionabas el cumplimiento y las auditorías antes del Aikido?

Trabajábamos con Drata, pero las pruebas de conformidad seguían requiriendo mucho esfuerzo manual. Aikido complementa ahora a Drata proporcionando un único panel de vidrio para nuestras herramientas de seguridad. Esto nos ha ayudado a reducir el tiempo necesario para reunir pruebas y superar las auditorías.

‍

La integración de Drata en Aikido nos ayuda a reducir el tiempo necesario para reunir pruebas y superar las auditorías.

‍

¿Qué destacó del Aikido durante su evaluación?

Fuimos de los primeros en adoptar Aikido. La integración con GitHub fue plug-and-play, literalmente con unos pocos clics. 

Pero lo más importante es que el equipo de Aikido era increíblemente receptivo. Cuando dábamos nuestra opinión, el equipo de Aikido respondía en menos de una hora y enviaba mejoras o correcciones en menos de un día. Y lo siguen haciendo. Ese tipo de colaboración fue inestimable, sobre todo cuando nos preparábamos para una auditoría SOC 2.

‍

El equipo de Aikido es increíblemente receptivo. Damos nuestra opinión y recibimos una respuesta en menos de una hora. Las mejoras o correcciones a menudo se envían en un día.

‍

¿Cómo integró Aikido en sus flujos de trabajo?

• GitHub para escanear bases de código
• Lineal para la entrega y resolución de billetes

En general, nos ha ayudado a mantenernos al día.

‍

¿Cómo ha sido tu experiencia trabajando con el equipo de Aikido?

Excelentes. Son increíblemente rápidos y transparentes, y siempre están dispuestos a atender una llamada o resolver un problema rápidamente. Hay mucha confianza. Como ya hemos dicho, siempre que encontramos un error o recibimos comentarios, el equipo se pone manos a la obra y suele solucionar las cosas en menos de un día. Ese apoyo ha contribuido en gran medida al éxito de la implantación.

‍

¿Cuál es su característica favorita en el Aikido?

Sin duda, el filtrado por equipos. Nos permite dirigir las vulnerabilidades al equipo adecuado al instante. 

Pero es en el feed principal donde paso la mayor parte del tiempo. Lo consulto al menos cinco veces a la semana para ver lo que está abierto, lo que es urgente y lo que se ha resuelto. Me da una visibilidad total.

‍

El feed principal de Aikido es donde paso la mayor parte de mi tiempo. Lo consulto al menos cinco veces a la semana para ver lo que está abierto, lo que es urgente y lo que se ha resuelto. Me da una visibilidad total.

‍

Dado que somos un producto tanto comercial como de código abierto, dependemos en gran medida de las bibliotecas de código abierto. La vista de licencias de código abierto y las funciones SBOM (Software Bill of Materials) también son fundamentales para nosotros.

‍

n8n informa de una reducción del ruido del 92% con Aikido. ¿Cuál ha sido el impacto? 

Sí. El 92% de reducción de ruido cambia las reglas del juego. Nos permite centrarnos en el 8% que realmente importa. Sólo eso ya es oro. 

Aunque algunas entradas son un poco crípticas, bastan para poner en marcha a los ingenieros. Sinceramente, nos acostumbramos rápidamente al "silencio" y ahora desearía que fuera aún más silencioso. Es una gran inyección de productividad y cordura.

‍

Con una reducción del ruido del 92%, nos acostumbramos rápidamente al "silencio". Ahora me gustaría que fuera aún más silencioso. Es una gran inyección de productividad y cordura.

‍

¿Ha visto resultados mensurables?

El mero hecho de poder decir "hemos reducido el ruido en un 92%" es impactante. Pero más allá de eso, la capacidad de cumplir los acuerdos de nivel de servicio y superar las auditorías de forma más eficiente es una gran ventaja para nosotros".

‍

¿Cómo ha cambiado Aikido su postura de seguridad en general?

Ha centralizado nuestro enfoque. Antes, todo estaba disperso en herramientas y bandejas de entrada. Ahora tenemos una única fuente de información.

‍

¿Si tuvieras que resumir el impacto del Aikido en n8n en una frase?

‍

El aikido nos da tranquilidad en lo que se refiere a la seguridad (que ya es desalentadora de por sí).

‍

‍