De un vistazo
- Seguridad integrada directamente en los flujos de trabajo de los desarrolladores y los pull requests
- Pasó de escaneos reactivos y programados a una retroalimentación de seguridad continua
- Reducción del ruido con priorización basada en la accesibilidad y menos falsos positivos
- Unificó SAST, SCA y detección de secretos en una única plataforma
- Escaló la seguridad en más de 200 repositorios con una sobrecarga mínima
- Compatible con la seguridad y el cumplimiento empresarial en ISO 27001, GDPR y regulaciones sanitarias
Construyendo una atención sanitaria digital segura a escala
Oviva ofrece programas de atención sanitaria digital reembolsados y basados en la evidencia para afecciones crónicas como la obesidad y la diabetes tipo 2. Su plataforma combina experiencia clínica, conocimientos impulsados por IA y coaching personalizado para impulsar resultados a largo plazo en los pacientes. En este entorno, la seguridad es inseparable de la seguridad del paciente. Oviva maneja datos médicos altamente sensibles y opera bajo estrictos marcos regulatorios, incluyendo ISO 27001, GDPR y estándares sanitarios específicos de cada país. La confianza no solo se espera, se exige.
«La seguridad en la salud digital se trata fundamentalmente de proteger a los pacientes y mantener la confianza.»
- Tom Koshy, Ingeniero Principal de DevSecOps, Oviva
A medida que la empresa escalaba, esa responsabilidad debía reflejarse no solo en la política, sino en cómo se desarrollaba el software.
Cuando el crecimiento supera los flujos de trabajo de seguridad
Antes de Aikido, Oviva dependía de una combinación de herramientas de código abierto para SAST, SCA y gestión de vulnerabilidades. Aunque eran efectivas de forma aislada, generaban fricción a escala. Los escaneos de seguridad eran programados en lugar de continuos. Los hallazgos debían agregarse de todas las herramientas. El triaje requería coordinación entre equipos. A medida que crecía el número de repositorios y colaboradores, también lo hacía la sobrecarga operativa.
Con el tiempo, esto generó fricción tanto para los desarrolladores como para los equipos de seguridad. Los problemas se identificaban tarde, la propiedad no estaba clara y se dedicaba un tiempo valioso a coordinar y realizar el triaje en lugar de solucionar. La seguridad estaba presente, pero residía fuera del flujo de trabajo del desarrollador. El equipo vio una oportunidad para cambiar eso.
Transición a una seguridad continua y centrada en el desarrollador
Oviva se propuso integrar la seguridad directamente en el desarrollo. En lugar de depender de escaneos periódicos y triaje centralizado, el objetivo era sacar a la luz los problemas donde ocurren: en los pull requests, durante las compilaciones y dentro de los flujos de trabajo de los desarrolladores. Los desarrolladores necesitaban retroalimentación inmediata y accionable para que los problemas pudieran resolverse antes de llegar a producción.
Igual de importante era reducir el ruido. Grandes volúmenes de falsos positivos ralentizan a los equipos y erosionan la confianza en las herramientas de seguridad. Cualquier nuevo enfoque debía priorizar la precisión, la claridad y la usabilidad. Las herramientas que abruman a los ingenieros con falsos positivos no se utilizan.
Por qué Oviva eligió Aikido en lugar de Snyk y Prisma Cloud
Durante la evaluación, Oviva evaluó plataformas como Snyk, Prisma Cloud, Semgrep y GitHub Advanced Security. Aikido destacó al eliminar las compensaciones comunes.
Mientras que plataformas más grandes como Prisma Cloud introducían complejidad operativa, Aikido se integró limpiamente en los flujos de trabajo de Git y CI/CD existentes. Donde herramientas como Snyk a menudo generaban un alto volumen de hallazgos, Aikido se centró en la señal, ayudando a los equipos a priorizar los problemas que realmente importan.
En lugar de unir múltiples herramientas, Oviva pudo consolidar las capacidades clave de seguridad de aplicaciones en una única plataforma que los desarrolladores pudieron adoptar de inmediato.
“Aikido logró el equilibrio adecuado entre capacidad, usabilidad y experiencia de desarrollador.”
Despliegue en más de 200 repositorios en semanas
La adopción fue rápida y de baja fricción. Oviva incorporó a más de 75 desarrolladores y conectó más de 200 repositorios en pocas semanas.
La configuración solo requirió unos pocos pasos para integrar repositorios y habilitar el escaneo. Dado que la plataforma es intuitiva, los desarrolladores pudieron empezar a usarla de inmediato, sin una incorporación o formación exhaustiva.
Para el equipo de seguridad, esto significó una visibilidad instantánea en un entorno de ingeniería grande y en crecimiento.
De escaneos reactivos a seguridad continua
Con Aikido, la seguridad pasó de escaneos programados a retroalimentación en tiempo real.
Las comprobaciones ahora se ejecutan directamente en los pull requests y los pipelines de CI/CD. Los desarrolladores reciben retroalimentación inmediata a medida que introducen cambios, lo que les permite resolver vulnerabilidades antes de que el código se fusione o se despliegue.
Al mismo tiempo, Aikido reduce el ruido a través del análisis de alcanzabilidad, destacando las vulnerabilidades que son realmente explotables en lugar de señalar cada problema teórico. Combinado con una guía de remediación clara y capacidades de autofix, esto permite a los equipos centrarse en el riesgo real en lugar de dedicar tiempo al triaje.
La seguridad pasa de ser una barrera al final a una barandilla durante todo el desarrollo.
Simplificando la gestión de vulnerabilidades y el cumplimiento
Anteriormente, la gestión de vulnerabilidades requería agregar resultados de diferentes herramientas y gestionarlos a través de sistemas externos.
Con Aikido, todo está centralizado en una única plataforma. Los equipos de seguridad obtienen una visión clara y unificada de las vulnerabilidades en todos los repositorios, con priorización y seguimiento de la propiedad integrados. Los desarrolladores ven exactamente qué necesita ser corregido y por qué.
Esto tiene un impacto directo en el cumplimiento. En un entorno sanitario, la capacidad de demostrar la postura de seguridad de forma rápida y clara es fundamental.
“Aikido nos proporciona una vista centralizada y bien priorizada de las vulnerabilidades, lo que facilita mucho la elaboración de informes de cumplimiento.”
El impacto
La adopción de Aikido cambió la forma en que Oviva aborda la seguridad tanto a nivel de ingeniería como organizacional. Las vulnerabilidades ahora se identifican antes y se resuelven más rápidamente. Los desarrolladores se involucran activamente con la seguridad porque la retroalimentación es inmediata y accionable, en lugar de algo que encuentran a posteriori.
Fundamentalmente, los equipos ya no dedican su tiempo a investigar el ruido. Están solucionando problemas reales. Los equipos de seguridad han pasado del triaje manual a un trabajo de mayor valor, mientras que la organización ha fortalecido su capacidad para cumplir con los requisitos regulatorios y mantener una visibilidad clara de su postura de seguridad a medida que escala.
Un salto cualitativo en la madurez de la seguridad
Aikido permitió a Oviva pasar de un enfoque reactivo y basado en herramientas a un modelo DevSecOps proactivo y centrado en el desarrollador. La seguridad ahora es continua, integrada y escalable en toda la organización.
“Aikido nos permitió pasar del escaneo reactivo a un modelo proactivo y centrado en el desarrollador, mejorando la visibilidad y ayudándonos a escalar la seguridad a medida que crecemos.”
Mirando hacia el futuro
A medida que Oviva continúa expandiendo su plataforma, necesita una base de seguridad que pueda evolucionar con ella. Con Aikido, el equipo está posicionado para extender su enfoque a dominios adicionales como la seguridad de contenedores y la seguridad en la nube sin añadir complejidad. Porque en la salud digital, la seguridad no se trata solo de proteger sistemas. Se trata de proteger a los pacientes.
