domingo, 14 de febrero de 2016

Continuum Security: "El 50% de vulnerabilidades se podrían evitar"

Cristina Bentué y Stephen de Vries. Fundadores de Continuum Security Solutions.


Continuum Security ganó el primer premio para startups organizado por el Instituto Nacional de Ciberseguridad (INCIBE). Tras esta pequeña pero ambiciosa empresa hay dos personas, Cristina Bentué y Stephen de Vries, que viven y trabajan desde Barbastro. Un día decidieron dar un toque diferente a su consultoría de seguridad informática con el desarrollo de productos propios, dirigidos al análisis de la seguridad del software.

Stephen es el hacker de la familia. De su cabeza ha salido BDD-Security, gratuito y de código libre, su creación más famosa. Y también la gran apuesta de Continuum: IriusRisk. El objetivo no es sólo analizar la seguridad de programas sinó conseguir el desarrollo seguro desde cero. Importantes actores apuestan por esta startup, que ha sido finalista en BBVA Open Talent y en los European Cyber Security and Privacy Innovation Awards.


- No es usual ver a mujeres en este mundo, Cristina.

- Curiosamente, cuando comenzó a popularizarse la ciencia informática en los años 80, casi un 40% de los graduados eran mujeres. Hoy en día ese número es menos de la mitad. En Estados Unidos ha comenzado una iniciativa llamada “Girls who Code” que me parece muy interesante y que debería exportarse. La mujer en este sector sigue estando cosificada; todavía se me revuelve el estómago cuando me acuerdo de las falditas que les hicieron llevar a las azafatas en el congreso Mundo Hacker la empresa de antivirus Sophos: en la parte trasera se leía “Protected by Sophos”.

- ¿Cómo y cuando se os ocurrió montar Continuum Security?

- Después de 17 años dando servicios de consultoría de ciberseguridad, vimos que estábamos estancados, que aquello no era escalable, pues si aceptábamos más volumen de negocio, también tendríamos que contratar empleados para absorberlo. Empezamos a ver que la clave para una mayor rentabilidad era desarrollar producto, y Stephen tenía una idea buena, innovadora en el campo de la seguridad del software. Cuando la crisis amainó, nos decidimos a invertir nuestro tiempo y dinero en I+D y 18 meses más tarde veía la luz en el mercado IriusRisk. Para reforzar  nuestro compromiso con la nueva actividad, cambiamos el nombre de la empresa a Continuum e hicimos que todo nuestro trabajo se centrara en los productos de software que licenciamos.

- ¿Por qué este nombre?

-Continuum tiene que ver con las últimas tendencias en el desarrollo del software, que consisten en realizarlo todo continuadamente, sin estadios de entornos distintos; ya se ha aceptado como estándar de buenas prácticas el Continuous Integration y el Continuous Delivery… ¿Y para cuándo el Continuous Security, me pregunto yo? El nombre quiere mostrar nuestra visión estratégica: que la seguridad debe estar incrustada dentro desarrollo del software, sin parar ni ralentizar los procesos de éste... Claramente tiene que ser un Continuum :-)

- ¿Es una empresa de 2?

- Seguimos siendo únicamente los dos socios fundadores, aunque empleamos ‘freelancers’ asiduamente. En estos momentos tenemos un programador en Brasil, otro en Rumanía y uno más en Madrid. Afortunadamente, Internet no conoce fronteras ni banderas.

- Si lo he entendido bien, creáis herramientas para programadores, para testear la seguridad de sus programas y aplicaciones. ¿Por qué este tipo de producto?

- Cuando éramos consultores, nos llegaban aplicaciones acabadas para testear, y el 50% de las vulnerabilidades que encontrábamos se podrían haber evitado si el desarrollador hubiera tenido una conversación de media hora con un analista de seguridad en el momento en que se diseñaba la aplicación. Corregir este tipo de fallos arquitectónicos es largo y caro. Somos de la opinión que los programadores deberían responsabilizarse del código que escriben, pero entendemos que ya tienen suficiente trabajo actualizándose en los nuevos lenguajes que van saliendo. IriusRisk lo hace por ellos, asesorándoles sobre la seguridad del software que desarrollan e indicándoles los riesgos en los que pueden incurrir y cómo pueden abordarlos, desde antes incluso que haya una línea de código escrita, desde la arquitectura de la aplicación.

- ¿Sois los primeros que creáis herramientas de este tipo?

- No hay muchas. La mayoría de productos de ciberseguridad actúan al final del proceso del desarrollo, cuando la aplicación está semi o totalmente terminada. Sólo tenemos un par de competidores directos en automatizar modelos de riesgos en el diseño de las aplicaciones, y ninguno de ellos ofrece además una plataforma de gestión de esos riesgos a lo largo de todo el desarrollo.

- Pero... con automatización no se eliminan todos los bugs..

- Correcto, siempre vamos a necesitar la figura del analista de seguridad: no queremos echarnos piedras sobre nuestro propio tejado, Mercè ;-)

- Supongo que vuestras tools no sirven para encontrar 0days o bugs que puedan optar a un buen bug bounty? ?O si? :DD

-No, (todavía no, quien sabe), nuestro enfoque está en dar una solución al escalado del problema de seguridad en el software. Si soy jefe de una empresa que despliega 1000 aplicaciones nuevas cada año gracias a un equipo de 100 programadores, pero tengo un equipo de 2 personas dedicadas a analizar la seguridad de todo ese software, entonces mi primer reto empieza por conseguir cubrir mínimamente lo más básico, ¡ya ni pensar en protegerme de los ataques más sofisticados! Llama la atención el caso de TalkTalk, un operador de telecomunicaciones en Reino Unido, que perdió cientos de miles de clientes a raíz de un ataque con un mero SQL Injection, que conocemos desde hace 18 años! Es triste y sorprendente a la vez, pero es que el mayor riesgo para las empresas que desarrollan software sigue siendo las vulnerabilidades más comunes y tipificadas, como Cross Site Scripting y Cross Site Request Forgery.

- Vuestro gran éxito ha sido BDD-Security, de código libre. ¿Qué empresas lo usan?

- Es difícil saberlo, al ser de código abierto no podemos reseguir quién se baja este marco de pruebas para un “continuous integration”. Sí que fuimos a instalarlo en las oficinas del New York Times y sabemos de un gran banco en Sudáfrica y otro en Emiratos Árabes que lo tiene integrado en sus sistemas también. Un colega nuestro de profesión entró hace poco a trabajar en uno de los mayores bancos de Estados Unidos y nos dijo para nuestra sorpresa que allí llevaban tiempo usándolo. La mayor alegría que BDD-Security nos ha dado es haber sido referenciado por Adobe como un estándar y que lo definieran como una herramienta innovadora en el sector de la ciberseguridad.

- Estáis de buena racha: finalistas en BBVA OpenTalent, en European Cyber Security and Innovation Awards, ganadores en el Cyber Security Accelerator Program de INCIBE... ¿Qué creéis que han visto en vosotros?

- <cristina>Deben ser mis arrolladores ojos verdes ;-) La clave está en hacer algo tanto nuevo como necesario. Saber ver el hueco, percibir la oportunidad; yo creo que Stephen, el genio creativo, es un visionario en este aspecto, está lleno de ideas y de entusiasmo por la innovación, alguien lo llamó un “thought leader”. Si pudiera aislarse de las rutinas empresariales que exige sacar un negocio a delante, si lo dejaras 8 horas al día en su despacho sin molestarle, cada tres meses sacaríamos un nuevo producto al mercado, y todos serían igual de rompedores que BDD o que IriusRisk.</cristina>

- ¿Sabéis que se está trabajando en un reglamento para que quien trabaje en seguridad informática en España deba tener una acreditación, como un "carnet de hacker"? ¿Qué os parece?

- Las actividades del “hacker ético” son muy sensibles legalmente hablando. Puedes hacer mucho daño a la empresa para la que trabajes, a su reputación, a sus clientes finales, a sus sistemas, y por ello estar sujeto a casos penales indeseados. Intencionada o desintencionadamente. Una acreditación no debería ser vista como un irritante trámite burocrático, sino como un tipo de defensa civil ante infortunios.

- Desde Barbastro, ¿diríais que estáis más en contacto con la comunidad española de seguridad informática o con la mundial?

-  Desde los inicios hemos querido ser globales; somos como Internet, desarraigados, metalingüísticos, descentralizados. Pero ha resultado ser que la comunidad española de ciberseguridad ha sido la que nos ha arropado, mimado y acompañado en nuestro crecimiento, desde INCIBE y la Junta de Castilla y León hasta el Instituto de Fomento de Zaragoza y varias empresas privadas aragonesas. Es más, nuestro primer cliente, el primero que vió potencial en nosotros y apostó con decisión ha sido un banco español, a su confianza le debemos nuestro éxito. Así nos hemos ido dando cuenta de que el sector es más sólido de lo que parece a simple vista. Lo que nos pasa, creo yo, es que somos muy discretos y humildes los españoles. Trabajar duro en España es un fin en sí mismo, no un medio.

- Acabamos pidiéndoos una frase que pueda servir a nuestra audiencia.

- El hackeo ético no debería verse como un oxímoron; es un bien social.


Texto: Mercè Molist



0 comentarios:

Publicar un comentario