Hallo Daan! Kannst du uns etwas über Tellent und deine Rolle dort erzählen?
Mein Name ist Daan Goumans, und ich bin Information Security Officer und Team Lead IT bei Tellent. Ich bin seit etwa 3,5 Jahren im Unternehmen. Mein Hauptaugenmerk liegt auf dem Risikomanagement und der strategischen Seite der Sicherheitskontrollen, während mein Team den täglichen Betrieb unserer zentralen Geschäftstools wie E-Mail, interne Kommunikation und Benutzer-Endpunkte verwaltet.
Unser Entwicklungsteam besteht aus rund 90-100 Personen, einschließlich Produktmanagern. Gemeinsam entwickeln und pflegen wir die HR-Plattform von Tellent, die Recruiting (ATS), Core HR (HRIS) sowie Performance- & Wachstumstools in einem System vereint. Was uns auszeichnet, ist die Flexibilität, mit dem zu beginnen, was man braucht, und im Laufe der Zeit zu wachsen, zusammen mit über 200 Integrationen und einer umfassenden Workflow-Anpassung.
„Sicherheit und Compliance sind zentrale Säulen unserer Produktstrategie. Unsere Kunden verlassen sich darauf, dass wir sensible Einstellungs- und Mitarbeiterdaten schützen.“
Wie haben Sicherheit und Compliance Ihre Produktstrategie geprägt?
Die Verarbeitung sensibler Daten bedeutet, dass wir strenge Sicherheits- und Compliance-Standards erfüllen müssen. Wir werden regelmäßig nach ISO 27001, SOC 2 Typ 2 auditiert und führen im Rahmen unserer Strategie Penetrationstests durch. Wir möchten auch, dass unsere Kunden ihre eigenen Anforderungen erfüllen, daher haben wir Funktionen wie rollenbasierte Zugriffskontrolle, konfigurierbare Datenaufbewahrung und automatisierte Workflows integriert, um sie zu unterstützen.
Was hat Sie dazu bewogen, Aikido zu evaluieren?
Es gab keinen einzelnen großen Vorfall, der uns zur Evaluierung von Aikido veranlasst hätte. Wir haben immer versucht, proaktiv die Sicherheit zu verbessern. Ein Partner im Security-Bereich erzählte uns, dass er Lösungen in Aikido konsolidiert hatte und mit den Ergebnissen sehr zufrieden war. Wir haben es selbst geprüft und festgestellt, dass es uns helfen könnte, eine bessere Übersicht über alle Assets an einem Ort zu erhalten.
Vor Aikido fehlte unseren Tools entweder die Abdeckung für bestimmte Programmiersprachen (wir nutzten Dependabot) oder sie lösten nur einen Teil des Problems. Einige erzeugten Rauschen statt umsetzbarer Ratschläge, während andere keinen guten Return on Investment lieferten.
„Wir brauchten etwas, das uns volle Abdeckung, weniger Rauschen und mehr umsetzbare Erkenntnisse an einem Ort bietet.“
Welchen Herausforderungen standen Sie zu dieser Zeit gegenüber?
Während unserer Fusion mussten wir neue Codebasen, Cloud-Umgebungen und Drittanbieter-Integrationen integrieren. Unsere bestehenden Tools konnten mit dem Tempo und dem Umfang nicht mithalten. Hinzu kam, dass mit dem Wachstum unseres Kundenstamms auch die Compliance-Anforderungen stiegen. Um zu beweisen, dass wir die Kontrolle hatten, implementierten wir ein ISO 27001-zertifiziertes Informationssicherheits-Managementsystem. Aikido erleichterte es, die Compliance gegenüber der Führungsebene, Auditoren, Kunden und potenziellen Kunden zu demonstrieren, da es alle technischen Aspekte von einer Plattform aus abdeckte.
Was hat bei der Evaluierung von Aikido besonders überzeugt?
Drei Dinge stachen während der Evaluierung hervor: breite Abdeckung über Clouds, Programmiersprachen und Registries hinweg in einer einzigen Oberfläche; vorverarbeitete Schwachstellen, sodass wir uns auf die kritischen Ergebnisse mit umsetzbaren Ratschlägen statt auf Rauschen konzentrieren konnten; sowie Reporting- und Überwachungsfunktionen, die es einfach machten, den Wert gegenüber der C-Level-Führungsebene zu demonstrieren.
„Die Trends im Zeitverlauf-Berichte erleichtern es, der Führungsebene Fortschritte aufzuzeigen und die Arbeit des Engineerings hervorzuheben.“
Wie war der Onboarding-Prozess?
Vom Vertragsabschluss bis zur vollständigen Implementierung dauerte es etwa einen Monat. Unser CTO leitete die Einführung, sodass der operative Aufwand für den Rest des Teams minimal war.
Das Aikido-Team reagierte immer schnell, und bei allen Entscheidungen, die ein Abwägen von Vor- und Nachteilen erforderten, erklärten sie unsere Optionen klar und deutlich. Wir kamen größtenteils mit der verfügbaren Dokumentation zurecht, und bei Bedarf war der Support nur eine Slack-Nachricht entfernt.
Wie hat sich Aikido in Ihre Workflows integriert?
Sehr reibungslos. Wir brauchten keine technischen Änderungen an unserem Produkt. Es integriert sich mit ClickUp, sodass neue Probleme mit hoher und kritischer Schwere automatisch auf unserem Security-Projekt-Backlog-Board erscheinen. Unser technischer Direktor kann sie dann den richtigen Teams zuweisen, was die Prioritäten klar hält und den Aufwand für Entwickelnde reduziert.
„Mit Slack- und ClickUp-Integrationen sind wir von wöchentlichen Alert-Zusammenfassungen zu Echtzeit-Alerts übergegangen.“
Wir nutzen Aikidos Berichte auch in unseren monatlichen Security-Meetings mit der Führungsebene und der C-Level-Leitung. Die Möglichkeit, neue im Vergleich zu gelösten Problemen Monat für Monat zu verfolgen, hilft uns, die Strategie zu steuern und Ressourcen bei Bedarf zuzuweisen.
Welche konkreten Ergebnisse haben Sie seit der Einführung von Aikido erzielt?
Aikido hat die Vorbereitungszeit für Audits vollständig eliminiert. Jetzt öffnen wir bei jedem Audit einfach die Plattform und zeigen, wie Integrationen konfiguriert sind, was sofortige Sicherheit gibt, dass wir die Kontrolle haben. Automatisiertes Ticketing hat die Gesamtzeit, die für Security-Probleme aufgewendet wird, nicht reduziert, aber es hat die Art und Weise, wie Zeit genutzt wird, verändert. Mit besserer Filterung und Priorisierung konzentrieren sich Entwickelnde nur auf das Wesentliche, und die Führungsebene erhält Echtzeit-Transparenz, anstatt auf manuelle Berichte zu warten.
„Vor Aikido war das Sammeln aller Security-Informationen mühsam. Jetzt sind Übersicht, Reporting und strategische Entscheidungsfindung viel einfacher.“
Wie würden Sie Aikidos Einfluss auf Tellent zusammenfassen?
Aikido half uns, unsere Security-Scanner zu konsolidieren, die Zusammenarbeit mit der Führungsebene zu verbessern und eine klarere Übersicht über alle Systeme zu erhalten. Es gab uns die Zuversicht, zu experimentieren und schneller voranzukommen, da wir wissen, dass eine zusätzliche Sicherheitsebene Wache hält.
„Aikido ermöglichte es uns, proaktiv statt reaktiv zu handeln, mit einer zentralen Stelle für Übersicht, Reporting und Maßnahmen.“
