Cómo construir una empresa secure by design ?

 ¿Por qué metemos el dinero en el banco en lugar esconderlo bajo el colchón? Porque confiamos en las instituciones financieras, y nuestros ahorros están más seguros allí que en cualquier lugar de nuestra casa. Por supuesto, estamos muy lejos de la época en que teníamos que depositar las monedas, o lingotes de oro para los afortunados, en el mostrador del banco. Con la digitalización de la industria, la confianza se ha extendido al mundo digital.

Esta relación de confianza es fundamental para todos los actores de los servicios financieros, especialmente las fintech. Es por esto que las personas aceptan compartir sus datos bancarios y personales. ¿Cuál es la contrapartida esperada? Productos y servicios con el máximo nivel de seguridad, para evitar la retención de estos datos.

En Algoan, nos esforzamos por estar a la vanguardia en este tema. Desde el primer día hemos estado desarrollando un enfoque secure by design. ¿Cuáles son las implicaciones? ¿Cómo desarrollamos nuestros productos en consecuencia? Hemos hablado con Fabrice Ongenae, nuestro CTO, para explicar las elecciones técnicas que garantizan la seguridad de nuestros productos.

¿Cuáles son los retos de seguridad y conformidad a los que se enfrenta Algoan? Para entregar nuestros productos, necesitamos que nuestros clientes y, por extensión, los clientes de nuestros clien>tes, compartan sus datos bancarios y personales con nosotros.

«Los datos bancarios son un tema muy sensible. Una brecha de seguridad puede tener un fuerte impacto en la vida de los usuarios. Nos brindan su confianza, nos corresponde a nosotros honrarla con un alto nivel de exigencias, entregando los productos más seguros posibles.» – Fabrice Ongenae, CTO, Algoan

En cuanto a los datos personales, seguro que tienes en mente los numerosos escándalos relacionados con las fallas de seguridad que les conciernen (Facebook – Cambridge Analytica, por citar solo un ejemplo). Por lo tanto, tenemos un gran reto en cuanto a la protección de estos datos y en cuanto a la conformidad en su recopilación y uso. Es decir, saber cómo almacenarlos, en qué forma, durante cuánto tiempo, etc. El reglamento general de protección de datos (RGPD) ha proporcionado un marco legal sobre este tema desde 2018. En Algoan, ya habíamos adoptado un enfoque conservador para usar y conservar solo los datos necesarios para construir nuestros productos, nada más.

La protección de estos datos es la base de la relación de confianza que nos une a nuestros clientes. Los grandes bancos con los que colaboramos tienen unos niveles de exigencia muy altos, y es normal.

«Somos una empresa joven, que opera en un mercado sensible. No tenemos derecho a equivocarnos en cuanto a la seguridad de los datos transmitidos: si supiéramos de una falla importante, no tendríamos una segunda oportunidad. A medida que la empresa se vuelve más visible, también aumentan las amenazas. Debemos mantener e impulsar nuestro nivel de exigencia constantemente para protegernos de ellas. En concreto, esto se traduce en elecciones técnicas que sitúan la seguridad en el centro de todas nuestras acciones.»

El deseo de ser la punta de lanza en cuestiones de seguridad es una parte integrante del ADN de Algoan; ¡la ventaja de tener dos cofundadores ingenieros! Todas nuestras elecciones técnicas se basan en el enfoque DevSecOps, que incluye el Shift Left. Vamos a explicarlo rápidamente: 

• DevSecOps: quizás hayas oído hablar de DevOps. Este enfoque unifica el desarrollo de software y la administración de las infraestructuras informáticas. ¿Con qué propósito? Integrar las restricciones de despliegue desde la fase de programación, en lugar de hacerlo a posteriori. Por extensión, el DevSecOps acerca la seguridad a la programación. Los esquemas de seguridad se crean simultáneamente con las funcionalidades. Esto permite identificar los puntos de vigilancia desde la génesis del producto y agregar pruebas de seguridad en todas sus etapas de desarrollo.
  
• Shift Left: este enfoque también tiene como objetivo romper los silos existentes. Este término que significa literalmente «hacia la izquierda», permite que las pruebas, y en nuestro caso, las pruebas de seguridad, se realicen al principio del ciclo de desarrollo del producto, en lugar de hacerlo en el momento de la producción. ¿Su ventaja clave? Evite enviar fallas a la producción. Desde el punto de vista de la seguridad, esto es muy interesante, pero también lo es desde el punto de vista económico. Según un dicho popular en la comunidad tecnológica, un error X, que se origina en una falla de seguridad, cuesta 10 en el momento del desarrollo, 100 en la etapa de control de calidad y 1000 una vez en producción.

«En Algoan, hemos adoptado completamente uno de los leitmotivs del DevSecOps: esperar lo mejor, prepararse para lo peor. La idea es que, desde la creación de productos y funcionalidades, se piense en las posibles fallas y se dé una respuesta anticipada.»

Para acreditar el esfuerzo técnico realizado, solicitamos la certificación de determinados sellos de calidad oficiales. En particular, la norma ISO 27001 a principios de 2022, que validará nuestras acciones y tranquilizará a nuestros clientes actuales y futuros.

«Los valores de nuestro equipo tecnológico son: estar a la vanguardia, ser ágiles y contribuir a la comunidad tecnológica, especialmente a través del código abierto.»

El código abierto está en el centro de nuestra cultura técnica en Algoan. Al ser colaborativos por naturaleza, hemos buscado la experiencia de los organismos locales. Algoan es todavía una empresa pequeña, y colaborar con estos líderes del mercado nos permite beneficiarnos de su experiencia y ahorrar tiempo en nuestros desarrollos: 

• Cuando construimos nuestro modelo de datos, se hicieron preguntas sobre su almacenamiento, su forma, etc. Llamamos a la firma Digital & Ethics para beneficiarnos de las buenas prácticas.
• Google Cloud, nuestro host, tiene un impacto considerable en el código abierto, con diferentes herramientas como Kubernetes o Tensorflow. Nos beneficiamos del acompañamiento directo de sus equipos en temas de arquitectura gracias al Startup Program en 2017 y 2020.
• Estamos muy orientados al código abierto, por lo que también necesitamos herramientas para protegernos de posibles fallas de seguridad. Por eso usamos Snyk, que detecta automáticamente fallas en las dependencias de código abierto antes de que las usemos internamente. También cumple un objetivo de conformidad, para garantizar que no usamos dependencias que tendrían una licencia propietaria.

«Snyk juega un papel clave en nuestra organización técnica. Comparten la misma visión del código abierto que nosotros. Encajan perfectamente en nuestros enfoques DevSecOps y Shift Left para ayudar a los desarrolladores en la concepción de nuestros productos.»

Rodearnos de estas herramientas nos permite detectar las fallas y corregirlas más rápidamente que si nos quedásemos aislados en nuestros desarrollos. Siempre tenemos en cuenta la lógica de Pay it forward, que es la base del código abierto. A su vez contribuimos a la comunidad: compartimos en Github dependencias de código abierto en las que hemos trabajado, por ejemplo. Al mismo tiempo, contamos con un equipo extremadamente cualificado y apasionado.

Ninguno de nuestros objetivos de seguridad se lograría sin el equipo que hemos logrado reunir. Fabrice es el CTO y responsable de la seguridad. Paul, cofundador de Algoan, gestiona los aspectos de conformidad de los datos. Contamos con un departamento DevOps que se asegura de hacer las preguntas correctas desde la creación de la infraestructura para asegurar que no haya fallas (Shift Left, siempre). Nuestros otros técnicos están divididos en equipos, con un líder de tribu y dos desarrolladores jefe a la cabeza.

En cada etapa del desarrollo, el objetivo es agregar un aspecto de seguridad: la conceptualización incluye esta parte de forma nativa. Realizamos pruebas de seguridad automáticas previas; en producción, las herramientas monitorizan nuestra infraestructura y aseguran que no haya intrusiones, etc. También realizamos tests de penetración en nuestro propio sistema para identificar posibles fallas, con informes internos. Esto crea una pista escrita que podremos proporcionar a los auditores durante la certificación… ¡y que podremos transmitir a nuestros clientes si detectamos alguna falla! 

En nuestro equipo, una contratación fue clave: la de Achraf, nuestro DevSecOps y pentester. Posee varias certificaciones y ha recibido múltiples premios en concursos de pentest.

«A menudo, se externaliza al pentester o su contratación se produce en una etapa posterior del desarrollo de la empresa. Contratar a Ashraf tan pronto como se creó Algoan fue una elección estratégica. Contar con una persona dedicada a los temas de seguridad desde el inicio de la empresa aporta un gran valor añadido. Siempre que se toman decisiones dentro del equipo técnico, Achraf aporta su experiencia para hacer de la seguridad una parte integrante.»

Contratar al equipo es solo el primer paso para construir una cultura sólida de seguridad interna. Después debe mantenerse. ¿Cómo? Aproximadamente cada dos meses, Achraf y Fabrice hacen presentaciones frente a todo el equipo que interviene en la producción. A menudo, eligen eventos actuales y analizan cómo podrían haberse anticipado. También es una oportunidad para presentar las novedades en seguridad. 

Más allá de estas sesiones, se recomienda encarecidamente que sigan formaciones. En concreto dos MOOC en OpenClassrooms, sobre ciberseguridad y sobre cómo llevar a cabo los pentests.

«También hacemos días de juegos. Hay que pensar en ello como una formación para bomberos: simulamos las brechas de seguridad que podrían ocurrir y el equipo debe encontrar la solución. Esto ayuda a garantizar que el equipo esté organizado, unido y que sepa reaccionar al unísono en caso de una situación difícil en Algoan.»

Un colectivo ya involucrado por lo general: tan pronto como aparece un incidente de producción, suenan las alarmas, como el Andon Cord en Toyota. Todos detienen sus tareas actuales y se organizan para identificar el problema y solucionarlo lo más rápido posible.

Asegurar los datos transmitidos por nuestros clientes y protegernos de las amenazas externas es fundamental para una empresa como Algoan. Nos esforzamos por estar a la vanguardia en este tema gracias a elecciones técnicas estratégicas, colaboraciones con los organismos locales y un equipo cualificado y apasionado. Fabrice y Achraf continúan trabajando en una hoja de ruta cada vez más ambiciosa, para continuar las inversiones iniciadas en DevSecOps y Shift Left. Cabe esperar aún más automatización e innovaciones para avanzar hacia la infalibilidad tanto como sea posible.