Hallo Alejandro! Was macht Apheris, und was ist deine Aufgabe?
Apheris betreibt föderierte Datennetzwerke im Bereich der Biowissenschaften und löst damit die kritische Herausforderung des Zugriffs auf proprietäre Daten, die aufgrund von IP- und Datenschutzbedenken in Silos eingeschlossen sind. Unser Produkt ist eine föderierte Datenverarbeitungsinfrastruktur mit Governance-, Sicherheits- und Datenschutzkontrollen, die es Life-Science-Organisationen ermöglicht, gemeinsam qualitativ hochwertigere Modelle auf komplementären Daten von mehreren Parteien zu trainieren. Wir sind ein relativ kleines Team (etwa 25 Ingenieure), das es uns ermöglicht, agil zu bleiben, neue Dinge auszuprobieren und Technologien wie Aikido frühzeitig zu übernehmen.
Ich bin Alejandro und ich leite die Bereiche Sicherheit, Datenschutz und IT bei Apheris. Mit mehr als 12 Jahren Erfahrung in diesem Bereich bin ich von großen Unternehmen wie Cisco, Rackspace und Auth0 in die Welt der Start-ups gewechselt, wo ich Sicherheits-, Datenschutz- und compliance (und die Teams dahinter) von Grund auf aufbaue. Mein Schwerpunkt liegt auf Cloud- und Anwendungssicherheit, Infrastruktur als Code, Automatisierung und der Sicherung von Systemen und Daten.
Ich wohne im sonnigen Alicante, Spanien. Wenn es meine Zeit erlaubt, bin ich immer noch gerne aktiv: Ich schreibe Code, optimiere Erkennungsfunktionen und entwickle interne Tools. In letzter Zeit habe ich mich mit KI und Automatisierung beschäftigt und Governance-freundliche Agenten eingeführt, um Sicherheits- und IT-Workflows zu optimieren und unseren Stack ein wenig intelligenter (und viel effizienter) zu machen.
Wie groß ist die Sicherheitsherausforderung bei der Arbeit mit Pharmakunden?
Massiv, und das zu Recht. Wir haben es mit sensiblen Daten zu tun, daher ist Sicherheit nicht nur eine bewährte Praxis, sondern eine Voraussetzung für unsere Geschäftstätigkeit. Um Ihnen ein Beispiel zu geben: Bei einem Unternehmensgeschäft verlangte ein Kunde von uns, dass wir vor der Unterzeichnung vier unabhängige Penetrationstests absolvieren. Das sind mehr als 100.000 Euro, die der Kunde ausgab, nur um das Gespräch zu beginnen. Wir haben auch ein Trust Center eingerichtet, damit unsere Kunden oder potenziellen Kunden alle unsere internen Datenschutz-, Sicherheits- und compliance überprüfen können. Dies hilft auch unseren Kunden, die Reaktionszeit für die Überprüfung von Anbietern und die Bewertung der compliance zu straffen und um ein Vielfaches zu verkürzen.
"Ich habe noch nie erlebt, dass man vor der Vertragsunterzeichnung so genau hingeschaut hat. Da gibt es keinen Platz für Abkürzungen".
Wir haben den Datenschutz und die Sicherheit vom ersten Tag an in unser Produkt und unsere Prozesse integriert. Wir bringen unser Produkt zu den Daten, nicht andersherum. Unser föderiertes Modellschulungssystem läuft auf der Infrastruktur des Kunden, z. B. auf seinem AWS-Konto, sodass die Daten nicht verschoben werden müssen. Diese Konfiguration gewährleistet die compliance, schützt den Datenschutz und entspricht den Erwartungen der Pharmakunden an den Umgang mit ihren Daten. Wir sind ISO 27001, SOC 2 Typ I und II und GDPR-konform. Sicherheit und Datenschutz sind kein nachträglicher Gedanke, sie sind die Grundlage unseres Geschäfts.
Vor welchen Herausforderungen standen Sie, bevor Sie zum Aikido wechselten?
Unser Setup war fragmentiert und es fehlte an Zentralisierung. Wir verließen uns auf eine Mischung aus Open-Source-Tools für geheimes Scannen: proprietäre Lösungen wie Snyk für container und Abhängigkeitsmanagement und Detectify für das Scannen von Webanwendungen. Jedes Tool erfüllte seinen Zweck, aber der fehlende Zusammenhalt bedeutete, dass wir einen erheblichen Aufwand betreiben mussten, um alles mit viel Klebeband und Ellenbogenfett zusammenzuhalten (lacht).
Die Einführung von Aikido hat dazu beigetragen, mehrere dieser Maßnahmen in einem einzigen, einheitlicheren Produkt zu konsolidieren und die Reibungsverluste für das Team zu verringern. Aikido ist zwar kein Allheilmittel, aber es ist ein wichtiger Bestandteil einer umfassenderen Sicherheitsstrategie, die auch andere von uns geschätzte Tools und Prozesse umfasst.
"Wir hatten den Aufwand eines kleinen Teams, das mehrere Open-Source-Tools pflegte. Das war eine Qual."
Jedes Tool lebte in seinem eigenen Silo. Es war schwierig, Konfigurationen über verschiedene Repositories hinweg zu verwalten, und noch schwieriger, einen Gesamtüberblick über unsere Sicherheitslage zu erhalten. Geheime Scans waren verrauscht. Die Ergebnisse von Container waren nicht verwertbar. Und insgesamt wuchs der Wartungsaufwand, da wir immer mehr Repositories zu scannen hatten. Die Ergebnisse von Snyk waren schwer zu handhaben, insbesondere für Ingenieure, die verschiedene Tools kennen und auf unterschiedliche Weise mit ihnen interagieren müssen. Selbst mit unserer Github-Infrastruktur als Code wurde es zu einem Zeitfresser, diese Tools auf dem neuesten Stand und funktionsfähig zu halten.
"Wenn ich als Sicherheitsingenieur Zeit damit verbringen muss, die Ergebnisse zu entschlüsseln, wie kann ich dann erwarten, dass unsere Techniker darauf reagieren? Sie werden sie einfach ignorieren."
Warum haben Sie sich für Aikido entschieden?
Wir wollten eine Plattform, die uns Sichtbarkeit verschafft, die Geräusche reduziert und die nicht von einer Vollzeitkraft betreut werden muss.
Aikido deckt vieles von dem, was wir brauchen, direkt von Anfang an ab. Viele der Open-Source-Tools, die wir bereits verwendeten, waren in die Plattform integriert, so dass uns die Dinge vertraut vorkamen und unser Migrationsaufwand reduziert wurde. Dank unseres GitHub-Setup-as-Code-Ansatzes konnten wir die Lösung in nur wenigen Tagen über alle Repositories hinweg einführen - viel schneller als wir ursprünglich erwartet hatten.
Natürlich ist keine Einführung jemals wirklich mühelos. Wir mussten unsere Pipelines immer noch validieren und doppelt überprüfen, ob die Abdeckung unseren Erwartungen entsprach. Aber insgesamt hat uns Aikido dabei geholfen, den Prozess zu beschleunigen und den Aufwand für die manuelle Zusammenstellung der Daten zu verringern. Aikido ist jetzt ein fester Bestandteil unserer breiteren Sicherheitstools, obwohl wir (wie bei jedem Anbieter) seine Rolle innerhalb unseres Bedrohungsmodells kontinuierlich bewerten und überwachen.
"Aufgrund früherer Erfahrungen hatten wir mit einer langsamen Umstellung gerechnet. Stattdessen haben wir alles innerhalb einer Woche migriert, ohne jemanden zu stören.
Was hat sich nach der Einführung von Aikido geändert?
Der Unterschied ist wie Tag und Nacht. Die Sicherheit ist für die meisten Entwickler unsichtbar geworden, und das ist auch gut so.
Aikido macht es den Technikern leicht, Probleme zu erkennen und zu beheben, ohne Fragen an das Sicherheitsteam weiterzuleiten. Jedes Repo enthält relevante, umsetzbare Erkenntnisse. Es ist für die Techniker einfach, sich selbst zu bedienen und Probleme zu lösen, ohne dass ich die Sicherheitsberichte für sie übersetzen muss. Kein Rätselraten. Keine zu interpretierenden PDFs. Die Integration von Pull-Requests und auch IDEs ist ein Kinderspiel.
Welche Funktion hat für Sie den größten Einfluss gehabt?
Wenn ich mich für eine entscheiden müsste, wäre es der Teamvergleichsbericht. Er gibt uns einen guten Einblick in die Leistung der verschiedenen Teams, und wir posten den Bericht sogar in Slack. Es geht nicht um Wettbewerb an sich, aber die Sicherheit wird auf eine gesunde Art und Weise spielerisch verbessert.
Aber auch AutoFix ist eine herausragende Sache. Nicht nur für das, was es tut, sondern auch dafür, wie schnell das Aikido-Team auf unser Feedback reagiert hat. Zunächst verhinderten unsere PR-Standards, dass Autofix richtig funktioniert, da wir strenge Standards für Pull-Requests wie PR-Titel oder Commit-Nachrichten vorschreiben. Innerhalb weniger Wochen hatte das Team die Unterstützung für unser spezielles Setup hinzugefügt.
Wir kamen von Enterprise-Lösungen, die nicht auf Kundenfeedback reagieren (da wir ein kleines Unternehmen sind), lange Support-Tickets selbst für Kleinigkeiten benötigen und von denen man nur kurz vor der Vertragsverlängerung etwas hört.
"Das Team hat auf unser Feedback reagiert und innerhalb weniger Wochen eine Lösung geliefert. Diese Art von Reaktionsfähigkeit ist wichtig."
Und wenn Sie Aikido in einem Satz zusammenfassen müssten?
"Aikido gibt uns die Gewissheit, dass unsere Sicherheitsverantwortung abgedeckt ist, so dass sich unsere Ingenieure ohne Kompromisse auf den Versand konzentrieren können."
Es war eine fantastische Erfahrung, die Aikido-Lösung in die Apheris-Organisation zu bringen. Das Produkt hat dazu beigetragen, Teile unserer Arbeitsabläufe zu rationalisieren, und das Team war sehr entgegenkommend und offen für Feedback, was wir sehr schätzen. Aikido hat bestimmte Aspekte unserer Sicherheitsabläufe reibungsloser und besser verwaltbar gemacht.
Allerdings ist kein Tool jemals eine Komplettlösung. Wir prüfen weiterhin, wie es sich in unsere sich entwickelnde Sicherheitslage einfügt und behalten die breitere Risikolandschaft im Auge. Aber bis jetzt sind wir zufriedene Kunden und schätzen die Partnerschaft.
.webp){kind=logo}
.png)