Bienvenido a nuestro blog.

¿Por qué estás aquí?

No perdamos el tiempo. Estás aquí porque estás construyendo una función webhook en tu aplicación. Desafortunadamente, hay bastantes cosas que pueden salir mal desde una perspectiva de seguridad. El objetivo de este artículo es asegurarte de que no cometes ningún error conocido al crear webhooks.

¿Cómo funcionan los webhooks?

Como resumen rápido, los webhooks son peticiones HTTP(S) a terceros para informarles de algo que ha ocurrido en tu aplicación. Por ejemplo, si usted ofrece una aplicación que genera facturas, podría ofrecer a sus clientes la oportunidad de configurar la funcionalidad webhook que se activa cuando se crea una nueva factura. Esto significa que cuando se crea la factura, su aplicación enviará una solicitud HTTP(S) a una ubicación determinada por el usuario. El usuario puede utilizar esto para configurar sus propios flujos de trabajo personalizados que se activan por el webhook, como la programación de correos electrónicos de recordatorio, o el envío al cliente de un mensaje en Slack.

Lista de comprobación: seguridad de las implementaciones de webhooks

1. Derrotar los ataques de tipo SSRF

En este tipo de ataque, el atacante intenta obtener información (por ejemplo, metadatos de instancia en una nube) explotando la función webhook. Para contrarrestarlo, debes tomar las siguientes medidas.

✅ Validar la entrada del usuario

• Básico: Realiza una validación de URL simple.
• Mejor: Asegúrese de que la URL empieza por "https://", no permita "file://" y otros esquemas no HTTPS.

✅ Restringir direcciones locales

• Bloquea las IP locales típicas: 127.0.x, 192.168.x, 172.x.
• Prohibir "localhost" y "http://"

✅ Límite Log Exposición

• Mostrar sólo los códigos de estado HTTP en los registros orientados al usuario.
• Evite mostrar cabeceras o el cuerpo del contenido.

Avanzado: Validación de URL mejorada

• Requerir un encabezado de respuesta específico para solicitudes POST, único para el cliente.
• Mantenga esta verificación continuamente, incluso después de la configuración inicial, para contrarrestar los cambios de DNS..

2. Permita a sus usuarios verificar la autenticidad de los datos

Tu consumidor de webhooks debe tener una forma de saber que los datos provienen realmente de tu aplicación. Puedes utilizar cualquiera de los siguientes métodos.

✅ Verificación de mensajes de prueba

En primer lugar, permita a los usuarios activar un mensaje de prueba para comprobar los mecanismos de seguridad.

✅ Hash de verificación HMAC

Uno de los mecanismos de seguridad más eficaces para las funcionalidades de los webhooks es la implementación de HMAC para la integridad y autenticidad de los datos.

El proceso básico puede resumirse como sigue:

• Genera un hash de la carga útil utilizando SHA-256 y una clave secreta.
• Envía el HMAC con la carga útil.
• Los destinatarios recrean el hash para verificar la autenticidad e integridad de la carga útil.

✅ Inclusión de marcas de tiempo

Esto es más una mitigación de seguridad avanzada. Añade una marca de tiempo a la carga útil para evitar ataques de repetición. Asegura que los mensajes no sean reutilizados o alterados.

✅ Certificados TLS del lado del cliente

Autenticar llamadas HTTP con certificados TLS del lado del cliente. Esto resulta especialmente atractivo para los consumidores de nivel empresarial.

3. Limitar la velocidad y evitar la sobreexposición de datos

Para la seguridad de los webhooks, enviar pocos datos es más seguro que adjuntar demasiados. Aunque las devoluciones de llamada de webhook deben cifrarse mediante HTTPS, nunca se puede saber quién podría controlar un nombre de dominio al cabo de unos años.

✅ Minimizar la exposición de datos

• Evite enviar información personal identificable (IPI) o datos sensibles.
• En lugar de enviar varios puntos de datos (como contact_id, email, nombre), envía sólo el contact_id. Deje que los usuarios obtengan datos adicionales a través de su API pública si es necesario.

✅ Comunicación de la política de reintentos

• Comunique claramente a los usuarios la política de reintentos y los límites de velocidad.
• Infórmeles de que, debido a los reintentos, los mensajes pueden llegar desordenados.
• Define que cualquier respuesta 2xx es un éxito; otras respuestas deben provocar un reintento.

✅ Utilizar un sistema de colas para la entrega

Implemente un sistema de colas para gestionar la entrega de webhooks y limitar la salida. Este enfoque ayuda a evitar la saturación accidental de los servidores de los usuarios en casos extremos, como una gran importación de CSV que desencadena un exceso de llamadas y reintentos de webhooks.

4. Bonificación: Alerta de anomalías

Esto es más por comodidad del desarrollador que por seguridad, pero no deja de ser una buena medida.

• Alerta a los usuarios cuando se encuentran respuestas 4xx y 5xx
• Enviar notificaciones para informar a los usuarios de cualquier fallo

Esta incorporación mejora la transparencia y la capacidad de respuesta de su sistema de webhooks.

Conclusión

¡Y ahí lo tienes! Hemos cubierto algunos pasos para hacer que tus webhooks no sólo sean funcionales, sino también seguros y fáciles de usar. La implementación de estos pasos protegerá tu aplicación y también mejorará la experiencia general del usuario. ¡Feliz codificación! 🚀🔒👨‍💻

Aikido Security es una plataforma de seguridad de software centrada en el desarrollador. Le ayudamos a mantener su producto seguro, para que pueda centrarse en escribir código. No necesita hablar con un equipo de ventas. simplemente conecte tu cuenta de GitHub, GitLab, Bitbucket o Azure DevOps para empezar a escanear tus repos gratis.

La mayoría de las herramientas de seguridad hacen perder el tiempo a los desarrolladores. Tenemos la misión de solucionarlo.

A los desarrolladores de aplicaciones no se les paga para que se preocupen por la seguridad. Su rendimiento se mide por la velocidad a la que pueden añadir valor a la empresa mediante nuevas funciones o mejoras.

Esto convierte a las herramientas de seguridad tradicionales en un obstáculo, ya que no están diseñadas para desarrolladores y, además, no están diseñadas para ser útiles. Su trabajo consiste simplemente en mostrar una lista masiva de alertas de seguridad, dejando que el desarrollador descubra el resto.

En Aikido, nuestra misión es hacer que la seguridad de las aplicaciones sea lo más rápida y sencilla posible, y una de las formas más importantes de conseguirlo es reduciendo el ruido y los falsos positivos que hacen perder el tiempo a los desarrolladores y provocan retrasos en el envío de las correcciones de seguridad.

Este post le mostrará lo que el Aikido hace para ofrecer una cura para los Desarrolladores que sufren del Síndrome de Fatiga por Alerta.

Reducir el ruido

En su famosa canción "The Gambler", Kenny Rogers lo captó bastante bien:

"El secreto para sobrevivir es saber qué tirar y qué conservar".

El impacto más significativo que puede tener en la relación señal-ruido es mostrar a los desarrolladores únicamente los CVE y las alertas de seguridad sobre las que deben actuar e ignorar el resto.

Así es como Aikido ignora de forma inteligente las alertas de seguridad y los CVE irrelevantes:

Dependencias de desarrollo

Por defecto, Aikido no informará de vulnerabilidades para las dependencias marcadas sólo para su instalación en entornos de desarrollo, ya que no deben estar presentes en entornos de staging o producción.

CVE no válidos o sin corrección

Mostrar una CVE sin una solución es sólo una distracción. Por lo tanto, Aikido los mueve temporalmente a una lista de problemas ignorados hasta que se disponga de una solución antes de que aparezcan en el panel de control.

Código inalcanzable

La inteligencia de código y el motor de accesibilidad de Aikido ignorarán una CVE si no se llama a una función vulnerable en la base de código.

Esto disminuye el ruido, especialmente para grandes bibliotecas con muchas dependencias, como TensorFlow.

Secretos caducados o revocados

Aikido ignorará los secretos que hayan sido verificados como caducados o revocados, o que parezcan ser variables. Aikido verifica de forma segura la validez de los tipos de secretos conocidos enviando una solicitud a un punto final de la API que requiera autorización y que no produzca datos sensibles.

Reglas de ignorar manuales

Puede configurar Aikido para ignorar las vulnerabilidades bajo ciertas condiciones, por ejemplo, ignorar los informes para rutas específicas en un repositorio.

Deduplicación

Dado que la mayoría de las empresas reúnen su infraestructura de seguridad a partir de varias fuentes diferentes, es habitual que varios sistemas muestren la misma alerta o CVE; además, es habitual que las herramientas tradicionales muestren el mismo CVE varias veces dentro de un mismo repositorio. Eso sí que es ruido.

Dado que Aikido es una plataforma todo-en-uno que le ofrece un único panel de vidrio a través de todos los problemas de seguridad, sólo verá una única alerta CVE para cada repositorio con sub-temas que enumeran la ubicación de cada vulnerabilidad.

Potenciar la señal con el ajuste de sensibilidad contextual

Un problema de seguridad descubierto en un repositorio que maneja datos sensibles debería puntuarse de forma diferente a un repositorio sólo interno que no persiste datos en absoluto.

Aikido proporciona varios indicadores contextuales para cada repositorio, lo que ayuda a descubrir más riesgos de seguridad y a ponderar adecuadamente la puntuación final de gravedad de un problema.

Por ejemplo, al añadir un nombre de dominio, Aikido puede realizar análisis específicos para detectar problemas como vulnerabilidades SSL, errores de configuración de cookies, si se ha aplicado un CSP y ataques de secuencias de comandos en sitios cruzados (XSS).

Otros ejemplos contextuales son si la aplicación tiene acceso a Internet y en qué entornos está desplegada.

Aumentar la señal de riesgo de explotación

Aikido utiliza indicadores en tiempo real para rastrear la probabilidad de que un CVE sea explotado en la naturaleza, como casos confirmados de explotación, código público que documenta cómo realizar el exploit, y cualquier problema de infraestructura en la nube específico del cliente que pueda hacerlo especialmente vulnerable.

Y como Aikido monitoriza tanto su código como la infraestructura de la nube, puede aumentar la gravedad de los problemas de "combinación tóxica" que surgen de las condiciones específicas en las que se aloja su aplicación, por ejemplo, las instancias de AWS que utilizan la versión 1 de la API de IMDS son más vulnerables a los exploits SSRF que pueden exponer las credenciales de AWS.

Resumen

Las herramientas de seguridad tradicionales no se preocupan por la productividad de los desarrolladores. Están más que felices de enterrar un repositorio en una pila de falsos positivos, haciendo perder tiempo a los desarrolladores que podrían haber empleado mejor en resolver realmente los problemas de seguridad.

Lo que hace diferente a Aikido es que vemos la relación entre la productividad de los desarrolladores y la seguridad. Al eliminar las alertas y los CVE irrelevantes, se presta más atención a las amenazas reales y, como resultado, las correcciones se aplican más rápidamente.

Este beneficio mutuo para los desarrolladores y la seguridad es lo que nos mueve y la forma en que estamos curando el síndrome de fatiga por alertas de seguridad para nuestros clientes.

¿Quiere verlo en acción? Regístrese para escanear sus primeros repos y obtener sus primeros resultados en menos de 2 minutos.

Esta es una pregunta que nos hacen a menudo nuestros clientes. La redacción de la Directiva NIS2 no siempre es muy explícita. NIS2 es un marco que los países deben aplicar. Como es una Directiva y no un Reglamento, cada país de la UE tiene autonomía para aplicarla según su propia interpretación.

El lenguaje de NIS2 es amplio, lo que dificulta su comprensión, especialmente hasta que los países publiquen sus especificaciones. No obstante, responderemos con la mayor claridad posible a qué empresas afecta actualmente el NIS2.

Autocomprobación rápida NIS2 de Aikidopara ver si está dentro del ámbito de aplicación

Nos gusta que las cosas sean prácticas y sencillas. Así que, para que le resulte más fácil, aquí tiene nuestra autocomprobación rápida en 5 pasos para saber si está dentro del ámbito de aplicación de NIS2:

1. ¿Su empresa trabaja en un sector "esencial" o "importante"?
2. Compruebe si forma parte de una subindustria.
3. ¿Cumple los requisitos de tamaño?
4. Si ha respondido "no" a las preguntas 1, 2 y 3, compruebe que no se trata de una excepción (consejo profesional: puede que necesite asesoramiento jurídico para estar seguro).
5. Y, si "no" a todo lo anterior, compruebe si sus clientes están o no dentro del ámbito de aplicación.

¿A quién se aplica NIS2?

Hay dos parámetros clave que debe comprobar para saber si NIS2 afecta a su empresa:

• Industria: Si perteneces a un sector "esencial" o "importante".
• Tamaño: Si el tamaño de su empresa cumple determinados umbrales "esenciales" o "importantes", es decir, si tiene más de X empleados, X euros de ingresos o X euros de balance.

Veamos ambas cosas con más detenimiento.

¿A qué sectores se aplica NIS2?

Todo empieza aquí. El objetivo de NIS2 es conseguir que las industrias esenciales e importantes sean seguras. NIS2 amplía el número de industrias en las que se centraba la primera Directiva NIS. Distingue entre esencial e importante, pero ambas categorías están incluidas en su ámbito de aplicación.

Industrias esenciales: energía, agua potable, aguas residuales, transporte, banca, mercados financieros, gestión de servicios TIC, administración pública, sanidad y espacio.

Industrias importantes: servicios postales y de mensajería, gestión de residuos, productos químicos, alimentación, fabricación (por ejemplo, dispositivos médicos, informática/electrónica, maquinaria/equipos, vehículos de motor, remolques/semirremolques/otros equipos de transporte), proveedores digitales (por ejemplo, mercados en línea) y organizaciones de investigación.

Algunos sectores tienen un alcance instantáneo, pase lo que pase. Algunos ejemplos son los registradores de nombres de dominio, los proveedores de servicios de confianza, los proveedores de servicios DNS, los registros de nombres TLD y los proveedores de telecomunicaciones.

Además, las autoridades nacionales tendrán potestad para designar empresas individuales que no entren claramente en las categorías de sector esencial o importante. Podrán hacerlo si consideran que la empresa presta un servicio único, tiene un impacto significativo y/o es esencial para la sociedad.

Criterios de tamaño de las empresas NIS2

NIS2 tiene normas sobre límites de tamaño. Esto significa que tendrá que cumplir la Directiva si supera determinados umbrales.

¿Cuáles son las empresas esenciales e importantes para los criterios de tamaño?

• Empresas esenciales: más de 250 empleados O más de 50 millones de euros de volumen de negocio anual O más de 43 millones de euros de balance
  Nota: Una empresa esencial que no alcance los umbrales de tamaño esenciales (arriba) pero que sí alcance los umbrales de tamaño de las empresas importantes (abajo) se considera una empresa importante. Y, por tanto, sigue dentro del ámbito de aplicación.
• Empresas importantes: Más de 50 empleados O más de 10 millones de euros de volumen de negocios anual O más de 10 millones de euros de balance general

Así que, a primera vista, el NIS2 se aplica a las medianas empresas y a las grandes corporaciones. Y deja fuera a las pequeñas empresas y microempresas. Pero, habrá excepciones. Por ejemplo, si una empresa no cumple los umbrales de tamaño, una autoridad nacional puede ejercer su prerrogativa de designación, como ocurre con los criterios sectoriales.

¿Cómo sé qué país tiene jurisdicción sobre mi empresa?

La Comisión Europea dice: "Por regla general, se considera que las entidades esenciales e importantes están bajo la jurisdicción del Estado miembro en el que están establecidas. Si la entidad está establecida en más de un Estado miembro, debe estar bajo la jurisdicción de cada uno de estos Estados miembros.

Hay excepciones. En algunos casos, hay que tener en cuenta dónde presta la empresa el servicio (por ejemplo, los proveedores de servicios DNS). En otros casos, la clave es dónde está su establecimiento principal (por ejemplo, los proveedores de servicios de computación en nube).

¿Existen otras excepciones a las normas?

Por supuesto, hay algunas relacionadas con la industria y las normas de tamaño. Además, a medida que los países vayan aplicando la directiva, habrá que prestar atención a las diferencias de un país a otro a medida que entren en vigor las normas localizadas (todas antes del 17 de octubre de 2024).

Por ejemplo, si no cumple los requisitos de tamaño PERO es el único proveedor de un servicio crítico para la actividad social o económica en un Estado miembro, es posible que tenga que implantar NIS2.

Nota: Si trabajas en el sector financiero, probablemente ya estés familiarizado con la Digital Operational Resilience Act (DORA). La DORA es un texto legislativo, no una directiva como la NIS2, por lo que tiene prioridad sobre la NIS2. Le recomendamos que centre primero sus esfuerzos en ella, pero asegúrese de que la NIS2 se transponga a la legislación local de su Estado miembro de la UE.

No se olvide tampoco de la Ley de Ciberresiliencia (CRA). La CRA establece requisitos de ciberseguridad para una serie de productos de hardware y software comercializados en la UE. Entre ellos se incluyen altavoces inteligentes, juegos, sistemas operativos, etc.

¿Busca más detalles?

El Centro de Ciberseguridad de Bélgica ha elaborado un magnífico resumen de quiénes están incluidos:

Si sus clientes están afectados, es probable que NIS2 les afecte.

¿Sabía que NIS2 incluye el efecto dominó de terceros? Eso significa que aunque usted no esté directamente incluido en el ámbito de aplicación, pero sí sus clientes, es probable que tenga que cumplir la normativa NIS2.

Las empresas que deban implantar NIS2 tendrán que "gestionar y evaluar los riesgos" asociados a sus "terceros proveedores". Esto incluye, por ejemplo, realizar evaluaciones de seguridad periódicas, asegurarse de que dispone de medidas de ciberseguridad adecuadas y aplicar contratos/acuerdos que le obliguen a cumplir los requisitos de NIS2.

Así pues, si usted es una empresa B2B y pensaba que estaba fuera del ámbito de aplicación por su sector y tamaño, pero sus clientes están en el ámbito de aplicación de NIS2, ¡debe empezar a prepararse!

Aikido presenta el informe NIS2

Aikido Security ha creado una función de informe NIS2 disponible en nuestra app. Hemos diseñado este informe para ayudar a las empresas que necesitan cumplir con la directiva.

¿Es probable que le afecte NIS2?
Averigüe en qué situación se encuentra su aplicación con respecto a NIS2.
Aunque nuestro informe no es exhaustivo (y sólo cubre su configuración técnica), le servirá para empezar y seguir el camino correcto.

Regístrese en Aikido y obtenga gratissu informe NIS2.

Aikido acaba de pasar por el proceso de obtener la certificación ISO 27001:2022 y SOC 2 Tipo 2. Y una de las cosas que nos hubiera gustado tener es algún consejo práctico y práctico sobre cómo empezar. Y una de las cosas que nos hubiera gustado tener es algún consejo práctico y sin tonterías sobre cómo empezar. Las mejores prácticas, las cosas que hay que tener en cuenta, básicamente consejos de alguien que ya ha pasado por el proceso de certificación ISO 27001.

Lea más sobre el camino de Aikido para la conformidad con ISO 27001:2022 y los requisitos de la norma ISO 27001.

Por eso hemos escrito esta entrada de blog: para ayudar a cualquier persona de una empresa SaaS que esté pensando en cumplir la norma ISO:27001.

8 cosas que aprendimos durante el proceso de certificación ISO 27001

1. Sepa en qué se está metiendo

Si nunca has hecho esto antes, lo primero que debes hacer es preguntar a tus amigos y conocidos de negocios. Seguro que encuentras a alguien que haya pasado por el proceso, así que acércate a él y pídele consejo.

Si realmente no encuentra a nadie, puede ponerse en contacto con un pre-auditor. Pero ten en cuenta que, como es lógico, intentarán venderte servicios.

En cualquier caso, ayuda mucho hacerse una idea de cómo funciona todo. Esto le ahorrará tiempo al final y le ayudará a obtener su certificado ISO 27001 más rápidamente.

2. Comunique que está trabajando en la implantación de ISO 27001

La gente aprecia que le mencione que está en proceso de implantar la norma ISO 27001. Estarán ansiosos por saber que en un futuro próximo tendrán menos de qué preocuparse. Y eso, a su vez, ayudará a sus ventas y conversiones. Así que mencione esto en su sitio web, en conversaciones de ventas, en LinkedIn y más. Haz saber a tus usuarios que estás haciendo que tu producto sea más conforme.

3. Decidir qué norma ISO 27001 implantar (2013, 2017 o 2022)

2022 tiene muchos más controles en materia de codificación segura y seguridad del software. (por ejemplo, la detección de malware es un nuevo control). Esto significa que implica más trabajo de implementación que una versión más antigua. Si eliges una de las normas más recientes, necesitarás más controles, pero ya estarás preparado para el futuro. Así que probablemente sea mejor optar por la versión de 2022.

Consejo rápido: La certificación ISO 27001 requiere una auditoría completa cada tres años. Esto significa que es mejor no optar por la ISO 27001:2013, ya que sólo es sólo es válida durante dos años más..

Cada versión de la norma ISO 27001 también enmarca de forma diferente el proceso de gestión de riesgos. La versión de 2022 incluye requisitos de certificación actualizados que reflejan la evolución de los riesgos de ciberseguridad. Esto hace que sea importante que las empresas dispongan de un sólido proceso de gestión de riesgos para identificar, evaluar y mitigar estos riesgos.

Ten en cuenta que, si eres una empresa grande y madura, es posible que prefieras optar por la versión de 2017, ya que está más consolidada y podría provocar menos trastornos en tus procesos actuales.

4. No externalice todo

Es arriesgado externalizar todo el proceso... Aunque es posible subcontratar todo el proceso a una consultoría, yo lo desaconsejaría. Claro que un consultor puede ayudar, proporcionar plantillas y ese tipo de cosas. Pero si lo subcontratas todo y te encuentras con un problema, tienes que saber cómo solucionarlo. Mi consejo es que participen al menos dos, y hasta cuatro, personas de la empresa.

Consejo rápido: Recuerde que la auditoría final debe realizarla un organismo de certificación acreditado.

5. Obtenga un pentest que tenga sentido para su empresa

Si usted es una empresa de software, debe elegir un pentester para centrarse en las cosas que no están cubiertas por herramientas automatizadas como OWASP ZAP. Elige pentesters con experiencia en cazarrecompensas, en lugar de pentesters de la "vieja escuela".

6. Aprovechar las normas de cumplimiento y acelerar

Cumplir ya la norma SOC2 agiliza el cumplimiento de la ISO. Y es bueno saber que, si se cumple la ISO, NIS2 (una nueva normativa aplicable en la UE) será más fácil.

Consejo rápido: Compruebe que su auditor ha sido auditado (es un requisito). No te conformes con alguien sin las credenciales adecuadas o podrías ser engañado.

7. Darse cuenta de que nadie es perfecto

La eventual auditoría siempre encontrará no conformidades y no pasa nada por ser imperfecto. Pero hay que conocer esas imperfecciones y asegurarse de que se dispone de un plan de acción formal para resolver los problemas. Se trata de un proceso de mejora continua que, en última instancia, mejorará la seguridad en toda la empresa. Es posible que nunca alcances la "perfección", pero debes hacer todo lo posible por conseguirla.

8. Empezar pronto con la implantación de herramientas que cubran los controles ISO

Si está pensando en optar por el cumplimiento de la norma ISO, siempre es una buena idea hacer una prueba de las herramientas que le ayudarán a cubrir determinados controles (y también a producir las pruebas que necesita).

Por ejemplo, la norma ISO le exige que aplique algunos procesos relativos a las personas, como la incorporación, la baja, la comprobación de antecedentes y la asignación y recuperación de activos de la empresa. La implantación de estos procesos en un sistema de información de recursos humanos (SIRH), como Officient, Personio o Workday, le ayudará a ponerse en marcha en el momento en que tenga que presentar sus pruebas para ISO.

Lo mismo ocurre con Aikido, que ya realiza comprobaciones de 22 controles y genera un informe ISO 27001 exhaustivo. Es otro gran ejemplo de cómo adelantarse a la preparación de su ISO.

Gestión de la vulnerabilidad técnica ISO 27001:2022

¿Sigue su propio camino hacia la certificación ISO 27001:2022? Nuestra plataforma, Aikido Security satisface todas las necesidades técnicas de gestión de vulnerabilidades para aplicaciones ISO 27001:2022. También hemos decidido asociarnos con plataformas de supervisión del cumplimiento (como Vanta o Drata) para sincronizar fácilmente los datos y garantizar que la información sobre vulnerabilidades esté siempre actualizada. Esto le ayuda a mantenerse fácilmente en la cima de su postura de seguridad.

Solicite nuestro informe

No dude en solicitar nuestro propio certificado ISO 27001:2022 directamente en nuestra página de resumen de seguridad. Estaremos encantados de compartir los frutos de nuestro duro trabajo 😉 .

Espero que esta entrada del blog te resulte útil. Ojalá hubiera sabido todos estos consejos cuando empezamos el proceso. Si estás estudiando la posibilidad de obtener la certificación ISO, ponte en contacto conmigo en LinkedIn y estaré encantado de compartir mis impresiones.

Una unión informática hecha en... ¡Bélgica! Aikido Security, una startup SaaS de Gante, proporcionará seguridad de aplicaciones a The Cronos Group, un integrador de comercio electrónico con sede en Kontich, que cuenta con más de 5.000 clientes en sus más de 570 empresas de la región del Benelux. Esta asociación estratégica reforzará la seguridad de The Cronos Group y la influencia de Aikido Security en el sector de la ciberseguridad.

Mayor seguridad con Aikido

The Cronos Group es ahora un nuevo cliente de Aikido. En este contexto, The Cronos Group está en proceso de implementar las soluciones de seguridad de Aikido en muchas de sus empresas de desarrollo de software. ¿Por qué es útil para el Grupo Cronos? No sólo ayuda a establecer una postura de seguridad más sólida para cada empresa de su red, sino que también crea otra gran ventaja. Aikido lo reúne todo para Cronos, que obtendrá una visión global más perspicaz y estandarizada que nunca de la postura de seguridad de estas empresas.

Además, Aikido confía en el Grupo Cronos para convertirse también en un verdadero socio. En este contexto, Cronos podrá ofrecer Aikido a sus clientes para que ellos también tengan la oportunidad de beneficiarse de los servicios de Aikido. Además, Cronos y Aikido colaboran activamente para seguir mejorando las características del producto.

El conjunto único de herramientas de seguridad de Aikido y su capacidad para reducir los falsos positivos aportarán eficacia a los equipos de desarrollo de la red de empresas y clientes de The Cronos Group. Esto significa menos interrupciones por alertas innecesarias, lo que permite centrarse más en escribir código. El objetivo de The Cronos Group es ayudar a las empresas a encontrar formas creativas, rentables y de alta calidad de sacar el máximo partido a las nuevas tecnologías potenciales. Por tanto, esta asociación encaja perfectamente con su misión.

Aikido lo reúne todo en un "Portal de socios de seguridad" dedicado. A través de este portal para socios, el Grupo Cronos puede obtener una visión global más detallada y estandarizada que nunca de la postura de seguridad de sus empresas.

El Grupo Cronos y Aikido comentan su asociación

El Grupo Cronos está impaciente por empezar con el Aikido.

El Grupo Cronos siempre ha apoyado la innovación y el espíritu empresarial, incluida la ciberseguridad. Siempre estamos buscando socios para reforzar nuestras alianzas. A través de Aikido, queremos permitir a nuestros desarrolladores y clientes incorporar la seguridad desde la primera línea de código. Combinando la automatización con la inteligencia, pueden centrarse en el valor empresarial al tiempo que salvaguardan su escaso tiempo y mantienen la exposición al mínimo.
Jonas Buyle, Cronos Security

Mientras tanto, ¿qué beneficios aporta esta nueva asociación a Aikido? "Estamos encantados de dar la bienvenida a The Cronos Group a la familia de Aikido Security", explica el cofundador y CEO de Aikido, Willem Delbare. "Como cliente y distribuidor, The Cronos Group representa una asociación clave en nuestra misión de simplificar la gestión de su seguridad. Nuestra colaboración promete proporcionar una visión sin precedentes de la postura de seguridad de la cartera de empresas de The Cronos Group. Juntos, aspiramos a elevar los estándares de seguridad de las aplicaciones en todos los ámbitos".

Acerca de Aikido Security

Aikido Security es una plataforma de seguridad de software que da prioridad a los desarrolladores. Escaneamos su código fuente y la nube para mostrarle qué vulnerabilidades son realmente importantes de resolver. El triaje se acelera reduciendo masivamente los falsos positivos y haciendo los CVE legibles por humanos. Aikido simplifica el fortalecimiento de su postura de seguridad para mantener su producto seguro. Y le devuelve tiempo para hacer lo que mejor sabe hacer: escribir código.

Acerca del Grupo Cronos

El Grupo Cronos es un integrador de comercio electrónico que ofrece soluciones TIC de alta calidad a empresas y entidades gubernamentales de la región del Benelux. El Grupo Cronos fue fundado por y para tecnólogos de las TIC con el objetivo de ayudarles a hacer crecer sus carreras y su espíritu empresarial. Esta misión se amplió para incluir a profesionales creativos con el fin de diseñar e implantar conjuntamente soluciones creativas y tecnológicamente punteras para sus clientes. Desde su creación en 1991, el Grupo Cronos ha pasado de ser una empresa unipersonal a un grupo de empresas que emplean a más de 9.000 profesionales en más de 570 empresas.

Siempre es una gran noticia cuando oímos hablar de la satisfacción de un cliente al utilizar Aikido Security. Pero no queremos guardarnos todo lo bueno para nosotros. Centrémonos en Loctax, la primera plataforma de gestión fiscal colaborativa para equipos fiscales internos de todo el mundo.

Loctax presta sus servicios fiscales a empresas como Wise, PedidosYa, Iba, Luxottica y Trainline. Para Loctax, es de vital importancia ir más allá para garantizar la seguridad y el cumplimiento de su entorno y los datos de sus clientes.

Juntos, mejoramos su velocidad de triaje reduciendo los falsos positivos y las alertas de seguridad irrelevantes. Pero no nos detuvimos ahí. También mejoramos la postura de seguridad de Loctax mientras aceleraba el desarrollo de productos. En conjunto, el resultado ha sido un valioso ahorro de tiempo y dinero. Mientras Loctax reduce los quebraderos de cabeza de sus clientes por los riesgos fiscales, Aikido reduce los riesgos de seguridad para Loctax.

El reto: encontrar el equilibrio entre rapidez y seguridad

Loctax se enfrentaba a un dilema común. ¿Cómo equilibrar el rápido desarrollo de productos con una seguridad sin concesiones? La presión era enorme para ofrecer soluciones de primera categoría a sus clientes. Al mismo tiempo, Loctax tenía que salvaguardar los datos fiscales confidenciales y cumplir las normas de seguridad más estrictas. Además, tenían que hacerlo con un equipo reducido y optimizando los costes.

Sin embargo, Loctax encontró obstáculos con su solución de seguridad existente. Los falsos positivos abundaban más que la nieve en Alaska, consumiendo un tiempo valioso en labores de triaje y análisis.

No nos sorprende. En nuestras recientes consultas con directores de tecnología de SaaS, los falsos positivos se clasificaron como el segundo defecto de seguridad de sus actuales opciones de software de seguridad. Estos directores de tecnología también clasificaron la eliminación de falsos positivos como la segunda actividad más importante para lograr resultados empresariales estratégicos. Así que resulta que las necesidades de Loctax encajan perfectamente con lo que nos dicen los directores de tecnología de SaaS. Y, admitámoslo, los falsos positivos también desensibilizan a la hora de fijarse en las cosas que realmente importan.

Mientras tanto, los resultados coincidentes de las distintas herramientas creaban otro obstáculo en su camino hacia la seguridad. La falta de integración de las herramientas dificultaba la obtención de una visión centralizada de las prioridades reales en materia de seguridad.

Por si fuera poco, los costes de suscripción de las soluciones de seguridad que ya utilizaban se estaban disparando debido al rápido crecimiento del equipo. Este método de fijación de precios por persona estaba poniendo a prueba su presupuesto de seguridad.

Si juntamos todo esto, el CTO y cofundador de Loctax, Bart Van Remortele, tuvo claro que necesitaba cambiar el enfoque de la empresa. Decidió buscar nuevas herramientas para combatir estos retos y descubrió Aikido Security.

Aikido Security obtiene resultados para Loctax

Cambiar al producto de Aikido Security fue una decisión que cambió las reglas del juego para Loctax y le ha aportado muchos resultados positivos.

Auto Triage: el poder de la eficacia

Nuestra función de autoclasificación se convirtió en un auténtico cinturón negro. Filtró el ruido y los falsos positivos que habían estado distrayendo. No sólo eso, sino que también proporcionamos un motor de accesibilidad de vulnerabilidades personalizado. Esto comprueba si una función vulnerable es realmente accesible.

Una vez eliminado este molesto desorden y con las vulnerabilidades reales claramente identificadas y priorizadas, el equipo de desarrollo de Loctax pudo ser más eficiente y productivo. Aumentaron la productividad ahorrando un tiempo precioso que antes se perdía en investigaciones innecesarias.

Un cuadro de mandos unificado: armonizar el flujo de trabajo de seguridad

Aikido, el arte marcial, proporciona habilidades para defenderse eficazmente utilizando la menor cantidad de esfuerzo. Aikido Security aplica este principio. Para Loctax, suministramos un único panel de control que se convirtió en el centro de las operaciones de seguridad.

La integración en la pila tecnológica existente de Loctax fue pan comido. Aikido ofrece una visión completa de todos los problemas de seguridad sin el dolor de cabeza de las notificaciones superpuestas. Cuando surgían incidentes de seguridad críticos, las alertas oportunas aparecían en sus canales Slack correspondientes. Por lo tanto, con una integración sin esfuerzo en las herramientas de gestión de proyectos, Aikido facilitó la gestión de las tareas de seguridad.

Ahorro de costes: 50%

La consolidación del conjunto de herramientas de seguridad resultó ser un golpe maestro. En consecuencia, el impacto de Aikido Security en las finanzas de Loctax fue significativo. ¿El resultado? Una notable reducción del 50% en los costes de las operaciones de seguridad. Sí, ha leído bien: ¡un 50%! A medida que el equipo de Loctax seguía creciendo, sus gastos de seguridad ya no creaban quebraderos de cabeza presupuestarios. Esto dejó más recursos para la misión principal de Loctax: proporcionar a los equipos fiscales internos un nuevo estándar para la gestión y las operaciones fiscales.

Aikido Security le ayuda a defender su SaaS

Seamos claros: las empresas de SaaS están sometidas a una gran presión para conseguir una seguridad de primera clase, y Loctax no es una excepción. Pero es extremadamente difícil para un equipo centrado en el desarrollo de un producto gestionar también internamente la complejidad de toda su postura de seguridad. Nuestra asociación con Loctax ejemplifica el poder transformador de Aikido Security para las empresas que se encuentran en esta situación. Loctax puede centrarse plenamente en la gestión fiscal colaborativa para los equipos fiscales internos, y Aikido la mantiene segura.

Hemos sustituido nuestra solución anterior por Aikido debido a su rendimiento y eficacia superiores. - Bart Van Remortele, CTO y cofundador de Loctax

Al adoptar las soluciones de Aikido, Loctax optimizó su postura de seguridad y eliminó los falsos positivos. De este modo se ahorró un tiempo precioso y se consiguió una notable rentabilidad. La velocidad de su equipo de desarrollo se mantuvo intacta y su seguridad se fortaleció más que nunca.

Aikido Security le ayuda a defender su SaaS

Haga su primer tai-sabaki con Aikido escaneando sus repos de forma gratuita. En menos de 2 minutos, obtendrá información valiosa sobre su postura de seguridad. Potencie su organización, impulse el desarrollo y disfrute de la tranquilidad que proporciona una sólida defensa de la seguridad.

Descargue nuestro estudio de caso de cliente de Loctax.

‍