¿Cómo se construye un negocio seguro por diseño?

¿Por qué depositamos nuestro dinero en el banco y no debajo del colchón? Porque confiamos en las instituciones financieras y porque nuestras economías son más seguras en casa que en cualquier otro lugar de nuestro país. Por supuesto, estamos lejos de la época en la que tenías que depositar tus monedas (o lingotes de oro, para los afortunados) en la ventanilla del banco. Con la digitalización de la industria, la confianza se ha extendido al mundo digital.

Esta relación de confianza es fundamental para todos los actores de los servicios financieros, especialmente para las fintechs. Gracias a ella, las personas aceptan compartir sus datos bancarios y personales. ¿Cuál es la recompensa esperada? Productos y servicios con el máximo nivel de seguridad, para evitar el robo de estos datos.

En Algoan, nos esforzamos por estar al día sobre este tema. Desde el primer día, hemos estado desarrollando un enfoque de diseño seguro. ¿Cuáles son las implicaciones? ¿Cómo desarrollamos nuestros productos en consecuencia? Hablamos con Fabrice Ongenae, nuestro director de tecnología, para explicarle las opciones técnicas que garantizan la seguridad de nuestros productos.

Seguridad y cumplimiento: los desafíos para Algoan

¿Cuáles son los desafíos de seguridad y cumplimiento a los que se enfrenta Algoan? Para ofrecer nuestro productos, necesitamos que nuestros clientes —y, por extensión, los clientes de nuestros clientes— compartan sus datos bancarios y personales con nosotros.

«Los datos bancarios son muy sensibles. Una brecha de seguridad puede tener un fuerte impacto en la vida de los usuarios. Nos dan su confianza y nos corresponde a nosotros cumplirla con un alto nivel de requisitos, ofreciendo los productos más seguros posibles». — Fabrice Ongenae, director de tecnología de Algoan

En cuanto a los datos personales, es probable que tenga en cuenta los numerosos escándalos relacionados con las violaciones de seguridad que les conciernen (Facebook — Cambridge Analytica, por citar solo un ejemplo). Por lo tanto, tenemos el gran desafío de proteger estos datos, así como de garantizar su cumplimiento en lo que respecta a su recopilación y uso. Es decir, saber cómo almacenarlos, de qué forma, durante cuánto tiempo, etc. El Reglamento General de Protección de Datos (RGPD) proporciona un marco legal sobre este tema desde 2018. En Algoan, ya habíamos adoptado un enfoque conservador: usar y mantener solo los datos necesarios para crear nuestros productos, nada más.

La protección de estos datos es la base de la relación de confianza que nos une con nuestros clientes. Los grandes bancos con los que trabajamos tienen un nivel de requisitos muy alto, y eso es normal.

«Somos una empresa joven que opera en un mercado sensible. No tenemos derecho a cometer errores en lo que respecta a la seguridad de los datos transmitidos: si se produjera una violación grave, no tendríamos una segunda oportunidad. A medida que la empresa gana visibilidad, también lo hacen las amenazas. Debemos mantener y aumentar nuestro nivel de requisitos constantemente para protegernos de ellas. Concretamente, esto significa tomar decisiones técnicas que sitúen la seguridad en el centro de todas nuestras acciones.».

Seguro por diseño : nuestro enfoque de seguridad en Algoan

El deseo de estar a la vanguardia de los problemas de seguridad es una parte integral del ADN de Algoan, ¡la ventaja de tener probablemente dos cofundadores de ingeniería! Todas nuestras elecciones técnicas se basan en el enfoque de DevSecOps, que incluye Shift Left. Vamos a explicarlas rápidamente:

• DevSecOps : quizás hayas oído hablar de DevOps. Este enfoque unifica el desarrollo de software y la administración de la infraestructura de TI. ¿Con qué propósito? Integre las restricciones de implementación durante la fase de programación, en lugar de hacerlo después. Por extensión, DevSecOps acerca la seguridad a la programación. Los esquemas de seguridad se crean simultáneamente con las funcionalidades. Esto permite identificar los puntos de vigilancia desde la génesis del producto y añadir pruebas de seguridad en todas las etapas del desarrollo.
• Cambiar a la izquierda : este enfoque también tiene como objetivo romper los silos existentes. Literalmente «a la izquierda», permite que las pruebas (y en nuestro caso, las pruebas de seguridad) se realicen lo antes posible en el ciclo de desarrollo del producto, en lugar de realizarlas en el momento de la producción. ¿Cuál es su principal ventaja? Evite enviar fallos en la producción. Desde el punto de vista de la seguridad, esto es muy interesante, pero también es muy interesante desde el punto de vista económico. Según un adagio común en la comunidad tecnológica, un error X causado por una brecha de seguridad cuesta 10 dólares en el momento del desarrollo, 100 en la fase de control de calidad y 1000 dólares una vez en producción.

«En Algoan, hemos adoptado por completo uno de los leitmotivs de DevSecOps: esperar lo mejor y prepararse para lo peor. Tan pronto como se creen los productos y las funcionalidades, la idea es pensar en los posibles fallos y responder a ellos con antelación».

Para proporcionar evidencia de los esfuerzos técnicos realizados, requerimos la certificación de ciertas etiquetas oficiales. En particular, la norma ISO 27001 a principios de 2022, que validará nuestras acciones y tranquilizará a nuestros clientes actuales y futuros.

Colabore con expertos reconocidos en su campo

«Los valores de nuestro equipo técnico son: estar a la vanguardia, ser ágiles y contribuir a la comunidad tecnológica, en particular a través del código abierto».

El código abierto está en el centro de nuestra cultura técnica en Algoan. Por naturaleza colaborativa, buscamos la experiencia de las organizaciones locales. Algoan sigue siendo una empresa pequeña, y la colaboración con estos líderes del mercado nos permite beneficiarnos de su experiencia y ahorrar tiempo en nuestros desarrollos:

• Cuando creamos nuestro modelo de datos, surgieron dudas sobre su almacenamiento, forma, etc. Pedimos a la firma Digital & Ethics que se beneficiara de las mejores prácticas.
• Google Cloud, nuestro alojamiento, tiene un impacto considerable en el código abierto, con varias herramientas como Kubernetes o Tensorflow en la ciencia de datos. Gracias al Startup Program en 2017 y 2020, nos beneficiamos del apoyo directo de sus equipos en cuestiones de arquitectura.
• Estamos muy orientados al código abierto, por lo que también necesitamos herramientas para protegernos de posibles brechas de seguridad. Por eso utilizamos Snyk, que detecta automáticamente las fallas en las dependencias de código abierto antes de que las usemos internamente. También cumple un objetivo de cumplimiento: garantizar que no estamos utilizando una dependencia que tenga una licencia propietaria.

«Snyk desempeña un papel clave en nuestra organización técnica. Comparten la misma visión del código abierto que nosotros. Encajan perfectamente en nuestros enfoques de DevSecOps y Shift Left para ayudar a los desarrolladores a crear nuestros productos».

Rodearnos de estas herramientas nos permite detectar fallos y corregirlos con mayor rapidez que si nos quedáramos aislados en nuestros desarrollos. Siempre tenemos en cuenta la lógica de Pague por adelantado, basado en código abierto. A su vez, contribuimos a la comunidad: Compartir en Github de las dependencias de código abierto en las que hemos trabajado, por ejemplo. Al mismo tiempo, contamos con un equipo extremadamente cualificado y apasionado.

Construir un equipo experto y apasionado

Ninguno de nuestros objetivos de seguridad se lograría sin el equipo que pudimos reunir. Fabrice es el CTO y responsable de la seguridad. Paul, cofundador de Algoan, gestiona los aspectos de cumplimiento de los datos. Tenemos un departamento de DevOps que se asegura de hacer las preguntas correctas, tan pronto como se crea la infraestructura, para garantizar que no haya fallas (Cambiar a la izquierda, siempre). El resto de nuestros técnicos están divididos en equipos, con un líder de tribu y dos desarrolladores principales a la cabeza.

En cada etapa del desarrollo, el objetivo es añadir un aspecto de seguridad: la conceptualización incluye esta parte de forma nativa. Realizamos pruebas de seguridad automáticas previamente, en producción, las herramientas monitorean nuestra infraestructura y garantizan que no haya intrusiones, etc. También realizamos pruebas de penetración en nuestro propio sistema para identificar posibles fallas, con informes internos. Esto crea un registro escrito que podemos proporcionar a los auditores durante la certificación... ¡y que podemos transmitir a nuestros clientes si detectamos fallas en ellos!

En nuestro equipo, la contratación fue clave: la de Ashraf, nuestras DevSecOps y Pentester. Cuenta con varias certificaciones y ha recibido múltiples premios en los concursos de Pentest.

«Con frecuencia, Pentester es subcontratada o subcontratada en una fase más avanzada del desarrollo de la empresa. Contratar a Achraf tan pronto como se creó Algoan fue una elección estratégica. Contar con una persona dedicada a los problemas de seguridad desde el principio de la empresa aporta un fuerte valor añadido. Siempre que el equipo técnico toma decisiones, Ashraf aporta su experiencia para garantizar que la seguridad sea una parte integral del mismo».

La contratación del equipo es solo el primer paso para construir una cultura de seguridad interna sólida. Por lo tanto, debe mantenerse. ¿Cómo? Aproximadamente cada dos meses, Achraf y Fabrice hacen presentaciones frente a todo el equipo involucrado en la producción. Con frecuencia, eligen los acontecimientos actuales y analizan cómo podrían haberse anticipado. También es una oportunidad para presentar innovaciones de seguridad.

Más allá de estas sesiones, los cursos de formación son muy recomendables. En particular, dos MOOC sobre Aulas abiertas, sobre ciberseguridad y sobre la realización de pentests.

«También organizamos Game Days. Piense en ello como en el entrenamiento de bomberos: simulamos las brechas de seguridad que podrían producirse y el equipo debe encontrar la solución. Esto garantiza que el equipo esté organizado y cohesionado y que pueda reaccionar al unísono en caso de que se produzca una situación difícil en Algoan».

Un colectivo que ya está involucrado en tiempos normales: tan pronto como ocurre un incidente de producción, suena la alarma, como el Andon Cord de Toyota. Todos interrumpen sus tareas actuales y se organizan para identificar el problema y resolverlo lo antes posible.

Proteger los datos transmitidos por nuestros clientes y protegernos de las amenazas externas es fundamental para una empresa como Algoan. Nos esforzamos por estar al día en este tema mediante elecciones técnicas estratégicas, colaboraciones con organizaciones locales y un equipo cualificado y apasionado. Fabrice y Achraf siguen trabajando en una hoja de ruta cada vez más ambiciosa para continuar con las inversiones iniciadas en DevSecOps y el Cambiar a la izquierda. Es de esperar aún más automatizaciones e innovaciones para luchar por la infalibilidad en la medida de lo posible.