Más de 1.500 repositorios y cero sobrecarga de seguridad: así aborda la seguridad November Five

Conozca November Five: Una agencia digital basada en la innovación

Hola, chicos. Háblame un poco de ti y de November Five.

¡Hola equipo Aikido! Somos Stijn, Líder Experto en Arquitectura, y Tim, Director de Producto y Tecnología, de November Five. 

November Five es una empresa de productos digitales que se asocia con empresas para crear experiencias digitales impactantes para los clientes. Estamos especializados en estrategia, diseño y tecnología, y nuestro objetivo es ofrecer soluciones que satisfagan los objetivos empresariales y las necesidades de los usuarios. November Five es el lugar donde lo digital se une a la emoción. Aquí damos vida a una experiencia digital memorable que resuena, inspira y perdura. A través de nuestro marco MX™ personalizado, aprovechamos los deseos innatos y despertamos emociones genuinas para que destaque en un mar de uniformidad, con el objetivo de inspirar lealtad más allá de la satisfacción.

El 95% de la organización está formada por profesionales de producto e ingeniería. Trabajamos en equipos centrados en el cliente, lo que significa que para cada nuevo cliente o proyecto elegimos un grupo de compañeros a medida (con experiencia en producto, diseño e ingeniería) para ayudar a satisfacer las necesidades del cliente. Nuestro equipo de arquitectura participa en grandes iteraciones o asociaciones, garantizando que todo lo que hacemos siga siendo escalable, y la seguridad es uno de ellos. 

‍

¿Cómo se sitúa November Five en el ámbito de las agencias digitales y en comparación con la competencia?

November Five es conocida por su enfoque en la innovación y la entrega de soluciones digitales de alta calidad. Nos diferenciamos por nuestro enfoque estratégico de la transformación digital y nuestro compromiso con la creación de valor para nuestros clientes. Hacemos hincapié en combinar creatividad y tecnología para destacar en el panorama de las agencias digitales.

‍

La seguridad en las agencias digitales: un imperativo
‍

"El producto de Aikido está diseñado al 100% para el contexto de una agencia: es ligero de implementar, abarca funcionalidades, permite un triaje adecuado entre equipos y ofrece alertas sólo cuando son necesarias."

¿Qué finalidad debe tener la seguridad en el contexto de una Agencia Digital?

La seguridad es crucial en el contexto de las agencias digitales para proteger los datos confidenciales de los clientes, mantener la confianza y garantizar el cumplimiento de la normativa. Ayuda a evitar filtraciones de datos y ciberataques, que pueden tener graves consecuencias financieras y para la reputación.

Para entrar un poco más en detalle: creamos productos de CX que están muy cerca del núcleo del negocio de nuestros clientes. Por lo general, trabajamos para aumentar la fidelidad y la retención intrínsecas de los clientes en sus principales canales digitales de atención al cliente. En la mayoría de estos proyectos seguimos iterando sin parar. En algunos proyectos trabajamos por temporadas. Como puede imaginar, es importante que tengamos una buena visión de conjunto de lo que está ocurriendo. Es por eso que los componentes de Aikido como SCA y SAST son importantes para nosotros: para mantener una visión general de todos los proyectos, y sólo recibir alertas cuando tenemos que centrarnos en la solución de vulnerabilidades para los clientes.

En las agencias digitales, imagino que los clientes examinan a menudo los costes y los márgenes. Por otra parte, tampoco se puede comprometer la seguridad a riesgo de exponer los datos de los clientes a vulnerabilidades. ¿Cómo ayuda Aikido a hacer frente a esta situación?

Aikido ofrece una solución de seguridad que permite a las agencias digitales mantener altos niveles de seguridad sin afectar excesivamente a su estructura de costes. Proporciona herramientas y procesos que ayudan a identificar y mitigar los riesgos de forma eficiente, protegiendo así los datos de los clientes y manteniendo la confianza al tiempo que se gestionan los costes de forma eficaz. 

El impacto de la seguridad en las agencias digitales es doble:

• En primer lugar, vemos que los requisitos de seguridad y los cuestionarios de conformidad se añaden cada vez más en la RFP o en la fase de contratación. Aikido nos ayuda a marcar muchas casillas aquí.
• En segundo lugar, al garantizar sólidas medidas de seguridad, podemos ofrecer con confianza servicios adicionales. Por ejemplo, tras la entrega de un producto ofrecemos contratos de asistencia. Estos contratos de asistencia incluyen actualizaciones de seguridad, que Aikido nos ayuda a gestionar.

El producto de Aikido está diseñado al 100% para un contexto de agencia: es ligero de implementar, engloba funcionalidades, permite un triaje adecuado entre equipos y ofrece alertas sólo cuando son necesarias. 

El reto de la seguridad: Gestión de más de 1.500 repositorios
‍

"No tenemos ingenieros de seguridad dedicados, necesitamos que la seguridad sea autoservicio. Aikido lo permite con un flujo de trabajo descentralizado".

¿Qué fue lo que le hizo decir: "Tenemos que tomarnos en serio la seguridad"?

La creciente frecuencia y sofisticación de las ciberamenazas puso de manifiesto la necesidad de adoptar un enfoque más serio en materia de seguridad. Además, las presiones normativas y las exigencias de los clientes en materia de protección de datos son factores significativos.

Antes del Aikido, ¿qué le quitaba el sueño en términos de seguridad?

Las vulnerabilidades se encuentran continuamente. En el contexto de una agencia, muchas de nuestras colaboraciones requieren un trabajo continuo, pero no todas. Muchos productos tienen una estacionalidad, en la que la ingeniería se detiene durante un tiempo considerable. Aikido elimina la preocupación de que la aparición de problemas afecte a productos existentes de los que somos responsables sin nuestro conocimiento. Aikido aumenta nuestra confianza y, por tanto, la confianza de nuestros clientes en nosotros.

¿Qué dificultades o dolores experimentaba antes de adquirir el Aikido?

Obtener una visión objetiva y completa de la salud de todas las bases de código y productos era difícil. Hacerlo manualmente siempre da una instantánea que envejece en cuestión de días o semanas, lo que no era aceptable para nosotros. Obtener una visión centralizada del estado de seguridad de todos los proyectos activos e inactivos, con la clasificación y la urgencia alineadas con nuestros estándares, es esencial para nuestro SDLC y el compromiso a largo plazo con nuestros clientes.

¿Usabas alguna herramienta de seguridad antes del Aikido?

Teníamos varias herramientas en nuestro proceso CI/CD y un ciclo de revisión frecuente por parte de nuestro equipo de ingeniería y soporte, que sólo cubría una pequeña parte del rompecabezas de la seguridad. Nos faltaba un triaje adecuado, ser capaces de crear una profundidad de repositorio cruzada y una forma de recibir alertas solo sobre lo que importa.

Evaluamos los productos de la competencia y casi todos se dirigen a equipos de productos, con un número reducido de repositorios y muchos equipos trabajando en ellos. Además, la mayoría de ellos sólo ofrecían precios empresariales, simplemente nos llevarían a la quiebra (Snyk, por ejemplo). Aikido nos da una gran herramienta, seguridad, pero lo más importante, un proceso que nos ayuda en nuestro contexto empresarial. Desde el punto de vista de las funciones, pero también del modelo de precios.

¿Por qué Aikido? El ajuste perfecto para las agencias
‍

Evaluamos los productos de la competencia y casi todos se dirigen a equipos de productos, con un número reducido de repositorios y muchos equipos trabajando en ellos. Además, la mayoría de ellos sólo ofrecían precios para empresas, simplemente nos llevarían a la quiebra (Snyk, por ejemplo).

‍

Como estamos en el contexto de una agencia, Aikido era un ajuste natural, ya que se posiciona como un líder en nuestra industria. La necesidad de gobernar más de 1.500 repositorios, con una mezcla de estados activos, en soporte, archivados y un número relativamente pequeño de equipos de ingeniería, requiere un producto diseñado y arquitecturado para nosotros. No contamos con ingenieros de seguridad dedicados porque queremos mantenernos centrados y permitir que los ingenieros se autogestionen. Eso es lo que apreciamos de Aikido: una vez configurado, puede permitir una forma descentralizada de trabajar.

‍

Muchos de los repositorios Git en las agencias también pueden estar dispersos: algunos se encuentran con el cliente, otros en el lado de la agencia. Aikido nos ofrece la flexibilidad necesaria para configurar todos los entornos correctamente y añadirlos sin problemas en una vista general centralizada.

‍

Además, muchos de los repositorios Git (ya sean GitLab, Bitbucket u otros) de las agencias también pueden estar dispersos. A veces se encuentran con el cliente, a veces en el lado de la agencia. Con Aikido, tenemos la flexibilidad de configurar todos los entornos correctamente, y añadirlos sin problemas en una visión central.

¿Cuál es su experiencia trabajando con el equipo de Aikido?

Trabajar con el equipo de Aikido ha sido fantástico desde el principio. El hecho de ser empresas belgas nos permitió empezar rápidamente. Aun así, el clic del equipo de Aikido que nos ayudó a entender nuestro contexto, configuración y retos hizo posible un despliegue rápido y obtener un valor inmediato de la plataforma.

‍

¿Cuál es su característica favorita?

La característica que más me gusta, a riesgo de parecer meta, es el flujo continuo de adiciones a la plataforma. Aikido tiene la habilidad de añadir funciones valiosas a un ritmo constante. Escuchan a sus clientes y actúan en consecuencia. En la práctica, nos gusta la integración limpia en los pull requests, y estamos deseando que nuestros ingenieros empiecen a utilizar la función AI Autofix añadida recientemente.

‍