¡Hola Eric! ¿Puedes contarnos un poco sobre ti y sobre HiringBranch?
¡Claro! Soy el CTO en HiringBranch. Empecé como el único desarrollador hace unos 12-15 años, y hemos crecido hasta convertirnos en un equipo pequeño pero centrado de 10 ingenieros, incluyendo personal de ML.
Originalmente comenzamos en el sector educativo, pero hoy nos especializamos en evaluaciones previas a la contratación, evaluando específicamente la comunicación y las habilidades blandas (soft skills) utilizando NLP y machine learning. Lo que nos diferencia es que permitimos a los candidatos responder en un formato de preguntas abiertas. En lugar de opciones múltiples, analizamos lo que la gente realmente dice para evaluar sus habilidades. Es una forma mucho más natural y precisa de evaluar las cualidades humanas.
¿Qué papel juega la seguridad en el ámbito de la contratación tecnológica?
Todo se trata de confianza. Cuando las empresas utilizan nuestra plataforma, nos confían datos sensibles de candidatos. Tenemos la responsabilidad de proteger esos datos, no solo porque es lo correcto, sino porque se refleja en nuestra marca y nuestra credibilidad.
¿Hubo algún momento en que te diste cuenta: «Necesitamos tomarnos la seguridad en serio»?
Sí, absolutamente. Al principio, especialmente cuando trabajábamos principalmente con clientes más pequeños, la seguridad no era una prioridad. Pero una vez que empezamos a entrar en el ámbito corporativo, quizás hace 5 o 6 años, eso cambió rápidamente. Los clientes hacían preguntas para las que no teníamos buenas respuestas. Eso fue una llamada de atención.
¿Cómo eran sus flujos de trabajo de seguridad antes de Aikido?
“Teníamos herramientas de código abierto, plataformas de Microsoft, escaneos basados en Docker… y nada se comunicaba entre sí. Era un caos.”
Tenía una imagen de Docker que ejecutaba localmente para escanear el código. Luego generaba un informe y lo subía manualmente a algún lugar. Era engorroso y propenso a errores.
Utilizábamos una mezcla de herramientas tipo Frankenstein: escáneres de código abierto, algo de Microsoft en Azure, SonarQube, AWS Security Hub… todo unido de forma improvisada. Y, por supuesto, ninguna se comunicaba entre sí. Era un caos y difícil de mantener.
¿Y cómo conociste Aikido?
Investigamos Aikido por primera vez hace quizás dos años. Pero estábamos ocupados, así que no nos sumergimos de inmediato. Cuando finalmente contratamos a un ingeniero de seguridad, empezó a investigar Aikido y volvió diciendo: 'Esto hace todo lo que necesitamos'. Poco a poco, comenzamos a eliminar herramientas antiguas. No fue un cambio de la noche a la mañana, fue una migración práctica y reflexiva.
¿Qué hizo que Aikido fuera la opción adecuada?
“Todo está en un solo lugar. Las integraciones con Slack y Azure DevOps cambian las reglas del juego.”
La diferencia para nosotros fue:
- Consolidación: De cinco herramientas a una.
- Automatización: Las vulnerabilidades se muestran en Slack, donde podemos etiquetar a los desarrolladores y actuar rápidamente.
- Informes: “En cada reunión de seguridad, obtengo un informe claro con todo lo que necesitamos saber. Lo nuevo, lo que se ha corregido, todo está ahí.”
- Facilidad de uso: Simplemente funciona. Sin sesiones de formación ni configuraciones complejas.
Hablemos de cumplimiento. ¿Cómo gestionabas el cumplimiento antes de Aikido?
Sí, estamos oficialmente certificados SOC 2 Tipo II. El proceso comenzó hace unos dos años, y aunque obtener el Tipo I se trataba principalmente de documentar políticas, el Tipo II fue una historia completamente diferente. Ahí es donde entró en juego el verdadero rigor operativo y la dificultad de la recopilación de pruebas.
Antes, teníamos que exportar manualmente informes de varias herramientas y subirlos a Vanta. Era engorroso y lento. ¿Ahora? Se sincroniza automáticamente. Es fluido.
Era torpe y manual. Habíamos planeado exportar informes de seguridad de varias herramientas y luego subirlos a Vanta, nuestra plataforma de cumplimiento.
¿Qué papel desempeñó Aikido en su proceso de cumplimiento?
Aikido, y específicamente su integración con Vanta, marcó una diferencia enorme durante nuestro proceso SOC 2 Tipo II. En cuanto lo activamos, automatizó todo nuestro flujo de trabajo de recopilación de evidencias de seguridad. Vulnerabilidades, remediaciones, cobertura de controles, todo empezó a sincronizarse en segundo plano sin que tuviéramos que perseguir nada manualmente.
“No adoptamos Aikido por cumplimiento, pero una vez que vimos lo bien que se integraba con Vanta, fue una decisión obvia. Solo tenemos que hacer clic en unos pocos botones y la evidencia ya está ahí.”
Eso significaba no más exportar informes, subir PDFs o preocuparse por la falta de documentación durante las auditorías. En lugar de probar el cumplimiento, podíamos centrarnos en mejorar realmente nuestra postura de seguridad.
“Aikido eliminó el estrés del cumplimiento normativo. La automatización simplemente funciona: mantiene todo listo para la auditoría, sin prisas ni complicaciones.”
Lo que solía ser un ajetreo trimestral se convirtió en un proceso tranquilo y continuo: siempre activo, siempre listo. Justo como debería ser.
¿Cómo ha cambiado la mentalidad de seguridad de su equipo desde la adopción de Aikido?
Nos hemos vuelto mucho más proactivos. En lugar de reaccionar a los problemas, o peor aún, pasarlos por alto, ahora recibimos alertas en tiempo real. El escaneo es continuo. Hay menos caos, menos conjeturas. Todo está estructurado y es visible.
¿Cómo ha sido su experiencia trabajando con el equipo de Aikido?
Sinceramente, genial. Tenemos reuniones mensuales, que son muy útiles para conocer nuevas funcionalidades. El equipo de soporte responde rápidamente, e incluso tenemos un canal de Slack dedicado con ellos, lo que facilita y agiliza la comunicación.
Y finalmente, si tuvieras que resumir Aikido en una frase?
“Tranquilidad para todo el proceso de seguridad.”
De verdad. Solía ser un caos de herramientas y tareas. Ahora, todo está en calma, limpio y bajo control.
