PSG es una firma de capital de crecimiento que se asocia con empresas de software y servicios habilitados por la tecnología para ayudarles a navegar el crecimiento transformacional, capitalizar oportunidades estratégicas y construir equipos sólidos. Habiendo respaldado a más de 150 empresas y facilitado más de 520 adquisiciones complementarias, PSG aporta una amplia experiencia en inversión, profunda experiencia en software y tecnología, y un firme compromiso de colaboración con los equipos directivos. Fundada en 2014, PSG opera desde oficinas en Boston, Kansas City, Londres, París, Madrid y Tel Aviv. Para obtener más información sobre PSG, visite www.psgequity.com.
PSG adopta un enfoque estratégico y pragmático para la habilitación operativa, incluyendo la seguridad. Cuando buscaron unificar la seguridad de las aplicaciones en todo el portfolio, recurrieron a Aikido.
Hablamos con Adam Glick, Director de Seguridad de la Información (CISO) de PSG, sobre cómo Aikido ayuda a la empresa a respaldar la seguridad y el papel que la plataforma desempeña ahora en la diligencia, la supervisión y la habilitación.
¡Hola Adam! ¿Podrías empezar presentándote y contándonos tu rol en PSG?
Soy el CISO en PSG. Llevo unos dos años en la firma. Mis responsabilidades son dobles: superviso la TI interna y la seguridad de la información (InfoSec) en PSG, y también actúo como función de gobernanza y supervisión para las empresas de cartera. Esto significa ayudar a garantizar que nuestras empresas de cartera (“PortCos” o “portfolio companies”) inviertan en seguridad, maduren sus programas y entreguen código seguro.
¿Cómo apoya PSG a sus empresas de cartera en materia de seguridad?
Contamos con un equipo de operaciones que ayuda a nuestras PortCos en el día a día: ya sea en la selección de tecnología, contratación, estrategia GTM o, sí, seguridad. Trabajamos junto a ellos para evaluar proveedores, crear políticas, prepararnos para auditorías o abordar desafíos de cumplimiento.
En el ámbito de la seguridad, estamos para ayudar a nuestras empresas de cartera a entender lo que se necesita y a encontrar las herramientas y socios adecuados para lograrlo.
¿Qué papel juega la seguridad de las aplicaciones en los frameworks que fomentáis?
Creemos que AppSec es uno de los pilares fundamentales de cualquier organización de desarrollo. Esperamos que nuestras empresas de la cartera prioricen las prácticas de codificación segura, tanto para el riesgo organizacional como para la integridad reputacional. Nuestro trabajo es apoyar a nuestras empresas de la cartera en su evaluación y adopción de herramientas de codificación segura.
¿Qué impulsó a PSG a explorar una iniciativa de seguridad de aplicaciones para todo el portfolio?
Cualquier iniciativa que podamos implementar en toda la cartera es un éxito. Si podemos identificar una necesidad programática o sistémica (especialmente en algo como la seguridad), vale la pena resolverla de manera unificada.
¿Cómo identificó las herramientas adecuadas para este tipo de iniciativa?
Tenemos puntos de contacto regulares con nuestras PortCos y comprendemos su nivel de madurez. Este nivel de compromiso nos da visibilidad sobre dónde las soluciones compartidas podrían ser de apoyo a nivel de cartera.
El mayor desafío al adoptar una iniciativa de aplicación a nivel de portfolio es minimizar la fricción. Cada empresa es diferente. La pregunta es: ¿cuál es el denominador común? Necesitábamos una solución que pudiera funcionar para la mayoría de las empresas con mínimos obstáculos de despliegue.
¿Entonces cómo se destacó Aikido?
La facilidad de despliegue fue un factor importante. Una vez que completamos nuestra diligencia y firmamos el contrato, pudimos conectar una empresa a Aikido y empezar a escanear en segundos, literalmente. Sin ajustes, sin dolores de cabeza. Eso por sí solo eliminó una barrera importante.
“Una vez que completamos nuestra diligencia debida y firmamos el contrato, pudimos conectar una empresa a Aikido y empezar a escanear en segundos, literalmente.”
Pero más allá de eso, la amplitud de capacidades técnicas: SAST, DAST, CSPM, escaneo de secretos… todo integrado en una única plataforma, fue realmente convincente. Para PSG, el despliegue requirió poco esfuerzo y obtuvo grandes resultados.
Y la relación con la dirección importaba. Queremos saber que, si algo sale mal, tenemos a personas al mando ayudándonos a resolverlo rápidamente. Nuestra experiencia con el equipo ejecutivo de Aikido ha sido positiva.
¿Cómo abordó el despliegue en todo el portfolio?
Nos tomamos muy en serio el despliegue (rollout). No fue solo "Aquí tienes una herramienta, úsala". Tuvimos sesiones de concienciación, horas de consulta (office hours), reuniones individuales (1:1s) con líderes de desarrollo, documentación, canales de Slack para soporte en tiempo real... Básicamente, todo lo que pudimos para asegurar que nuestras PortCos estuvieran preparadas para el éxito.
“No fue solo, 'Aquí tienes una herramienta, úsala'. Tuvimos sesiones de concienciación, horas de consulta, reuniones individuales... básicamente todo lo que pudimos para asegurar que nuestras PortCos estuvieran preparadas para el éxito.”
Tanto Aikido como PSG tenían puntos de contacto. Estuvimos disponibles a través de múltiples canales para asegurar respuestas rápidas. El aspecto de habilitación fue tan importante como la tecnología en sí.
¿Qué papel juega el Aikido Partner Portal en vuestra supervisión?
Hay mucho potencial ahí. Hoy en día, lo usamos para identificar rápidamente CVEs importantes (como "¿Quién tiene CVE-2024-XXXX?") y contactar con las empresas afectadas.
Dicho esto, estamos impulsando capacidades de informes más robustas. Nos gustaría ver más tendencias a nivel macro. Cosas como tendencias de vulnerabilidades a nivel de portfolio o tasas de remediación por empresa. Aikido ha sido muy receptivo a esta retroalimentación y estamos colaborando en mejoras.
¿Cómo describiría el “antes” y el “después” de la coordinación de seguridad en PSG?
Antes, las herramientas estaban más fragmentadas. Cada PortCo elegía lo que les funcionaba. Eso no es intrínsecamente malo, pero hace que la supervisión y el soporte sean mucho más difíciles.
Ahora, hay algo fundamental que antes no existía. Hemos recibido comentarios positivos de los usuarios. La herramienta es fácil de adoptar y realmente útil. Todavía estamos en las primeras etapas de cuantificar el impacto, pero, a nivel anecdótico, ha sido muy positivo.
¿Ha empezado a usar Aikido de otras formas más allá de la seguridad de la cartera?
“Estamos empezando a incorporar Aikido en nuestros flujos de trabajo de diligencia debida… Nos proporciona una visión más informada de lo que estamos adquiriendo.”
Sí. Estamos empezando a incorporar Aikido en nuestros flujos de trabajo de diligencia debida. A medida que evaluamos nuevas empresas para una posible adquisición, podemos integrarlas en Aikido y obtener información inmediata sobre su postura de seguridad, sin necesidad de acceder al código en sí. Creemos que nos proporciona una visión más informada de lo que estamos adquiriendo.
¿Algún consejo para otros que estén implementando iniciativas tecnológicas en una cartera de proyectos?
“No existe una solución única para todos, pero sí una que se adapta a la mayoría, y creemos que Aikido encaja perfectamente en ese punto ideal.”
Absolutamente. Algo que hemos aprendido es a no ser excesivamente prescriptivos en el ámbito de las TI. Utilizamos lo que yo llamo el enfoque de la 'ruta bien transitada de Netflix' (basado en el estilo de gestión de la empresa). Les decimos a las empresas qué resultados necesitamos. Por ejemplo, un programa de codificación segura, pero no dictamos exactamente cómo llegar a él.
Aikido es un gran ejemplo: es una fuerte recomendación, no un mandato. Si te funciona, genial. Si no, busca lo que sí. No existe una solución única para todos, pero sí una que se adapta a la mayoría, y creemos que Aikido encaja perfectamente en ese punto ideal.
¿Reflexiones finales?
Aikido ha sido un socio excepcional. Ya sea por el soporte en el canal de Slack, la disponibilidad del liderazgo o la capacidad de respuesta del producto, siempre han cumplido. Ha sido una gran relación.
