¡Hola Eric! ¿Puedes hablarnos un poco de ti y de HiringBranch?
Soy el director de tecnología de HiringBranch. Empecé como el único desarrollador hace unos 12-15 años, y hemos crecido en un equipo pequeño pero centrado de 10 ingenieros, incluyendo gente de ML.
Empezamos en el sector de la educación, pero hoy nos especializamos en evaluaciones previas a la contratación, concretamente en la evaluación de la comunicación y las habilidades interpersonales mediante PNL y aprendizaje automático. Lo que nos diferencia es que dejamos que los candidatos respondan en un formato abierto. En lugar de la opción múltiple, analizamos lo que la gente realmente dice para evaluar sus habilidades. Es una forma mucho más natural y precisa de evaluar las cualidades humanas.
¿Qué papel desempeña la seguridad en la contratación tecnológica?
Todo es cuestión de confianza. Cuando las empresas utilizan nuestra plataforma, nos confían datos confidenciales de los candidatos. Tenemos la responsabilidad de proteger esos datos, no solo porque es lo correcto, sino porque se refleja en nuestra marca y nuestra credibilidad.
¿Hubo algún momento en el que te diste cuenta: "Tenemos que tomarnos en serio la seguridad"?
Por supuesto. Al principio, sobre todo cuando trabajábamos con clientes más pequeños, la seguridad no era un tema importante. Pero cuando empezamos a trabajar con empresas, hace unos 5 o 6 años, la situación cambió rápidamente. Los clientes nos hacían preguntas para las que no teníamos buenas respuestas. Fue una llamada de atención.
¿Cómo eran sus flujos de trabajo de seguridad antes de Aikido?
"Teníamos herramientas de código abierto, plataformas de Microsoft, análisis basados en Docker... y nada hablaba entre sí. Era un caos".
Tenía una imagen Docker que ejecutaba localmente para escanear el código. Luego generaba un informe y lo enviaba manualmente a algún sitio. Era torpe y propenso a errores.
Usamos una mezcla Frankenstein de herramientas: escáneres de código abierto, algo de Microsoft en Azure, SonarQube, AWS Security Hub... todo cosido junto. Y, por supuesto, ninguna de ellas se comunicaba entre sí. Era desordenado y difícil de mantener.
¿Y cómo conoció el Aikido?
La primera vez que nos interesamos por el Aikido fue hace unos dos años. Pero estábamos muy ocupados, así que no nos lanzamos de inmediato. Cuando finalmente contratamos a un ingeniero de seguridad, empezó a investigar en Aikido y volvió diciendo: 'Esto hace todo lo que necesitamos'. Poco a poco, fuimos eliminando las viejas herramientas. No fue un cambio de la noche a la mañana, sino una migración práctica y meditada.
¿Qué hizo que el Aikido encajara?
"Todo está en el mismo sitio. Las integraciones de Slack y Azure DevOps cambian las reglas del juego".
La diferencia para nosotros era:
- Consolidación: De cinco herramientas a una.
- Automatización: Las vulnerabilidades salen a la luz en Slack, donde podemos etiquetar a los desarrolladores y actuar con rapidez.
- Informando: "En cada reunión de seguridad, saco un informe limpio con todo lo que necesitamos saber. Qué hay de nuevo, qué se ha arreglado, todo está ahí".
- Facilidad de uso: Simplemente funciona. Sin sesiones de formación ni configuraciones complejas.
Hablemos de cumplimiento. ¿Cómo manejabas el cumplimiento antes del Aikido?
Sí, oficialmente tenemos la certificación SOC 2 Tipo II. El proceso comenzó hace unos dos años, y mientras que obtener el Tipo I consistía sobre todo en documentar políticas, el Tipo II era una bestia completamente diferente. Ahí es donde empezó el verdadero rigor operativo y el dolor de la recopilación de pruebas.
Antes, teníamos que exportar manualmente los informes desde varias herramientas y cargarlos en Vanta. Era engorroso y requería mucho tiempo. ¿Y ahora? Se sincroniza automáticamente. No hay problemas.
Era torpe y manual. Teníamos previsto exportar los informes de seguridad desde varias herramientas y cargarlos en Vanta, nuestra plataforma de cumplimiento.
¿Qué papel desempeñó el Aikido en su camino hacia el cumplimiento?
Aikido, y específicamente su integración con Vanta, marcó una enorme diferencia durante nuestro proceso SOC 2 Tipo II. En cuanto lo encendimos, automatizó todo nuestro flujo de trabajo de recopilación de pruebas de seguridad. Vulnerabilidades, remediaciones, cobertura de control, todo empezó a sincronizarse en segundo plano sin que tuviéramos que perseguir nada manualmente.
"No adoptamos Aikido por el cumplimiento, pero una vez que vimos lo limpiamente que se integraba con Vanta, se convirtió en una obviedad. Solo tenemos que pulsar unos botones, y las pruebas ya están ahí".
Eso significaba que ya no había que exportar informes, cargar archivos PDF ni preocuparse por la documentación que faltaba durante las auditorías. En lugar de demostrar el cumplimiento, podíamos centrarnos en mejorar nuestra postura de seguridad.
"Aikido eliminó el estrés del cumplimiento. La automatización funciona: todo está listo para la auditoría, sin complicaciones".
Lo que solía ser un ajetreo trimestral se convirtió en un proceso tranquilo y continuo: siempre en marcha, siempre listo. Como debe ser.
¿Cómo ha cambiado la mentalidad de seguridad de su equipo desde que adoptó el Aikido?
Ahora somos mucho más proactivos. En lugar de reaccionar ante los problemas o, peor aún, pasarlos por alto, ahora recibimos alertas en tiempo real. La exploración es continua. Hay menos caos, menos conjeturas. Todo está estructurado y visible.
¿Cómo ha sido tu experiencia trabajando con el equipo de Aikido?
Sinceramente, genial. Tenemos check-ins mensuales, que son muy útiles para aprender sobre las nuevas características. El equipo de asistencia es receptivo, e incluso tenemos un canal Slack dedicado con ellos, lo que facilita y agiliza la comunicación.
Y por último, ¿si tuviera que resumir el Aikido en una frase?
"Tranquilidad para todo el proceso de seguridad".
En serio. Antes era un caos de herramientas y tareas. Ahora, todo está tranquilo, limpio y bajo control.
.webp){kind=logo}
.png)