Aikido
Empezar gratis
No se requiere CC
Historia
7 min leer

Solución de vulnerabilidades en menos de un minuto: cómo Simployer agilizó la seguridad con Aikido

"La velocidad de resolución es increíble. Hemos solucionado problemas en menos de un minuto. Aikido crea el pull request, las pruebas pasan y listo".

Said Barati
Jefe Técnico
Índice
Elemento TOC
Página web
https://www.simployer.com/
Fundada
1985
Industria
HRTech
Financiación obtenida
Sede central
Sarpsborg, Noruega
Tamaño del equipo de desarrollo
1M+
usuarios
12.000
Clientes
1
Producto AppSec
1
Producto AppSec

En el sector de la tecnología de RRHH, donde el manejo de datos sensibles de empleados y organizaciones es fundamental para el producto, Simployer ha hecho de la seguridad un pilar de su proceso de desarrollo. Con sede en los países nórdicos y más de 12 000 empresas y un millón de usuarios, la plataforma de Simployer ayuda a las empresas a agilizar las operaciones de RRHH, desde el cumplimiento de la legislación hasta el compromiso de los empleados.

Para mantener el ritmo de la innovación y, al mismo tiempo, garantizar la seguridad y la conformidad, Simployer recurrió a Aikido.

La seguridad como responsabilidad compartida

Para Simployer, la seguridad empieza en el núcleo del funcionamiento de los equipos. Peder Nordvaller, Director de Tecnología de Simployer, lo describe de forma sencilla:
"La seguridad desempeña un papel enorme en lo que hacemos. Manejamos datos personales que no son sólo privados: son fundamentales para las operaciones comerciales de nuestros clientes."

En toda la organización de ingeniería de Simployer, la seguridad no está aislada. Está integrada en el ciclo de desarrollo diario de cada equipo. Desde la infraestructura hasta los equipos de frontend y backend, todos comparten la responsabilidad de mantener la seguridad de los sistemas.

Said, responsable técnico de Simployer, lo explica así: "Cada equipo es dueño de su espacio. Eso incluye la seguridad de las cosas que construyen".

Pero, aunque esta cultura es sólida, sigue necesitando las herramientas adecuadas para apoyarla. Sobre todo a medida que la empresa crecía.

El reto: crecer rápido sin perder el control

A medida que Simployer ampliaba rápidamente su desarrollo, sus equipos se enfrentaban a un reto: cómo mantener una postura de seguridad sólida sin frenar la innovación.

"Estamos invirtiendo mucho en el desarrollo de productos", explica Peder. "Necesitábamos asegurarnos de que nuestro enfoque de seguridad podía seguir el ritmo de nuestro crecimiento".

Simployer había probado varias herramientas para ayudar a escanear el código y la infraestructura, desde Snyk hasta las soluciones integradas de GitLab. Pero la mayoría de las plataformas creaban más problemas de los que resolvían:

  • Niveles de ruido elevados y prioridades poco claras
  • Triaje manual que agotaba el tiempo de los desarrolladores
  • Escasa adopción debido a una experiencia de usuario poco ágil

Said explica: "Había mucho ruido, y pasabas el tiempo indagando en temas que no importaban. No estaba claro en qué centrarse".

Para una empresa con varios equipos de desarrollo trabajando en paralelo, esta fragmentación era insostenible.

Por qué Simployer eligió el Aikido

El equipo empezó a buscar una solución que ofreciera claridad, rapidez y una integración perfecta en los flujos de trabajo existentes. Fue entonces cuando encontraron Aikido.

"Lo primero que notamos fue lo intuitiva que era la interfaz de usuario", recuerda Said.
"Entras, ves las vulnerabilidades que importan y las solucionas rápido".

Aikido ayudó inmediatamente a reducir la carga cognitiva de los desarrolladores agrupando y priorizando las vulnerabilidades y proporcionando correcciones procesables. La herramienta se integró directamente en la canalización CI/CD de Simployer y en los flujos de trabajo existentes, lo que facilitó su adopción.

Destacaron dos cosas:

  • Priorización inteligente: "Sabes exactamente qué mirar y qué es realmente crítico".
  • Auto-Fix: "Si se puede arreglar automáticamente, se hace. Eso cambia las reglas del juego".

Said añade: "La velocidad de resolución es increíble. Hemos solucionado problemas en menos de un minuto. Aikido crea el pull request, las pruebas pasan, y ya está".

"La velocidad de resolución es increíble. Hemos solucionado problemas en menos de un minuto. Aikido crea el pull request, las pruebas pasan y listo".

Integrar la seguridad en el flujo de desarrollo

Uno de los mayores logros de Simployer fue la naturalidad con la que Aikido pasó a formar parte de la experiencia de los desarrolladores.

"Cambió nuestra forma de gestionar la seguridad", afirma Peder. "Ahora, tratamos la seguridad como cualquier otra tarea de nuestro trabajo diario".

Al integrar la seguridad en las herramientas existentes y ofrecer a los equipos información práctica, Aikido ayudó a eliminar las idas y venidas entre los desarrolladores y los equipos de seguridad. Esto se tradujo en menos cambios de contexto y en un código más seguro y más rápido.

La cobertura de Aikido en toda la pila tecnológica de Simployer -desde el código de la aplicación hasta IaC y las dependencias de código abierto- también permitió al equipo obtener una imagen completa de su postura de seguridad desde un único panel de control.

De cara al futuro: escalar con confianza

Con Aikido, Simployer ha sentado las bases de una cultura de desarrollo que da prioridad a la seguridad y que no frenará su impulso.

  • Los desarrolladores solucionan ahora las vulnerabilidades en minutos, no en días
  • La seguridad se integra en el ciclo de vida del desarrollo, no se añade más tarde.
  • Los equipos tienen visibilidad de toda la pila, desde el código hasta la nube.
  • Se reduce el triaje manual y las correcciones suelen ser automáticas.

"Es más fácil hacer lo correcto cuando las herramientas te apoyan", reflexiona Said. "Y cuando es así de fácil, los desarrolladores lo hacen de verdad".

"Es más fácil hacer lo correcto cuando las herramientas te ayudan. Y cuando es así de fácil, los desarrolladores lo hacen de verdad".

"Con Aikido, la seguridad forma parte de nuestra forma de trabajar. Es rápido, integrado y realmente útil para los desarrolladores"
- Peder Nordvaller, CTO de Simployer.

Descargar el caso en PDF

Otras grandes historias contadas por nuestros clientes

Otros
Seguridad preparada para el comercio minorista con información en tiempo real y menos falsos positivos.
Ver artículo
Coniq
Otros
Ejecución de una hoja de ruta de seguridad a largo plazo
Ver artículo
SecWise
Desarrollo de software
De un mosaico de herramientas de código abierto a una postura de seguridad centralizada.
Ver artículo
Kunlabora
Agencias
Desde la velocidad de las startups hasta la escala empresarial, Gravity une UX y AppSec con Aikido.
Ver artículo
Gravedad
Otros
Asegurar fácilmente el crecimiento de InviteDesk mediante adquisiciones.
Ver artículo
InviteDesk
Otros
Desde la preparación de la auditoría SOC 2 hasta el cumplimiento continuo.
Ver artículo
OutboundSync
Agencias
Protección de más de 100 repositorios de clientes y proyectos.
Ver artículo
CORE
B2CTech
El pequeño equipo de Runna asegura el código en rápido movimiento con la ayuda de un modelo de autoservicio.
Ver artículo
Runna
Agencias
Racionalizar la seguridad en más de 1.500 repositorios sin arruinarse.
Ver artículo
Cinco de noviembre
HRTech
Replaced noisy tools with <1 min fixes and dev-first workflows.
Ver artículo
Simployer
FinTech
La solución anterior de CertifID les permitía perseguir demasiados falsos positivos.
Ver artículo
CertifID
PE y empresas del grupo
SCA y más allá para más de 6.000 desarrolladores.
Ver artículo
Visma
FinTech
Minimizar los falsos positivos, manteniendo GitHub como única fuente de verdad.
Ver artículo
Encuadernado
HealthTech
¿El tiempo más rápido de Birdie para resolver? 30 segundos.
Ver artículo
Birdie
Desarrollo de software
Marvelution entreteje la seguridad en su plan de negocio de una sola palabra: "diversión".
Ver artículo
Marvelution
HealthTech
Aumentar la eficacia, desde una interfaz intuitiva hasta pentests detrás del muro de acceso.
Ver artículo
Mediquest