¡Hola Aufar! ¿Puedes hablarnos un poco de Petrosea y de tu función?

Soy desarrollador backend en Petrosea, pero mi función también abarca la arquitectura en la nube, la seguridad, DevOps y la ingeniería de sistemas. Nuestro equipo de ingeniería está formado por unas 20 personas, que se ocupan de todo, desde el desarrollo backend y frontend hasta la seguridad y el ERP. 

Petrosea es una empresa de servicios mineros. Lo gestionamos todo, desde el pozo hasta el puerto, aprovechando el IoT avanzado para hacer un seguimiento de todo el proceso minero. Por ejemplo, podemos comunicarnos directamente con los operadores de los equipos in situ para optimizar la producción de nuestros clientes. Es una parte importante de cómo nos hemos posicionado como líderes en tecnología minera en Indonesia.

Petrosea es reconocida como líder tecnológico. Cómo influye en ello la transformación digital?

Estamos orgullosos de formar parte de la Global Lighthouse Network del Foro Económico Mundial, una de las dos únicas empresas de Indonesia que ostentan ese reconocimiento por la adopción de la Industria 4.0. La tecnología está en el centro de nuestra eficiencia y liderazgo. La aplicación de soluciones avanzadas de IoT, automatización y nube nos ayuda a operar mejor, más rápido y más seguro que las empresas mineras tradicionales.

¿Por qué es tan importante la seguridad en su sector?

Dado que integramos la tecnología en todas partes, cualquier fallo de seguridad podría interrumpir las operaciones, comprometer la confidencialidad de los clientes o incluso detener la producción. Las empresas mineras y energéticas de Indonesia se han convertido en objetivos frecuentes de ciberataques, y observamos esta tendencia tanto en el sector público como en el privado. Para nosotros, la seguridad siempre ha sido una prioridad absoluta, y el creciente número de ataques no hace sino añadir urgencia.

"Cualquier infracción podría poner en peligro las operaciones o la confidencialidad de los clientes. La seguridad no es opcional. Es esencial".

¿Qué llevó a Petrosea a centrarse en una nueva solución de seguridad?

Tras nuestra adquisición, el valor de nuestras acciones aumentó considerablemente. Esa mayor visibilidad también atrajo más la atención de agentes externos de amenazas. Ya contábamos con medidas de seguridad, pero nuestros procesos estaban fragmentados. Los escaneos de la base de código eran manuales, las comprobaciones de cumplimiento exigían un esfuerzo adicional y carecíamos de una plataforma unificada que lo reuniera todo.

¿A qué retos se enfrentaba antes del Aikido?

Utilizábamos varias herramientas, como escáneres de vulnerabilidades, escáneres de contenedores y escáneres de calidad del código, todas por separado. Eso suponía trabajo manual para combinar informes, comprobar manualmente marcos de cumplimiento como ISO y una toma de decisiones lenta porque no había una visión única de nuestra postura de seguridad. Con operaciones en varios sitios, necesitábamos una cobertura completa, no sólo en la sede central.

¿Qué destacó del Aikido durante su evaluación?

Tres cosas nos impresionaron. En primer lugar, la facilidad de implementación. Los conectores estaban listos para usar, por lo que la integración con nuestra nube y nuestra base de código requirió un esfuerzo mínimo.

En segundo lugar, AutoFix combinado con el filtrado de falsos positivos. Otras plataformas se limitan a descargar vulnerabilidades, pero Aikido filtra los falsos positivos y crea correcciones automáticas con un solo clic. 

Por último, los informes de cumplimiento. Pasamos de pasar horas recopilando informes a exportar datos de cumplimiento listos para usar en cuestión de segundos.

"El tiempo más rápido en que solucionamos una vulnerabilidad fue tan solo 5 segundos después de detectarla. Eso es eficacia".

¿Cómo fue la experiencia de incorporación?

Muy fácil. Conectamos Aikido a nuestros repositorios de código y entornos en la nube, esperamos al primer análisis e inmediatamente vimos nuestra postura de seguridad con información clara y procesable. No hubo una curva de aprendizaje pronunciada. Todo fue sencillo, y la rentabilidad fue inmediata.

¿Cómo ha influido el Aikido en su trabajo diario?

Sólo el filtro de falsos positivos cambia las reglas del juego. Elimina mucho ruido innecesario. La función AutoFix es igualmente impresionante. Una vez detectada una vulnerabilidad, podemos corregirla en tan solo cinco segundos. Antes se tardaban horas o incluso días. Además de ahorrar tiempo, la base de conocimientos ayuda a todo nuestro equipo a comprender mejor las vulnerabilidades. Ya no es sólo trabajo del equipo de seguridad, los propios desarrolladores se conciencian y responden con mayor rapidez.

"Eficiencia". Esa es la palabra. Aikido hace que la seguridad sea más rápida, fácil e inteligente, lo que nos permite centrarnos en lo que más importa."

¿Cómo se relaciona esto con el cumplimiento y la ESG?

La ciberseguridad forma parte de nuestra estrategia ESG en el pilar de gobernanza. Con Aikido, los informes de cumplimiento están automatizados y podemos demostrar fácilmente prácticas seguras de desarrollo de software tanto a los reguladores como a la dirección".

¿Qué resultados mensurables ha observado desde que adoptó el Aikido?

El resultado más tangible es el ahorro de tiempo. Las correcciones de vulnerabilidades que antes llevaban horas ahora se realizan en segundos con AutoFix. También hemos reducido el tiempo dedicado a la elaboración de informes de conformidad en al menos un 80%, porque ahora los informes se generan automáticamente en lugar de compilarse manualmente. Además, ahora nuestros desarrolladores se ocupan directamente de los problemas de seguridad gracias a la base de conocimientos de la plataforma. La concienciación en materia de seguridad en todo el equipo ha aumentado significativamente, convirtiéndola en una responsabilidad compartida en lugar de algo de lo que sólo se ocupa el equipo de seguridad.

"Con Aikido, ahorramos horas en la generación de informes, redujimos la corrección de vulnerabilidades a segundos y proporcionamos a los desarrolladores los conocimientos necesarios para adueñarse de la seguridad."

¿Alguna reflexión final?

Me gusta mucho el producto, la interfaz de usuario, la experiencia de usuario en general. Nos ha ahorrado tiempo, ha mejorado nuestra postura de seguridad y ha facilitado mucho el proceso para todos los implicados. Quiero dar las gracias al equipo de Aikido por crear una plataforma tan potente y por estar siempre ahí cuando teníamos preguntas.

"Seguid con el buen trabajo. Aikido es un producto excelente con un equipo increíble detrás".

‍