Hallo Alejandro! Was macht Apheris, und welche Rolle hast du?

Apheris betreibt föderierte Datennetzwerke für die Biowissenschaften und löst damit das kritische Problem des Zugriffs auf proprietäre Daten, die aufgrund von IP- und Datenschutzbedenken in Silos eingeschlossen sind. Unser Produkt ist eine föderierte Computing-Infrastruktur mit Governance-, Sicherheits- und Datenschutzkontrollen, die es Organisationen aus dem Bereich der Biowissenschaften ermöglicht, gemeinsam hochwertigere Modelle auf der Grundlage komplementärer Daten von mehreren Parteien zu trainieren. Wir sind ein relativ kleines Team (etwa 25 Ingenieure), was uns ermöglicht, agil zu bleiben, neue Dinge auszuprobieren und Technologien wie Aikido frühzeitig einzusetzen.

Ich bin Alejandro und leite den Bereich Sicherheit, Datenschutz und IT bei Apheris. Mit mehr als 12 Jahren Erfahrung in diesem Bereich habe ich den Sprung von großen Unternehmen wie Cisco, Rackspace und Auth0 die Welt der Startups geschafft, wo ich Sicherheits-, Datenschutz- und compliance (und die dahinterstehenden Teams) von Grund auf aufbaue. Mein Schwerpunkt liegt auf Cloud- und Anwendungssicherheit, Infrastructure as Code, Automatisierung und der Gewährleistung der Ausfallsicherheit von Systemen und des Datenschutzes.

Ich lebe im sonnigen Alicante, Spanien. Wenn es die Zeit erlaubt, arbeite ich immer noch gerne praktisch: Code schreiben, Detections optimieren und interne Tools entwickeln. In letzter Zeit habe ich mich intensiv mit AI und Automatisierung beschäftigt und Governance-freundliche Agenten eingeführt, um Security- und IT-Workflows zu optimieren und unseren Stack etwas smarter (und viel effizienter) zu machen.

Welchen Druck üben Ihre Kunden auf Ihre Sicherheits- und Compliance-Praktiken aus?

Viel. Und das aus gutem Grund. Wir arbeiten mit Gesundheitsdaten und verkaufen an einige der am stärksten regulierten Branchen der Welt. Bei einem Enterprise-Deal bat uns der Kunde, vier unabhängige Penetrationstests durchzuführen, bevor er unterschrieb. Das sind über 100.000 € auf ihrer Seite, nur um das Gespräch zu beginnen.

„Ich habe noch nie eine solche Prüfungsintensität vor Vertragsunterzeichnung erlebt. Es gibt keinen Raum für Abkürzungen.“

Sicherheit ist von Anfang an in unsere Produkte und Prozesse integriert. Wir sind ISO 27001, SOC 2 Typ I und II sowie DSGVO-konform und haben ein Trust Center aufgebaut, damit Kunden unsere Sicherheitsposition leicht einsehen können, ohne E-Mails hin- und herschicken zu müssen. Es geht darum, schnell Vertrauen aufzubauen.

Wie haben Sie Sicherheit und Compliance zuvor gehandhabt?

Unsere Struktur war ziemlich typisch für ein schnelllebiges Team: fragmentiert und ohne Zentralisierung. Wir setzten auf eine Mischung aus Open-Source-Tools für das Scannen von Geheimnissen, Snyk container und das Abhängigkeitsmanagement und Detectify Scannen von Webanwendungen. Jedes Tool erfüllte seinen Zweck, aber aufgrund der mangelnden Kohäsion mussten wir viel Mühe aufwenden, um alles mit viel Klebeband und Muskelkraft zusammenzuhalten (lacht).

„Wir hatten diesen Overhead eines kleinen Teams, das mehrere Open-Source-Tools wartete. Das war mühsam.“

Jedes Tool erfüllte einen Zweck, aber keines funktionierte zusammen. Secret Scanning war überladen und über Repositories hinweg schwer zu verwalten, Container-Scanning war für Ingenieure schwer umzusetzen. Selbst grundlegende Compliance-Aufgaben wie das Sammeln von Nachweisen oder das Verfolgen von SLAs waren fragmentiert.

Beispielsweise war es schwierig, auf die Ergebnisse Snykzu reagieren, insbesondere für Ingenieure, die sich mit verschiedenen Tools auskennen und auf unterschiedliche Weise mit ihnen interagieren müssen. Selbst mit unserer Github-Infrastruktur als Code wurde es zeitaufwändig, diese Tools auf dem neuesten Stand und funktionsfähig zu halten.

„Wenn ich als Sicherheitsingenieur Zeit damit verbringen muss, Ergebnisse zu entschlüsseln, wie kann ich dann erwarten, dass unsere Ingenieure darauf reagieren? Sie werden es einfach ignorieren.“

Wie sah der Prozess der Erfassung compliance aus, bevor Aikido Vanta kombiniert wurde?

Mühsam manuell. Richtlinien wurden in SharePoint gespeichert. Onboarding und Offboarding wurden separat verfolgt. Das Zusammentragen von Audit-Nachweisen erforderte das Wechseln zwischen mehreren Tools und Tabellen.

„Manuell, manuell und nochmals manuell. Jeder Audit-Zyklus bremste das Geschäft aus.“

Uns fehlte eine einheitliche Sicht auf Schwachstellen, Inventar, Lieferantenrisiken, und so weiter. Und für ein kleines Team kann diese Art von operativer Reibung die Dinge wirklich verlangsamen, wenn es am wichtigsten ist.

Wie würden Sie die Rolle beschreiben, die Technologie jetzt bei der Unterstützung Ihrer Sicherheits- und Compliance-Haltung spielt?

Der Unterschied ist wie Tag und Nacht. Sicherheit wurde für die meisten Entwickelnde unsichtbar, und das ist gut so. 

Aikido es Ingenieuren leicht Aikido , Probleme zu erkennen und zu lösen, ohne Fragen an das Sicherheitsteam weiterleiten zu müssen. Jedes Repository enthält relevante, umsetzbare Erkenntnisse. Ingenieure können Probleme ganz einfach selbst lösen, ohne dass ich ihnen Sicherheitsberichte übersetzen muss. Kein Rätselraten. Keine PDFs, die interpretiert werden müssen. Die Integrationen in Pull-Anfragen und auch IDEs sind einfach großartig.

Aikido Vanta bieten uns sowohl Transparenz als auch Automatisierung. Aikido sucht Aikido nach Problemen und speist reale Daten in Vanta ein. Dazu gehören:

• Schwachstellen- und Patch-SLA-Tracking
• Malware-Erkennung
• Change Management
• Validierung der Basiskonfiguration (via Terraform & IaC)
• GitHub-Richtliniendurchsetzung
• Und automatisiertes Security Awareness Training

„Jetzt können wir zeigen, wie wir SLAs und Kontrollen einhalten, ohne Berichte manuell zusammenzustellen.“

Vanta dient dann als unsere zentrale Informationsquelle für Audits, Kundenbewertungen und die interne GRC-Aufsicht. Es verbindet alles mit Nachweisen, die audit-bereit und umsetzbar sind.

Was ist bei der Evaluierung beider Tools besonders aufgefallen?

Bei Aikido waren es die einfache Einführung und die Entwicklerfreundlichkeit. Wir hatten einen mühsamen Übergang erwartet, aber innerhalb einer Woche lief alles über die Repositories. Aikido viele unserer Anforderungen sofort Aikido . Viele der Open-Source-Tools, die wir bereits verwendeten, wurden in die Plattform integriert, wodurch sich alles vertraut anfühlte und unser Migrationsaufwand reduziert wurde. Dank unseres GitHub-Setup-as-Code-Ansatzes konnten wir es in nur wenigen Tagen in allen Repositorys einführen, viel schneller als ursprünglich erwartet.

„Basierend auf früheren Erfahrungen erwarteten wir einen langsamen Übergang. Stattdessen migrierten wir alles innerhalb einer Woche, ohne jemanden zu stören.“

Für Vanta war es die umfassende Automatisierung und die Schnelligkeit, mit der wir die manuelle Erfassung von Nachweisen reduzieren konnten. Die Integration mit Aikido, Microsoft Defender, GitHub und anderen machte es zur richtigen Wahl für die Zentralisierung compliance.

Zusammen reduzierten sie sowohl den Aufwand als auch das Risiko. Wir gewannen an Transparenz, reduzierten das Rauschen und wechselten zu einem Setup, das keine Vollzeitkraft zur Betreuung erfordert.

Können Sie uns einen Moment schildern, in dem Aikido Vanta Ihnen Zeit oder Stress erspart haben?

Auf jeden Fall. Der Teamvergleichsbericht Aikido gibt uns einen guten Einblick in die Leistung der verschiedenen Teams, und wir veröffentlichen den Bericht sogar in Slack. Es geht dabei nicht um Wettbewerb an sich, aber es macht die Sicherheit auf gesunde Weise spielerisch.

AutoFix sticht jedoch ebenfalls hervor. Nicht nur wegen seiner Funktionen, sondern auch wegen der Schnelligkeit, mit der das Aikido auf unser Feedback reagiert hat. Zunächst verhinderten unsere PR-Standards die ordnungsgemäße Funktion von AutoFix, da wir strenge Pull-Request-Standards wie PR-Titel oder Commit-Meldungen vorschreiben. Innerhalb weniger Wochen hatte das Team Unterstützung für unsere spezifische Konfiguration hinzugefügt.

Wir kamen von Enterprise-Lösungen, die nicht auf Kundenfeedback reagieren (da wir ein kleines Unternehmen sind), selbst für Kleinigkeiten lange Bearbeitungszeiten bei Support-Tickets erfordern und man nur kurz vor dem Verlängerungszyklus von seinen Account Managern hört.

„Das Team hat unser Feedback angenommen und innerhalb weniger Wochen einen Fix geliefert. Diese Art von Reaktionsfähigkeit ist wichtig.“

Auf der Seite von Vanta bedeutet Aikido der Sicherheitssignale von Aikido unsere compliance , dass wir nicht mehr nach Antworten suchen müssen, wenn Kunden fragen : „Wie gehen Sie mit Schwachstellen um?“ Die Antworten sind bereits vorhanden, zusammen mit dem Kontext und der SLA-Verfolgung.

Und zum Schluss: Wie würdest du die Wirkung Aikido Vanta zusammenfassen?

Aikido Vanta geben uns Sicherheit. Da Sicherheit und compliance gewährleistet compliance , können sich unsere Ingenieure ganz auf die Entwicklung konzentrieren.“