¡Hola Marcus! ¿Podrías hablarnos un poco de ti y de lo que hace TechDivision?
Soy ingeniero de seguridad sénior en TechDivision, donde también dirijo nuestra comunidad de prácticas de ciberseguridad. Soy responsable de asegurar el ciclo de vida del desarrollo en todos los equipos de ingeniería.
En cuanto a TechDivision: empezamos como una agencia clásica de comercio electrónico, pero nos hemos convertido en lo que llamamos un habilitador digital. Eso significa que no solo lanzamos tiendas, sino que integramos fuentes de datos, creamos estrategias de marketing y guiamos a nuestros clientes en toda su transformación digital. En la actualidad, contamos con unas 140 personas, la mitad de las cuales trabajan en ingeniería.
¿Cómo encaja la seguridad en este panorama?
En una palabra: fundacional. Para nosotros, la seguridad tiene que ver con dos cosas: estabilidad y confianza. Cuando creamos estrategias digitales o plataformas integradas, queremos estar seguros de que los cimientos son sólidos. Y queremos que nuestros clientes confíen en que estamos haciendo todo lo posible para mantener sus datos a salvo.
También nos da la información que necesitamos para tomar decisiones con conocimiento de causa. Por ejemplo, si queremos implantar una plataforma de autenticación centralizada, primero tenemos que conocer los riesgos. Eso es lo que proporciona una buena seguridad. Contexto y claridad.
¿Hubo algún momento concreto en el que se diera cuenta de que "tenemos que tomarnos la seguridad más en serio"?
Sí, un punto de inflexión clave se produjo a principios de 2022 durante los ataques de TrojanOrders dirigidos a instalaciones de Adobe Commerce (y Magento). Aunque los clientes de TechDivision no se vieron afectados (gracias al despliegue de parches en la misma semana), el incidente aumentó significativamente la concienciación sobre la urgencia de las actualizaciones de seguridad oportunas. También dio lugar a un cambio en la forma en que tanto las partes interesadas internas como los clientes abordaban los parches de seguridad. Antes, algunos clientes posponían actualizaciones de seguridad importantes durante meses.
Más tarde, la vulnerabilidad de CosmicSting 2024 ayudó a reforzar la eficacia de nuestros procesos mejorados, confirmando que su enfoque proactivo estaba funcionando como se pretendía.
¿Cómo era la seguridad antes del Aikido?
¿Sinceramente? Un poco caótico. Tenía ocho campeones de seguridad en diferentes equipos de ingeniería. Cada vez que aparecía algo como una nueva CVE, tenía que ponerme en contacto con cada uno de ellos para comprobar si sus repos estaban afectados. Llevaba mucho tiempo y era difícil de gestionar.
Incluso empezamos a construir nuestra propia herramienta interna para rastrear vulnerabilidades, pero finalmente decidimos que tenía más sentido utilizar una solución dedicada. Probamos algunas otras antes de aterrizar en Aikido.
¿Qué le hizo empezar a buscar algo nuevo?
Nuestra herramienta anterior, la del logotipo del perro, ladraba mucho pero no cumplía.
Una mezcla de cosas. El precio fue uno de los desencadenantes: nuestra herramienta anterior, la del logotipo del perro, ladraba mucho pero no cumplía. Subieron mucho los precios y no nos pareció justificado por el valor que obteníamos. Además, teníamos limitaciones técnicas. Nuestra infraestructura no es estándar, así que no podíamos conseguir el nivel de integración que necesitábamos.
También hubo problemas con el producto. Su plugin IDE seguía fallando en los repos más grandes, y nos estábamos ahogando en falsos positivos. Llegó un punto en el que nuestros desarrolladores ya ni siquiera utilizaban la herramienta.
¿Y entonces encontraste el Aikido?
Sí. Lo que más nos llamó la atención fue que parecía creado por desarrolladores, para desarrolladores. La experiencia de incorporación fue fluida, el servicio de asistencia fue receptivo y los flujos de trabajo tenían sentido.
Lo que hacía que Aikido destacara era que daba la sensación de haber sido creado por desarrolladores, para desarrolladores.
Una cosa que realmente aprecio es la reducción del ruido. El enfoque de Aikido, especialmente con su análisis de accesibilidad, nos ayuda a filtrar hallazgos irrelevantes, como secretos en archivos de prueba o dependencias inactivas, para que podamos centrarnos en problemas reales y explotables. Ese nivel de precisión ha marcado una diferencia notable en la eficiencia con la que podemos clasificar las vulnerabilidades.
El análisis de accesibilidad de Aikido nos ayuda a filtrar los hallazgos irrelevantes para que podamos centrarnos en los problemas reales y explotables.
¿Ha cambiado el Aikido su forma de trabajar con los clientes?
No ha cambiado nuestra oferta de servicios en sí, pero sin duda ha aumentado el valor que ofrecemos. Ahora podemos hacer más trabajo de seguridad en menos tiempo, lo que beneficia directamente a nuestros clientes.
También tenemos un paquete básico de seguridad que incluimos en los proyectos, y contar con Aikido refuerza bastante ese paquete.
Ahora podemos realizar más trabajos de seguridad en menos tiempo, lo que beneficia directamente a nuestros clientes.
¿Cuál es su característica favorita?
Es fácil: la posibilidad de buscar dependencias en varios espacios de trabajo. Ha cambiado las reglas del juego a la hora de resolver problemas entre equipos de ingeniería. También me entusiasma probar algunas de las nuevas funciones como AI AutoFix y escaneo de máquinas virtuales. Podrían convertirse fácilmente en mis nuevas favoritas.
¿Cómo ha sido su experiencia trabajando con el equipo de Aikido?
Sinceramente, fantástico. Cuando tuvimos un problema con el flujo de autenticación, lo solucionaron en una semana. Ese tipo de respuesta es poco frecuente.
La comunicación es realmente abierta, especialmente en el canal compartido de Slack. Se nota que el equipo se preocupa de verdad y que está creando un producto mejor cada día. Es refrescante.
Se nota que el equipo de Aikido se preocupa de verdad y que cada día crea un producto mejor. Es refrescante.
¿Pensamientos finales?
Si usted es una empresa que quiere tomar en serio la seguridad sin añadir fricción a sus equipos de desarrollo, Aikido es una obviedad. Es eficiente, considerado y fácil de usar para los desarrolladores. Nos ayuda a generar confianza. No sólo con nuestros clientes, sino también con nosotros mismos.
Si usted es una empresa que quiere tomar en serio la seguridad sin añadir fricción a sus equipos de desarrollo, Aikido es una obviedad. Es eficiente, considerado y fácil de usar para los desarrolladores. Nos ayuda a generar confianza. No sólo con nuestros clientes, sino también con nosotros mismos.
.svg){kind=logo}
%201.svg)
