PSG ist eine Growth-Equity-Firma, die mit Software- und technologiegestützten Dienstleistungsunternehmen zusammenarbeitet, um sie dabei zu unterstützen, transformatives Wachstum zu meistern, strategische Chancen zu nutzen und starke Teams aufzubauen. Mit der Unterstützung von über 150 Unternehmen und der Ermöglichung von über 520 Add-on-Akquisitionen bringt PSG umfassende Investitionserfahrung, tiefgreifendes Fachwissen in Software und Technologie sowie ein starkes Engagement für die Zusammenarbeit mit Managementteams mit. PSG wurde 2014 gegründet und unterhält Büros in Boston, Kansas City, London, Paris, Madrid und Tel Aviv. Um mehr über PSG zu erfahren, besuchen Sie www.psgequity.com.
PSG verfolgt einen strategischen und pragmatischen Ansatz bei der operativen Befähigung, einschließlich der Sicherheit. Als sie die Anwendungssicherheit im gesamten Portfolio vereinheitlichen wollten, wandten sie sich an Aikido.
Wir sprachen mit Adam Glick, Chief Information Security Officer bei PSG, darüber, wie Aikido das Unternehmen bei der Unterstützung der Sicherheit hilft und welche Rolle die Plattform nun bei Due Diligence, Aufsicht und Befähigung spielt.
Hallo Adam! Könntest du dich und deine Rolle bei PSG kurz vorstellen?
Ich bin der CISO bei PSG. Ich bin seit etwa zwei Jahren in der Firma. Meine Verantwortlichkeiten sind zweigeteilt: Ich beaufsichtige die interne IT und InfoSec bei PSG selbst und fungiere auch als Governance- und Aufsichtsfunktion für die Portfolio-Unternehmen. Das bedeutet, sicherzustellen, dass unsere Portfolio-Unternehmen („PortCos“ oder „Portfolio-Unternehmen“) in Sicherheit investieren, ihre Programme weiterentwickeln und sicheren Code ausliefern.
Wie unterstützt PSG seine Portfoliounternehmen in puncto Sicherheit?
Wir haben ein Operations-Team, das unsere PortCos im Tagesgeschäft unterstützt: sei es bei der Technologieauswahl, der Personalbeschaffung, der GTM-Strategie oder eben der Sicherheit. Wir arbeiten eng mit ihnen zusammen, um Anbieter zu bewerten, Richtlinien zu erstellen, Audits vorzubereiten oder Compliance-Herausforderungen anzugehen.
Im Bereich Sicherheit sind wir da, um unseren Portfoliounternehmen zu helfen zu verstehen, was benötigt wird, und die richtigen Tools und Partner zu finden, um dies zu erreichen.
Welche Rolle spielt die Anwendungssicherheit in den von Ihnen geförderten Frameworks?
Wir glauben, dass AppSec einer der Grundpfeiler jeder Entwicklungsorganisation ist. Wir erwarten von unseren PortCos, dass sie sichere Codierungspraktiken priorisieren, sowohl für das organisatorische Risiko als auch für die Reputation. Unsere Aufgabe ist es, unsere PortCos bei der Bewertung und Einführung von sicheren Codierungs-Tools zu unterstützen.
Was veranlasste PSG, eine portfolioübergreifende Initiative für Anwendungssicherheit zu prüfen?
Jede Initiative, die wir portfolioübergreifend umsetzen können, ist ein Gewinn. Wenn wir einen programmatischen oder systemischen Bedarf (insbesondere in Bereichen wie Sicherheit) identifizieren können, lohnt es sich, diesen auf einheitliche Weise zu lösen.
Wie haben Sie die richtigen Tools für diese Art von Initiative identifiziert?
Wir haben regelmäßige Kontaktpunkte mit unseren PortCos und verstehen deren Reifegrad. Dieses Maß an Engagement gibt uns Einblick, wo gemeinsame Lösungen portfolioübergreifend unterstützend wirken könnten.
Die größte Herausforderung bei der Einführung einer portfolioweiten Anwendungsinitiative ist die Minimierung der Reibung. Jedes Unternehmen ist anders. Die Frage ist: Was ist der gemeinsame Nenner? Wir brauchten eine Lösung, die für die Mehrheit der Unternehmen mit minimalen Bereitstellungshürden funktionieren konnte.
Wie konnte sich Aikido also abheben?
Die einfache Bereitstellung war ein entscheidender Faktor. Nachdem wir unsere Due Diligence abgeschlossen und den Vertrag unterzeichnet hatten, konnten wir ein Unternehmen mit Aikido verbinden und buchstäblich in Sekundenschnelle mit dem Scannen beginnen. Kein Feintuning, keine Komplikationen. Das allein beseitigte eine große Hürde.
“Nachdem wir unsere Due Diligence abgeschlossen und den Vertrag unterzeichnet hatten, konnten wir ein Unternehmen mit Aikido verbinden und buchstäblich in Sekundenschnelle mit dem Scannen beginnen.”
Darüber hinaus war jedoch die Breite der technischen Funktionen: SAST, DAST, CSPM, Secrets-Scan… alles in einer einzigen Plattform integriert, wirklich überzeugend. Für PSG war die Bereitstellung mit geringem Aufwand und maximalen Ergebnissen verbunden.
Auch die Beziehung zur Führungsebene war wichtig. Wir möchten wissen, dass wir im Falle von Problemen Ansprechpartner in der Führungsebene haben, die uns schnell bei der Lösung helfen. Unsere Erfahrung mit dem Führungsteam von Aikido war positiv.
Wie sind Sie den Rollout über das gesamte Portfolio hinweg angegangen?
Wir haben den Rollout ernst genommen. Es war nicht nur: „Hier ist ein Tool, benutzt es.“ Wir hatten Awareness-Sessions, Sprechstunden, 1:1-Gespräche mit Dev-Leadern, Dokumentation, Slack-Channels für Echtzeit-Support… Im Grunde alles, was wir tun konnten, um sicherzustellen, dass unsere PortCos erfolgreich waren.
„Es war nicht nur: ‚Hier ist ein Tool, benutzt es.‘ Wir hatten Awareness-Sessions, Sprechstunden, Einzelgespräche... im Grunde alles, was wir tun konnten, um sicherzustellen, dass unsere PortCos auf Erfolg ausgerichtet waren.“
Sowohl Aikido als auch PSG hatten feste Ansprechpartner. Wir waren über verschiedene Kanäle erreichbar, um schnelle Antworten zu gewährleisten. Der Support-Aspekt war dabei genauso wichtig wie die Technologie selbst.
Welche Rolle spielt das Aikido Partner Portal bei Ihrer Überwachung?
Da ist viel Potenzial. Heute nutzen wir es, um schnell wichtige CVEs zu identifizieren (wie „Wer hat CVE-2024-XXXX?“) und betroffene Unternehmen zu kontaktieren.
Dennoch streben wir stärkere Reporting-Funktionen an. Wir würden gerne mehr Makro-Trends sehen. Dinge wie portfolioübergreifende Schwachstellentrends oder Behebungsraten pro Unternehmen. Aikido war sehr empfänglich für dieses Feedback, und wir arbeiten gemeinsam an Verbesserungen.
Wie würden Sie das „Vorher“ und „Nachher“ der Sicherheitskoordination bei PSG beschreiben?
Früher war das Tooling fragmentierter. Jedes PortCo wählte, was für sie funktionierte. Das ist nicht grundsätzlich schlecht, aber es erschwert die Überwachung und den Support erheblich.
Nun gibt es etwas Zentrales, das vorher nicht da war. Wir haben positives Feedback von den Benutzern erhalten. Das Tool ist einfach zu übernehmen und wirklich hilfreich. Wir sind noch früh in der Quantifizierung der Auswirkungen, aber anekdotisch war es sehr positiv.
Haben Sie Aikido auch auf andere Weise als nur für die Portfoliosicherheit eingesetzt?
“Wir beginnen, Aikido in unsere Due-Diligence-Workflows zu integrieren… Es verschafft uns einen fundierteren Einblick in das, was wir erwerben.”
Ja. Wir beginnen, Aikido in unsere Due-Diligence-Workflows zu integrieren. Wenn wir neue Unternehmen für eine potenzielle Übernahme bewerten, können wir sie an Aikido anbinden und sofortige Einblicke in deren Sicherheitslage erhalten, ohne Zugriff auf den Code selbst zu benötigen. Wir sind der Meinung, dass uns dies einen fundierteren Einblick in das verschafft, was wir erwerben.
Gibt es Ratschläge für andere, die Technologieinitiativen über ein Portfolio hinweg einführen?
“Es gibt keine Einheitslösung, aber es gibt eine Lösung, die für die meisten passt, und wir denken, Aikido trifft diesen optimalen Punkt.”
Absolut. Eine Sache, die wir gelernt haben, ist, im IT-Bereich nicht übermäßig vorschreibend zu sein. Wir verfolgen den Ansatz, den ich als „Netflix Road Well-Traveled“ bezeichne (basierend auf dem Managementstil des Unternehmens). Wir teilen Unternehmen mit, welche Ergebnisse wir benötigen. Zum Beispiel ein sicheres Coding-Programm, aber wir schreiben nicht genau vor, wie sie dorthin gelangen.
Aikido ist ein großartiges Beispiel: Es ist eine starke Empfehlung, kein Zwang. Wenn es für Sie funktioniert, ist das großartig. Wenn nicht, finden Sie, was passt. Es gibt keine Einheitslösung, aber es gibt eine, die für die meisten passt, und wir denken, Aikido trifft diesen optimalen Punkt.
Abschließende Gedanken?
Aikido war ein hervorragender Partner. Ob es um den Support im Slack-Kanal, die Verfügbarkeit der Führungsebene oder die Produkt-Reaktionsfähigkeit geht, sie haben stets geliefert. Es war eine großartige Zusammenarbeit.
