Hola, Daan. ¿Puedes hablarnos de Tellent y de tu papel allí?

Me llamo Daan Goumans y soy responsable de seguridad de la información y jefe de equipo de TI en Tellent. Llevo en la empresa unos tres años y medio. Me dedico principalmente a la gestión de riesgos y a la vertiente estratégica de los controles de seguridad, mientras que mi equipo gestiona las operaciones cotidianas de nuestras principales herramientas empresariales, como el correo, las comunicaciones internas y los puntos finales de usuario. 

Nuestro equipo de ingenieros está formado por unas 90-100 personas, incluidos los gestores de productos. Juntos, construimos y mantenemos la plataforma de recursos humanos de Tellent, que combina la contratación (ATS), los recursos humanos básicos (HRIS) y las herramientas de rendimiento y crecimiento en un solo sistema. Lo que nos distingue es la flexibilidad para comenzar con lo que usted necesita y crecer con el tiempo, junto con más de 200 integraciones y una amplia personalización del flujo de trabajo.

"La seguridad y el cumplimiento son pilares fundamentales en nuestra estrategia de producto. Nuestros clientes confían en nosotros para proteger los datos sensibles de contratación y de los empleados."

¿Cómo han influido la seguridad y la conformidad en su estrategia de producto?

El tratamiento de datos confidenciales nos obliga a cumplir estrictas normas de seguridad y conformidad. Nos sometemos regularmente a auditorías ISO 27001 y SOC 2 Tipo 2, y realizamos pruebas de penetración como parte de nuestra estrategia. También queremos que nuestros clientes cumplan sus propios requisitos, por lo que hemos incorporado funciones como el control de acceso basado en funciones, la retención de datos configurable y los flujos de trabajo automatizados para darles soporte.

¿Qué le llevó a empezar a evaluar el Aikido?

No hubo un gran incidente que nos llevara a evaluar Aikido. Siempre hemos intentado ser proactivos a la hora de mejorar la seguridad. Un socio en el ámbito de la seguridad nos dijo que habían consolidado soluciones en Aikido y que estaban muy contentos con los resultados. Lo estudiamos y nos dimos cuenta de que podía ayudarnos a supervisar mejor todos los activos en un solo lugar. 

Antes de Aikido, nuestras herramientas carecían de cobertura para lenguajes de programación específicos (utilizábamos Dependabot) o sólo resolvían parte del problema. Algunas generaban ruido en lugar de consejos procesables, mientras que otras no ofrecían un buen retorno de la inversión.

"Necesitábamos algo que nos ofreciera una cobertura completa, menos ruido y más información práctica en un solo lugar".

¿A qué retos se enfrentaba entonces?

Durante nuestra fusión, tuvimos que integrar nuevas bases de código, entornos en la nube e integraciones de terceros. Nuestras herramientas existentes no podían seguir el ritmo ni el alcance. Además, a medida que crecía nuestra base de clientes, también lo hacían los requisitos de cumplimiento. Para demostrar que teníamos el control, implantamos un sistema de gestión de la seguridad de la información con certificación ISO 27001. Aikido facilitó la demostración del cumplimiento a los altos directivos, auditores, clientes y clientes potenciales porque cubría todos los aspectos técnicos desde una sola plataforma.

¿Qué destacó del Aikido durante la evaluación?

Durante la evaluación destacaron tres aspectos: la amplia cobertura de nubes, lenguajes de programación y registros en una única interfaz; las vulnerabilidades preprocesadas, de modo que pudimos centrarnos en los hallazgos críticos con consejos prácticos en lugar de ruido; y las funciones de elaboración de informes y supervisión, que facilitaron la demostración de valor a los directivos de nivel C.

" Los informes de Tendencias a lo largo del tiempo facilitan mostrar los avances a los altos cargos y destacar el trabajo realizado por ingeniería".

¿Cómo fue el proceso de incorporación?

Pasamos de la firma a tenerlo todo en marcha en aproximadamente un mes. Nuestro director de tecnología dirigió la implantación, por lo que el esfuerzo operativo del resto del equipo fue mínimo. 

El equipo de Aikido siempre ha respondido con rapidez y, para cualquier decisión que requiriera sopesar pros y contras, nos explicaron claramente nuestras opciones. En la mayoría de los casos, nos manejamos con la documentación disponible y, cuando fue necesario, recibimos ayuda a través de un mensaje de Slack.

¿Cómo se ha integrado Aikido en sus flujos de trabajo?

Sin problemas. No hemos necesitado realizar ningún cambio técnico en nuestro producto. Se integra con ClickUp, por lo que los nuevos problemas de gravedad alta y crítica aparecen automáticamente en nuestro tablón de proyectos de seguridad. Nuestro director técnico puede asignarlos a los equipos adecuados, lo que mantiene claras las prioridades y reduce el ruido para los desarrolladores. 

"Con las integraciones de Slack y ClickUp, pasamos de los resúmenes de alertas semanales a las alertas en tiempo real".

También utilizamos los informes de Aikido en nuestras reuniones mensuales de seguridad con los altos cargos y los directivos. Poder hacer un seguimiento de los problemas nuevos frente a los resueltos mes a mes nos ayuda a dirigir la estrategia y a asignar recursos cuando es necesario.

¿Qué resultados tangibles has visto desde que adoptaste el Aikido?

Aikido eliminó por completo el tiempo de preparación para las auditorías. Ahora, durante cualquier auditoría, simplemente abrimos la plataforma y mostramos cómo están configuradas las integraciones, lo que nos da la seguridad instantánea de que tenemos el control. La gestión automatizada de tickets no ha reducido el tiempo total dedicado a los problemas de seguridad, pero ha transformado la forma en que se utiliza el tiempo. Con un mejor filtrado y priorización, los desarrolladores se centran sólo en lo más importante, y la dirección obtiene visibilidad en tiempo real en lugar de esperar a los informes manuales.

"Antes de Aikido, recopilar toda la información de seguridad era tedioso. Ahora, la supervisión, la elaboración de informes y la toma de decisiones estratégicas son mucho más sencillas."

¿Cómo resumiría el impacto del Aikido en Tellent?

Aikido nos ayudó a consolidar nuestros escáneres de seguridad, mejorar la colaboración con la dirección y obtener una supervisión más clara de todos los sistemas. Nos dio confianza para experimentar y avanzar más rápido, sabiendo que tenemos una capa adicional de seguridad vigilando".

"Aikido nos permitió ser proactivos en lugar de reactivos, con un solo lugar para la supervisión, la presentación de informes y la acción".