¡Saluda a Aren, fundador y CEO de Foxpass!
Aren es un antiguo trotamundos amante de los viajes y de ir de un país a otro, convertido en hombre de familia, con una amplia experiencia en puestos de ingeniería de alto nivel como vicepresidente de Operaciones en Bebo, CTO en Third Ave Labs y director de Ingeniería en Oodle.
Acompáñanos en una conversación con Aren mientras aprovechamos toda su experiencia y conocimientos sobre la seguridad de redes, cómo crear una empresa y todo lo que deberías saber sobre Foxpass:
Entrevista con Aren
¿Empezamos con un poco de información sobre ti?
Soy Aren, el fundador de Foxpass. Llevo haciendo esto unos 4 años.
Antes de eso, fui responsable de Operaciones Técnicas y TI en Pinterest, y antes de eso, estuve en Beebo, Oodle y Danger (ellos crearon el T-Mobile Sidekick, si recuerdas ese teléfono).
Y antes de eso, estuve en Stanford cursando un máster y una licenciatura en Informática.
Entonces, ¿cómo empezaste a programar?
Mi madre trajo a casa uno de los Apple IIC de su oficina, uno de los primeros ordenadores portátiles, y me descubrí intentando usarlo todos los fines de semana, aprendiendo todo lo que podía sobre él.
Al final aprendí un poco de Applesoft BASIC, y a partir de ahí pude hacer programas bastante sencillos.
Cuando compramos nuestro siguiente ordenador, cogí un libro sobre C, aprendí cómo funcionaba y seguí a partir de ahí.
Vaya. Entonces, ¿eras autodidacta y además fuiste a la escuela?
Sí. Así es.
La mayor parte de la programación que aprendí antes de la escuela fue de forma autodidacta; luego, en Stanford, obtuve una licenciatura en informática e hice allí todos los cursos de ciencias de la computación.
En cuanto a las aplicaciones que has creado, ¿cuál es la que menos te gusta de las que has hecho? ¿Alguna vez has creado un proyecto paralelo y no recuerdas por qué lo hiciste?
Creo que mis recuerdos, al menos los de programación, son todos de proyectos escolares.
Los que hago por diversión son todos geniales, aunque no salgan bien, porque al menos aprendí algo o pude experimentar.
Los de la escuela eran complicados porque tienes presión de tiempo y todo el material es nuevo. No tienes del todo claro qué se supone que deben hacer ni cómo se supone que deben verse, así que algunos de mis momentos menos favoritos programando son sin duda de la época de la escuela, como las noches hasta tarde en el laboratorio de informática dándome de cabezazos contra el teclado.
Háblame de algún evento en cualquiera de las empresas en las que trabajaste donde vieras un desastre total. ¿Has tenido alguna vez un momento así?
No se me ocurre ninguno que [durara] 10 horas, pero desde luego ha habido momentos de terror en los que algo bastante malo estaba a punto de suceder.
Creo que he tenido bastante suerte, ya que los incidentes prolongados solo provocaron dos, tres o cuatro horas de degradación o inactividad.
Pero siempre hay momentos en los que creías haberlo planeado todo y surge algo más.
La ley de Murphy, supongo. Los he tenido en todas las empresas.
¿Cómo te metiste en la seguridad de servidores y redes?
Es algo que he tenido que asumir en prácticamente todos los puestos, desde Oodle en adelante.
O no había nadie en ese puesto, o esa persona había dejado la empresa, y necesitaba algo de atención.
Especialmente en Pinterest, algo habitual en muchas empresas nuevas, en realidad todo eran desarrolladores de aplicaciones, y la seguridad no era tan importante hasta que empezabas a incorporar a mucha gente nueva.
Ahí es cuando el control de acceso y la identidad cobran mucha importancia, porque estás incorporando a todas estas personas nuevas.
Quieres darles acceso a los servidores de inmediato, para que puedan ser productivos lo antes posible. Va genial para la moral durante la incorporación. Pero al mismo tiempo, tienes que tener cuidado con quién puede hacer qué.
Quieres poder responder con rapidez, tanto en el caso de la incorporación como en el de la desvinculación.
¿Cuál es un gran error de seguridad que sueles ver habitualmente en los equipos de ingeniería?
Creo que el mayor error de seguridad es compartir credenciales. Es muy fácil.
“Oye, tienes algunos ingenieros nuevos en el equipo. Así es como se inicia sesión en los servidores, ya sea con el nombre de usuario y la contraseña que usa todo el mundo, o compartiendo con ellos la clave privada que se configuró en el servidor cuando se creó.”
Esos son los errores más grandes y peores que veo.
A partir de ahí, quizá cada uno tenga su propia clave SSH, pero todos comparten el mismo usuario. No está mal, pero sigue sin ser la mejor práctica.
Digamos que todo el mundo estuviera haciendo todas esas cosas — describe los resultados. ¿Qué podría salir mal?
Creo que el peor escenario posible es este: simplemente no estás protegiendo la empresa.
Si alguien deja la empresa o es despedido, y te guarda rencor, si no vas de inmediato a rotar todas esas credenciales compartidas, esa persona entrará en tus servidores, lo borrará todo y te causará muchos problemas.
Ese es el peor de los casos, pero el trabajo de una empresa es protegerse.
Por eso, la empresa solo tiene que pensar en estas situaciones y en cómo protegerse. Obviamente, ese es el peor de los casos; rara vez ocurre, pero si ocurre, es catastrófico.
¿Cómo le explicarías Foxpass al mundo? ¿Cuál es tu funcionalidad favorita de las que desarrollaste en Foxpass?
Básicamente, queremos dar a cada persona su propio nombre y contraseña, o sus propias credenciales, para todo lo que hay en tu infraestructura. Se acabó compartir contraseñas de Wi‑Fi en la pizarra. Se acabaron los nombres de usuario compartidos o las claves SSH para tus servidores Linux. Cada uno tiene sus propias credenciales.
Ahora que cada persona tiene sus propias credenciales, te toca pasar al control de acceso:
“Esta persona solo puede acceder a estos servidores, que son una lista distinta de la de Bob allí. Solo puede acceder a otro conjunto de servidores y, en esos servidores, tiene funciones limitadas.”
No es todo o nada para toda la infraestructura. Ni siquiera se trata de todo o nada para un servidor concreto o un conjunto de servidores. Cada persona tiene un acceso granular específico para ella.
Además, puedes conceder acceso temporal.
Concedes permiso a alguien en un conjunto de máquinas con una fecha de finalización (como una fecha y hora) o un evento de finalización.
Por ejemplo, el ejemplo que me gusta dar es: cuando tienes una semana de guardia, entonces tendrás pseudopermisos en todos los sitios donde los necesites. Pero cuando termina tu turno de guardia, pierdes esos permisos.
Puedes volver a conseguirlos bastante fácilmente si se los pides a quien esté de guardia, pero ya no los tienes hasta que vuelvas a estar de guardia o los solicites. Así, si te roban el portátil, la empresa no tiene que preocuparse de que tus claves estuvieran en ese portátil.
Tienen permisos completos para todo, y hay mucha más superficie de servicio que debemos cubrir para asegurarnos de que no haya brechas.
Iniciaste Foxpass a partir de un problema que viste en Pinterest. Si tuvieras que volver atrás en el tiempo y hacer algo de forma diferente, ¿hay algo que cambiarías de Foxpass? O quizá, ¿errores que cometiste al principio como fundador?
Claro, un montón de errores. Quiero decir, mi formación es en ingeniería, no en crear empresas. Así que, al mirar atrás, todas las cosas que me gustaría haber hecho de otra manera tienen que ver con hacer crecer el negocio más rápido.
Creo que hemos hecho un gran trabajo ofreciendo a todos nuestros primeros clientes una experiencia realmente buena, pero probablemente había cosas que podríamos haber hecho para encontrar antes a más clientes como ellos.
¿Cuál es la cosa aleatoria favorita que te dijo un cliente?
Creo que las mejores frases que recibo son algo como: «Guau, llevaba mucho tiempo buscando esto».
Esos son los momentos en los que sé que he encontrado a las personas a las que intento venderles, y que el producto que hemos creado es exactamente lo que están buscando, igual que era exactamente lo que yo había estado buscando en trabajos anteriores.
¿Qué te gusta hacer para divertirte?
Antes disfrutaba viajar. Ahora es difícil hacerlo con dos hijos y una startup.
Ahora me encontrarás en el parque con esos niños o, cuando están durmiendo la siesta, trabajando en mi casa, que es una de mis pasiones.
¿Cuál es el lugar más genial al que has viajado?
Mi lugar favorito al que he viajado...
Bueno, en 2009 hice un viaje alrededor del mundo. Solo fueron tres meses, pero pude ver partes del mundo que me parecieron increíbles.
La mayor parte de Asia fue increíble. El Sudeste Asiático, India: simplemente países hermosos, hermosos, y personas hermosas. Probablemente esa fue mi parte favorita de ese viaje.
Es tan difícil llegar a esos lugares que me alegra haber tenido más tiempo para verlos.
Hay muchísima gente creando empresas y desarrollando productos realmente excelentes. Puede que algunos no los estén construyendo teniendo en cuenta la seguridad desde el principio. Si tuvieras que dar algún consejo a los fundadores de esas startups, ¿cuál crees que sería?
“Empieza con la seguridad antes de lo que crees que podrías necesitar.”
Primero, es importante asegurarte de que tienes un producto que la gente quiere comprar.
Si no tienes clientes, no tienes nada que proteger. Pero en cuanto empieces a ganar impulso, empieza a pensar en tu postura de seguridad.
Creo que hoy en día los clientes están cada vez más informados y van a hacer estas preguntas antes que antes.
“¿Cuál es tu estrategia de control de acceso? ¿Tienes principios de mínimo privilegio?"
Piensa en estas cosas con antelación para que no vayas con prisas cuando empiecen a hacerte estas preguntas.
Mejora tu seguridad
¿Estás listo para proteger tu red y mantener segura tu empresa? Haz clic aquí para descubrir cómo Foxpass puede ayudarte a evitar costosos errores de seguridad.
