PSG ist eine Growth-Equity-Firma, die mit Software- und technologiebasierten Dienstleistungsunternehmen zusammenarbeitet, um sie bei ihrem transformativen Wachstum zu unterstützen, strategische Chancen zu nutzen und starke Teams aufzubauen. Mit der Unterstützung von mehr als 150 Unternehmen und der Vermittlung von mehr als 520 Add-on-Akquisitionen verfügt PSG über umfangreiche Investitionserfahrung, fundiertes Fachwissen in den Bereichen Software und Technologie sowie ein starkes Engagement für die Zusammenarbeit mit Managementteams. PSG wurde 2014 gegründet und verfügt über Büros in Boston, Kansas City, London, Paris, Madrid und Tel Aviv. Um mehr über PSG zu erfahren, besuchen Sie www.psgequity.com.

‍

PSG verfolgt einen strategischen und pragmatischen Ansatz bei der Betriebsoptimierung, einschließlich der Sicherheit. Als das Unternehmen die Anwendungssicherheit im gesamten Portfolio vereinheitlichen wollte, wandte es sich an Aikido.

Wir sprachen mit Adam Glick, Chief Information Security Officer bei PSG, darüber, wie Aikido dem Unternehmen hilft, die Sicherheit zu unterstützen, und welche Rolle die Plattform jetzt bei der Sorgfalt, Überwachung und Befähigung spielt.
‍

Hallo Adam! Könntest du dich und deine Rolle bei PSG kurz vorstellen?

Ich bin der CISO bei PSG. Ich bin seit etwa zwei Jahren bei der Firma. Ich bin für zwei Dinge zuständig: Ich beaufsichtige die interne IT und den Bereich InfoSec bei PSG selbst, und ich fungiere auch als Governance- und Aufsichtsfunktion für die Portfoliounternehmen. Das bedeutet, dass ich dazu beitrage, dass unsere Portfoliounternehmen ("PortCos" oder "Portfoliounternehmen") in Sicherheit investieren, ihre Programme weiterentwickeln und sicheren Code ausliefern.

‍

Wie unterstützt PSG seine Portfoliounternehmen in puncto Sicherheit?

Wir haben ein operatives Team, das unsere PortCos bei der täglichen Arbeit unterstützt: sei es bei der Auswahl von Technologien, bei der Einstellung von Mitarbeitern, bei der GTM-Strategie oder auch bei der Sicherheit. Wir arbeiten mit ihnen zusammen, um Anbieter zu bewerten, Richtlinien zu erstellen, sich auf Audits vorzubereiten oder compliance zu lösen.

Im Bereich Sicherheit unterstützen wir unsere Portfoliounternehmen dabei, die Anforderungen zu verstehen und die richtigen Tools und Partner zu finden, um diese zu erfüllen.

‍

Welche Rolle spielt die Anwendungssicherheit in den von Ihnen geförderten Rahmenwerken?

Wir sind der Meinung, dass AppSec zu den Grundpfeilern jeder Entwicklungsorganisation gehört. Wir erwarten von unseren PortCos, dass sie sicheren Kodierungspraktiken Vorrang einräumen, sowohl im Hinblick auf das Unternehmensrisiko als auch auf die Integrität ihres Rufs. Unsere Aufgabe ist es, unsere PortCos bei der Bewertung und Einführung von Tools für die sichere Kodierung zu unterstützen. 

‍

Was hat PSG dazu veranlasst, eine portfolioübergreifende Initiative zur Anwendungssicherheit zu starten?

Jede Initiative, die wir in unserem gesamten Portfolio umsetzen können, ist ein Gewinn. Wenn wir einen programmatischen oder systemischen Bedarf erkennen können (vor allem in einem Bereich wie der Sicherheit), lohnt es sich, ihn auf einheitliche Weise zu lösen. 

‍

Wie haben Sie das richtige Instrumentarium für diese Art von Initiative gefunden?

Wir stehen in regelmäßigem Kontakt mit unseren PortCos und wissen, wie weit sie entwickelt sind. Dieser Grad an Engagement gibt uns Aufschluss darüber, wo gemeinsame Lösungen für das gesamte Portfolio hilfreich sein könnten.

Die größte Herausforderung bei der Einführung einer portfolioweiten Anwendungsinitiative ist die Minimierung von Reibungsverlusten. Jedes Unternehmen ist anders. Die Frage ist: Was ist der gemeinsame Nenner? Wir brauchten eine Lösung, die für die Mehrheit der Unternehmen mit minimalen Einführungshürden funktionieren konnte.

‍

Wie hat sich Aikido also hervorgetan?

Die einfache Bereitstellung war ein wichtiger Faktor. Nachdem wir unsere Prüfung abgeschlossen und den Vertrag unterzeichnet hatten, konnten wir ein Unternehmen mit Aikido verbinden und innerhalb von Sekunden mit dem Scannen beginnen - im wahrsten Sinne des Wortes. Keine Feinabstimmung, keine Kopfschmerzen. Das allein hat schon ein großes Hindernis beseitigt.

‍

"Sobald wir unsere Prüfung abgeschlossen und den Vertrag unterzeichnet hatten, konnten wir ein Unternehmen mit Aikido verbinden und buchstäblich in Sekundenschnelle mit dem Scannen beginnen."

‍

Aber darüber hinaus ist es die Breite der technischen Möglichkeiten: SAST, DAST, CSPM, Scannen von secrets ... alles in einer einzigen Plattform integriert, war wirklich überzeugend. Für PSG war der Einsatz mit geringem Aufwand verbunden, aber mit schwergewichtigen Ergebnissen.

Und die Beziehung zu den Führungskräften ist wichtig. Wir wollen wissen, dass wir, wenn etwas schief geht, Leute am Ruder haben, die uns helfen, das Problem schnell zu lösen. Unsere Erfahrungen mit dem Führungsteam bei Aikido waren positiv.

‍

Wie sind Sie bei der Einführung des gesamten Portfolios vorgegangen?

Wir haben die Markteinführung ernst genommen. Es ging nicht nur darum: "Hier ist ein Tool, benutze es." Wir hatten Awareness-Sitzungen, Sprechstunden, 1:1-Gespräche mit Entwicklungsleitern, Dokumentation, Slack-Kanäle für Echtzeit-Support... Im Grunde alles, was wir tun konnten, um sicherzustellen, dass unsere PortCos für den Erfolg gerüstet waren.

‍

"Es war nicht nur ein 'Hier ist ein Tool, benutze es'. Wir hatten Sensibilisierungsveranstaltungen, Sprechstunden, 1:1-Sitzungen... im Grunde alles, was wir tun konnten, um sicherzustellen, dass unsere PortCos für den Erfolg gerüstet waren."

‍

Sowohl Aikido als auch PSG hatten Anlaufstellen. Wir waren über mehrere Kanäle erreichbar, um schnelle Antworten zu gewährleisten. Die Befähigungsseite war genauso wichtig wie die Technologie selbst.

‍

Welche Rolle spielt das Aikido-Partner-Portal bei Ihrer Aufsicht?

Hier gibt es eine Menge Potenzial. Heute nutzen wir es, um wichtige CVEs schnell zu identifizieren (z. B. "Wer hat CVE-2024-XXXX?") und die betroffenen Unternehmen zu kontaktieren.

Dennoch drängen wir auf bessere Berichtsmöglichkeiten. Wir würden gerne mehr Trends auf Makroebene sehen. Dinge wie portfolioweite Schwachstellen-Trends oder Abhilfe-Raten für jedes einzelne Unternehmen. Aikido ist sehr offen für dieses Feedback, und wir arbeiten gemeinsam an Verbesserungen.

‍

Wie würden Sie das "Vorher" und "Nachher" der Sicherheitskoordination bei PSG beschreiben?

Früher war das Werkzeugwesen stärker fragmentiert. Jede PortCo wählte aus, was für sie funktionierte. Das ist nicht per se schlecht, aber es macht die Überwachung und Unterstützung viel schwieriger.

Jetzt gibt es etwas Zentrales, das es vorher nicht gab. Wir haben positive Rückmeldungen von den Nutzern erhalten. Das Tool ist einfach zu übernehmen und wirklich hilfreich. Wir sind noch dabei, die Auswirkungen zu quantifizieren, aber anekdotisch gesehen sind sie sehr positiv.

‍

Haben Sie begonnen, Aikido über die Sicherheit Ihres Portfolios hinaus auf andere Weise anzuwenden?

‍

"Wir fangen an, Aikido in unsere Prüfungsabläufe einzubinden... Es gibt uns einen fundierteren Überblick über das, was wir erwerben."

‍

Ja. Wir fangen an, Aikido in unsere Arbeitsabläufe zur Prüfung von Unternehmen einzubinden. Wenn wir neue Unternehmen für eine mögliche Übernahme evaluieren, können wir sie in Aikido einbinden und erhalten sofortige Einblicke in ihre Sicherheitslage, ohne auf den Code selbst zugreifen zu müssen. Wir haben das Gefühl, dass wir dadurch einen fundierteren Überblick über das zu erwerbende Unternehmen erhalten.

‍

Haben Sie einen Rat für andere, die Technologie-Initiativen in einem Portfolio einführen?

‍

"Es gibt keine Einheitsgröße für alle, aber es gibt eine Einheitsgröße für die meisten, und wir glauben, dass Aikido genau diesen Punkt trifft.

‍

Ganz genau. Eine Sache, die wir gelernt haben, ist, dass man im IT-Bereich nicht zu viele Vorschriften machen sollte. Wir verwenden einen Ansatz, den ich "Netflix Road Well-Traveled" nenne (basierend auf dem Managementstil des Unternehmens). Wir sagen den Unternehmen, welche Ergebnisse wir brauchen. Zum Beispiel ein sicheres Kodierungsprogramm, aber wir schreiben nicht genau vor, wie man es erreichen kann.

Aikido ist ein großartiges Beispiel: Es ist eine starke Empfehlung, kein Gebot. Wenn es für Sie funktioniert, wunderbar. Wenn nicht, finden Sie etwas, das funktioniert. Es gibt keine Einheitsgröße für alle, aber es gibt eine Einheitsgröße für die meisten, und wir glauben, dass Aikido genau in diesen Bereich passt.

‍

Abschließende Gedanken?

‍

Aikido ist ein großartiger Partner. Egal, ob es um den Support im Slack-Kanal, die Verfügbarkeit der Führungskräfte oder die Reaktionsfähigkeit der Produkte geht, sie haben immer geliefert. Es war eine großartige Beziehung.

‍