Noticias

Daniel Damas, Head of IT Assurance & CISO en Nationale-Nederlanden: “IT Assurance garantiza un despliegue óptimo y resiliente, reduce la complejidad y elimina costes innecesarios”

Existe una dicotomía habitual entre los requerimientos del negocio, que prioriza la velocidad de despliegue, y el rigor de la ciberseguridad. Es habitual comprobar cómo los equipos de dirección temen que los departamentos de ciberseguridad echen atrás o ralenticen diferentes proyectos.

Daniel Damas, Head of IT Assurance & CISO en Nationale-Nederlanden, decidió romper con esta fricción con la implementación de IT Assurance, un proyecto pionero que fusiona la calidad, la seguridad y la ingeniería de plataformas en un ecosistema automatizado.

Este camino comenzó cuando asumió el liderazgo de Quality Assurance (QA) proviniendo del mundo de la ciberseguridad, lo que le permitió identificar una simbiosis natural entre ambas disciplinas. Según sus propias palabras, «un defecto de calidad puede derivarse en un defecto de seguridad y todo defecto de seguridad es un defecto de calidad», una premisa que se ha convertido en el pilar fundamental de toda su estrategia dentro del departamento que dirige.

Esta visión integradora provocó que Nationale-Nederlanden tomara una decisión audaz: el área de gobernanza debía controlar directamente los pipelines de despliegue. La clave radicaba en que no bastaba con predicar el concepto de Security by Design de forma teórica, sino que era necesario forzar su cumplimiento técnico para garantizar la resiliencia antes de que llegara a producción.

Para lograrlo, el equipo de Damas diseñó un flujo basado en archivos YAML que actúan como guardianes del proceso. Tal y como explica, «hemos desarrollado unos YAML que hacen que todo salga a producción siempre y cuando se cumplan unas reglas de calidad, de seguridad y de diseño. De esta forma, si un desarrollador cumple con esta serie de requisitos, el sistema le otorga una autonomía total para desplegar sin necesidad de aprobaciones manuales externas”.

Cómo fue la implementación

La implementación de este modelo no fue sencilla, especialmente por el reto cultural que supuso para los equipos de desarrollo. Durante el año y medio que duró la puesta en marcha inicial, fue necesario transformar la percepción de los ingenieros, quienes inicialmente veían estas medidas como una restricción a su creatividad o velocidad. Damas enfocó la narrativa de forma que los desarrolladores entendieran que el sistema trabajaba para ellos y no contra ellos. «Los desarrolladores sentían que este cambio podía ser una camisa de fuerza y yo justamente lo que traté de hacer mostrarles que yo no soy un stopper. Para ello, incidí en explicarles que cuanto menos intervenga el departamento de ciberseguridad, mejor para ellos». A modo de ejemplo, lo que Daniel propuso es que los desarrolladores circularan por una autopista, que tiene unos guardarraíles y permite velocidades más elevadas, y no por una carretera comarcal que carece de los mismos y reduce la velocidad. “Al mantenerse dentro de estos guardarraíles tecnológicos, el desarrollador gana una velocidad de crucero que antes era imposible de alcanzar debido a los controles burocráticos”, explica Damas.

El éxito de esta arquitectura ha permitido que el área evolucione hacia lo que hoy se denomina IT Assurance, una estructura que aglutina cuatro funciones críticas: IT Security, Quality Assurance, Platform Engineering Gobernance e IT Service Management. Esta consolidación permite disponer de una visibilidad panorámica inédita sobre el estado de la tecnología en la empresa, con indicadores precisos sobre incidentes, vulnerabilidades y velocidad de entrega. «Ahora tengo un pack completo con toda la visibilidad de IT donde yo reporto a los miembros del comité de dirección comunicándoles cómo vamos, si hemos acelerado o dónde están los puntos calientes», señala el Head of IT Assurance & CISO en Nationale-Nederlanden, destacando que esta capacidad de análisis permite tomar decisiones estratégicas basadas en datos reales y no en meras suposiciones.

Y aparece la IA

Con la base de la automatización ya asentada, Nationale-Nederlanden dio el siguiente paso lógico en el último trimestre del año pasado integrando la Inteligencia Artificial Generativa en el ciclo de vida del software. Sin embargo, Damas advierte sobre los peligros de dejarse llevar por el entusiasmo excesivo sin un control estricto. La aseguradora ha observado que el uso descontrolado de IA puede generar una deuda técnica importante, donde corregir el código generado automáticamente acaba costando más tiempo que haberlo escrito desde cero. «Estamos generando deuda técnica. El problema es que cuando ya tienes generadas muchas cosas y empiezas a revisarlas, te das cuenta de que arreglarlas lleva más tiempo que lo que te llevó generar el código», explica Damas. Para evitar este escenario, han desarrollado un framework de gobernanza para la propia IA, que dictan qué puede y qué no puede hacer la máquina.

Este framework asegura que la IA se comporte como un ciudadano corporativo ejemplar, respetando, incluso, detalles que podrían parecer menores pero que afectan a la imagen de marca, como, por ejemplo, los colores y estilos corporativos, no dejar nada al azar para que la IA no alucine. «Nos encargamos de gobernar todo el proceso para que en el lugar en el que se instale la aplicación me asegure que se montan los skill, las librerías, las estructuras, las configuraciones estándar,… hasta los colores se los pongo para que no se equivoque», detalla Damas.

De esta forma, la IA en Nationale-Nederlanden no solo genera código, sino que realiza análisis de seguridad estática (SAST) y dinámica (DAST), buscando vulnerabilidades como inyecciones SQL o cross-site scripting antes de que el código sea propuesto para su integración. Además, es capaz de documentar aplicaciones, dibujar arquitecturas y realizar pruebas unitarias con una cobertura de código superior de forma autónoma al 80%.

Pruebas de calidad

Uno de los avances más importantes se ha producido en el ámbito de las pruebas de calidad (QA). Tradicionalmente, se hacía de forma manual por lo que los testers debían repetir tediosos procesos ante cualquier mínimo cambio en el software. Ahora, Nationale-Nederlanden utiliza la IA que graba las acciones de un humano y las convierte instantáneamente en código de test que la IA puede mantener y evolucionar. Esto es especialmente útil en plataformas complejas como Salesforce, donde antes se llegaban a probar ventanas de forma manual hasta 17 veces provocados por errores encadenados. «Ahora, alguien que no tenga ni idea de programación, sólo tiene que escribir en caso de prueba y ponerle un nombre, la IA hace el resto», afirma Damas sobre cómo han democratizado la creación de automatizaciones de pruebas.

La eficiencia alcanzada mediante este sistema de agentes de IA —que llega a coordinar hasta 26 agentes especializados como planificadores, revisores o simplificadores— es masiva. En un caso de uso real monitorizado por la compañía, el desarrollo y testeo de una funcionalidad que a un programador senior le habría tomado siete días de trabajo manual, fue completado por el sistema asistido por IA en tan solo tres horas. Esto supone una aceleración de 13 veces (13x), superando la media de mercado. Además, se logró una cobertura de test del 100% y cero hallazgos de seguridad”.

A pesar de este nivel de automatización, Nationale-Nederlanden mantiene una política firme sobre la importancia del factor humano. Damas considera que es un «error garrafal» prescindir de los ingenieros, ya que son los únicos capaces de supervisar objetivamente el código de la IA y aportar el conocimiento de negocio necesario para evitar pérdidas financieras o reputacionales. Por ello, el modelo siempre incluye un paso de validación humana antes de cualquier paso crítico a producción, asegurando que la decisión final no recaiga únicamente en un algoritmo.

Para alimentar este ecosistema de innovación, la aseguradora fomenta una cultura de aprendizaje continuo a través de las Tech Talks, reuniones quincenales donde se comparten descubrimientos sobre temas que van desde la computación cuántica hasta nuevas librerías de IA. Tal y como explica el Head of IT Assurance & CISO en Nationale-Nederlanden, «se trata de una reunión donde vamos a compartir conocimiento, traemos gente externa y compartimos experiencia que podemos aplicar en nuestro trabajo. El objetivo final es reducir la carga cognitiva de los empleados mediante el uso de componentes reutilizables. De esta forma, un nuevo desarrollador puede concentrarse en la lógica de negocio de su proyecto sin preocuparse por la infraestructura, ya que la plataforma le provee de todas las herramientas necesarias de forma estandarizada.

En última instancia, la misión de IT Assurance es garantizar un despliegue óptimo y resiliente, reduciendo la complejidad y eliminando costes innecesarios derivados de la falta de estándares. «Mi única misión es asegurar el óptimo despliegue y resiliencia de las aplicaciones y servicios a través de reducir la complejidad y los costes», concluye Daniel Damas. El proyecto no solo ha logrado que Nationale-Nederlanden sea más rápida, sino que ha construido un sistema donde la seguridad y la calidad no son negociables, sino que vienen embebidas de serie en cada línea de código que la compañía produce, ya sea de manos de un humano o de una inteligencia artificial gobernada.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.