Ogaga Abuchi ha trabajado como CISO fraccional desde 2021, apoyando a empresas de los sectores de la salud, fintech y SaaS. En 2023, comenzó a trabajar con Nerdio en calidad fraccional, así como con varias otras organizaciones.
Hoy, Ogaga gestiona la seguridad de productos y aplicaciones en Nerdio mientras continúa asesorando a otras organizaciones como CISO fraccional. Esa doble perspectiva moldea cómo evalúa las herramientas: necesitan funcionar no solo para una empresa, sino en múltiples entornos, niveles de madurez y restricciones.
De un vistazo
- Persona con la que hablamos: Ogaga Abuchi, CISO externo y Gerente de Seguridad de la Información en Nerdio
- Empresa: Nerdio (plataforma de gestión de Azure Virtual Desktop y Windows 365)
- Principal desafío: Escalar la seguridad de las aplicaciones en todos los equipos con tiempo, presupuesto y tolerancia al ruido limitados
- Antes de Aikido: Herramientas de AppSec caras con altos falsos positivos y señal deficiente
- Uso de Aikido para: SAST, DAST, escaneo de dependencias y SBOM, flujos de trabajo de desarrolladores, informes ejecutivos
- Resultado clave: Menos ruido, remediación más rápida y más tiempo para los desarrolladores
Desafío: escalar la seguridad sin escalar el caos
Desde la perspectiva de Ogaga, la mayoría de los problemas de seguridad no son técnicos. Son estructurales.
Como CISO externo que trabaja con empresas pequeñas y medianas, se encuentra constantemente con las mismas limitaciones:
- Equipos de seguridad pequeños con capacidad operativa limitada
- Presupuestos ajustados que no pueden soportar herramientas empresariales de gran envergadura
- Proliferación de herramientas, donde múltiples herramientas superpuestas consumen dinero y atención
- Resistencia cultural, especialmente de los desarrolladores que temen que la seguridad los ralentice
- Una tendencia constante hacia la solución de problemas reactiva en lugar de la seguridad proactiva
En Nerdio, la base ya era relativamente madura: desarrolladores experimentados, formación en seguridad regular, pruebas de penetración internas y externas, y un liderazgo que se tomaba en serio los hallazgos.
Pero incluso con esa madurez, Ogaga vio un riesgo familiar.
Sin las herramientas adecuadas, los equipos se ven desbordados por las alertas o dejan de confiar en ellas por completo.
Solución: una plataforma de AppSec a la que los desarrolladores realmente prestan atención
Antes de Aikido, Nerdio utilizaba otra herramienta de AppSec. Era cara, ruidosa y a menudo desactualizada. La mayoría de los hallazgos resultaron no ser problemas reales, lo que dificultaba tener conversaciones productivas con los desarrolladores.
Ese fue el punto de inflexión.
Después de investigar alternativas y basándose en su experiencia previa, Ogaga introdujo Aikido.
Lo que destacó inmediatamente no fue solo la cobertura, sino la calidad de la señal.
Aikido identificó problemas reales en bibliotecas de terceros y SBOMs, redujo los falsos positivos y explicó los hallazgos de una manera que los desarrolladores podían entender.
“Estábamos dedicando demasiado tiempo a cosas que no eran problemas reales. Con Aikido, estamos trabajando de nuevo en vulnerabilidades reales.”
En Nerdio, Aikido está ahora integrado en los repositorios y flujos de trabajo. El equipo utiliza activamente SAST y DAST, y la adopción se está expandiendo gradualmente hacia el uso en IDE para que los problemas puedan detectarse aún antes. El escaneo en la nube y el pentesting de IA son los siguientes en la hoja de ruta.
Ogaga aprecia especialmente la guía impulsada por IA de Aikido.
«Me gusta que te diga dónde está el problema y cómo solucionarlo. No abriré automáticamente pull requests (los desarrolladores me matarían), pero las sugerencias son increíblemente útiles».
Resultado: menos ruido, más confianza, ahorro de tiempo real
El impacto más notable de Aikido en Nerdio ha sido lo silencioso que se ha vuelto el trabajo de seguridad.
A veces, Ogaga tiene que recordarse a sí misma que debe revisar.
“Algunos días está tan tranquilo que tengo que recordarme a mí mismo que debo informar sobre vulnerabilidades.”
Ese silencio no es una falta de cobertura. Es el resultado de menos ruido y una mejor priorización.
En comparación con herramientas anteriores que generaban cientos de hallazgos por escaneo, la mayoría de ellos descartados como falsos positivos, Aikido ayuda a los equipos a centrarse en lo que realmente importa. Los desarrolladores dedican menos tiempo a discutir sobre los hallazgos y más tiempo a solucionarlos.
También ha facilitado el trabajo de Ogaga como líder de seguridad. Cuando los desarrolladores cuestionan un hallazgo, ella puede mostrar un contexto claro, fragmentos de código y explicaciones que hablan su mismo idioma.
El resultado:
- Remediación más rápida
- Menos falsos positivos
- Mayor confianza de los desarrolladores en las herramientas de seguridad
- Menos tiempo dedicado a la clasificación manual de hallazgos
- Un programa de seguridad de aplicaciones más robusto en general
Desde la perspectiva de un CISO fraccional, esto importa aún más.
Cuando eres responsable de múltiples organizaciones a la vez, cada hora ahorrada se multiplica.
Cómo Nerdio está expandiendo su uso de Aikido
Ya en uso
- SAST
- DAST
- Análisis de dependencias (SCA)
- Escaneo de SBOM
- Flujos de trabajo de desarrolladores
- Informes ejecutivos
Planeando adoptar
Resumen: una herramienta diseñada para líderes de seguridad con tiempo limitado
Para Ogaga, Aikido no es solo una herramienta de Nerdio. Es parte de su kit de herramientas de CISO fraccional.
Ha utilizado y evaluado muchas plataformas AppSec a lo largo de los años. En ese contexto, Aikido destaca por su simplicidad, claridad y diseño amigable para desarrolladores.
«Todo es sencillo. La gente inicia sesión y entiende inmediatamente qué hacer».
Funciona para cualquier empresa que necesite elevar su nivel de seguridad sin tener que construir una organización de seguridad masiva.
¿Y si Ogaga tuviera que resumir el valor de Aikido en una frase, desde la perspectiva de un CISO fraccional?
«Reduce el tiempo».
