PSG es una firma de capital de crecimiento que se asocia con empresas de software y servicios tecnológicos para ayudarles a navegar por el crecimiento transformacional, capitalizar oportunidades estratégicas y construir equipos fuertes. Tras haber respaldado a más de 150 empresas y facilitado más de 520 adquisiciones complementarias, PSG aporta una amplia experiencia inversora, profundos conocimientos en software y tecnología, y un firme compromiso de colaboración con los equipos directivos. Fundada en 2014, PSG opera desde oficinas en Boston, Kansas City, Londres, París, Madrid y Tel Aviv. Para obtener más información sobre PSG, visite www.psgequity.com.

‍

PSG adopta un enfoque estratégico y pragmático para la habilitación operativa, incluida la seguridad. Cuando buscaron unificar la seguridad de las aplicaciones en toda la cartera, recurrieron a Aikido.

Hablamos con Adam Glick, Director de Seguridad de la Información de PSG, sobre cómo Aikido ayuda a la empresa a mantener la seguridad y el papel que la plataforma desempeña ahora en la diligencia, la supervisión y la habilitación.
‍

¡Hola Adam! ¿Podrías empezar presentándote a ti mismo y a tu función en el PSG?

Soy el CISO de PSG. Llevo en la empresa unos dos años. Mis responsabilidades son dobles: superviso las TI internas y la seguridad de la información en la propia PSG, y también actúo como una función de gobernanza y supervisión para las empresas de cartera. Eso significa ayudar a garantizar que nuestras empresas de cartera ("PortCos" o "empresas de cartera") invierten en seguridad, maduran sus programas y distribuyen código seguro.

‍

¿Cómo apoya PSG a las empresas de su cartera en materia de seguridad?

Tenemos un equipo de operaciones que ayuda a nuestros PortCos en el día a día: ya sea en la selección de tecnología, la contratación, la estrategia GTM o, sí, la seguridad. Trabajamos con ellos para evaluar proveedores, crear políticas, preparar auditorías o abordar problemas de cumplimiento.

En el frente de la seguridad, estamos ahí para ayudar a nuestras empresas de cartera a entender lo que se necesita y encontrar las herramientas y los socios adecuados para conseguirlo.

‍

¿Qué papel desempeña la seguridad de las aplicaciones en los marcos que usted fomenta?

Creemos que AppSec es uno de los principios fundamentales de cualquier organización de desarrollo. Esperamos que nuestros PortCos den prioridad a las prácticas de codificación segura, tanto para el riesgo organizativo como para la integridad de la reputación. Nuestro trabajo es apoyar a nuestros PortCos en su evaluación y adopción de herramientas de codificación segura. 

‍

¿Qué impulsó a PSG a explorar una iniciativa de seguridad de aplicaciones para toda la cartera?

Cualquier iniciativa que podamos aplicar en toda la cartera es una victoria. Si podemos identificar una necesidad programática o sistémica (especialmente en algo como la seguridad), merece la pena resolverla de forma unificada. 

‍

¿Cómo identificó las herramientas adecuadas para este tipo de iniciativa?

Mantenemos contactos periódicos con nuestros PortCos y conocemos su grado de madurez. Este nivel de compromiso nos permite saber en qué ámbitos podrían apoyarse las soluciones compartidas en toda la cartera.

El mayor reto a la hora de adoptar una iniciativa de aplicaciones para toda la cartera es minimizar las fricciones. Cada empresa es diferente. La pregunta es: ¿cuál es el denominador común? Necesitábamos una solución que pudiera funcionar para la mayoría de las empresas con unos obstáculos de implantación mínimos.

‍

Entonces, ¿cómo destacó el Aikido?

La facilidad de implantación fue un factor importante. Una vez que completamos nuestra diligencia y firmamos el contrato, podíamos conectar una empresa a Aikido y empezar a escanear en cuestión de segundos, literalmente. Sin ajustes ni quebraderos de cabeza. Eso por sí solo eliminaba una barrera importante".

‍

"Una vez que completamos nuestra diligencia y firmamos el contrato, pudimos conectar una empresa a Aikido y empezar a escanear en segundos, literalmente".

‍

Pero más allá de eso, la amplitud de las capacidades técnicas: SAST, DAST, CSPM, escaneado de secretos... todo integrado en una única plataforma, era realmente convincente. Para PSG, la implantación supuso poco esfuerzo y muchos resultados.

Y la relación con los ejecutivos importaba. Queremos saber que si algo va mal, tenemos gente al timón ayudándonos a resolverlo rápidamente. Nuestra experiencia con el equipo ejecutivo de Aikido ha sido positiva.

‍

¿Cómo abordaron la implantación en toda la cartera?

Nos tomamos en serio la implantación. No se trataba sólo de "Aquí tienes una herramienta, úsala". Tuvimos sesiones de concienciación, horas de oficina, 1:1s con líderes de desarrollo, documentación, canales de Slack para soporte en tiempo real... Básicamente todo lo que pudimos para asegurarnos de que nuestros PortCos estaban preparados para el éxito.

‍

"No se trataba sólo de 'aquí tienes una herramienta, úsala'. Hicimos sesiones de concienciación, horas de oficina, sesiones 1:1... básicamente todo lo que pudimos para asegurarnos de que nuestros PortCos estuvieran preparados para el éxito".

‍

Tanto Aikido como PSG tenían puntos de contacto. Estábamos disponibles a través de múltiples canales para garantizar respuestas rápidas. La capacitación era tan importante como la propia tecnología.

‍

¿Qué papel desempeña el Portal del Socio de Aikido en su supervisión?

Tiene mucho potencial. En la actualidad, lo utilizamos para identificar rápidamente las principales CVE (como "¿Quién tiene CVE-2024-XXXX?") y ponernos en contacto con las empresas afectadas.

Dicho esto, insistimos en que se refuercen las capacidades de elaboración de informes. Nos encantaría ver más tendencias a nivel macro. Cosas como las tendencias de vulnerabilidad en toda la cartera o las tasas de remediación empresa por empresa. Aikido ha sido muy receptivo a esta retroalimentación, y estamos colaborando en las mejoras.

‍

¿Cómo describiría el "antes" y el "después" de la coordinación de la seguridad en PSG?

Antes, el utillaje estaba más fragmentado. Cada empresa portuaria elegía lo que le funcionaba. Eso no es intrínsecamente malo, pero dificulta mucho la supervisión y la asistencia.

Ahora hay algo central que antes no existía. Hemos recibido comentarios positivos de los usuarios. La herramienta es fácil de adoptar y realmente útil. Aún es pronto para cuantificar el impacto, pero anecdóticamente ha sido muy positivo.

‍

¿Ha empezado a utilizar el Aikido de otras formas, más allá de la seguridad de su cartera?

‍

"Estamos empezando a incorporar Aikido a nuestros flujos de trabajo de diligencia... Nos da una visión más informada de lo que estamos adquiriendo".

‍

Sí. Estamos empezando a incorporar Aikido a nuestros flujos de trabajo de diligencia. Cuando evaluamos nuevas empresas para su posible adquisición, podemos conectarlas a Aikido y obtener información inmediata sobre su postura de seguridad, sin necesidad de acceder al código en sí. Creemos que nos da una visión más informada de lo que estamos adquiriendo.

‍

¿Algún consejo para otras personas que pongan en marcha iniciativas tecnológicas en toda una cartera?

‍

"No hay una talla única para todos, pero sí una talla única para la mayoría, y creemos que el Aikido encaja en ese punto óptimo".

‍

Por supuesto. Una cosa que hemos aprendido es a no ser demasiado prescriptivos en el espacio de TI. Utilizamos lo que yo llamo el enfoque "Netflix camino bien recorrido" (basado en el estilo de gestión de la empresa). Decimos a las empresas qué resultados necesitamos. Por ejemplo, un programa de codificación segura, pero no les decimos exactamente cómo conseguirlo.

El aikido es un gran ejemplo: es una recomendación firme, no un mandato. Si te funciona, estupendo. Si no, encuentra lo que sí. No hay una talla única para todos, pero hay una talla única para la mayoría, y creemos que el Aikido encaja en ese punto óptimo.

‍

¿Pensamientos finales?

‍

Aikido ha sido un socio tremendo. Tanto si se trata de soporte en el canal Slack, disponibilidad de liderazgo o capacidad de respuesta del producto, siempre han cumplido. Ha sido una gran relación.

‍