"Nuestros clientes están a la vanguardia en la adopción de principios de calidad del software"

Vincent Delaroche, Fundador y CEO de CAST.

CAST es pionero y una de las principales compañías en el análisis y la medición del software, con una tecnología única resultante de una inversión en I+D de más de 120 millones de dólares. La misión de CAST se centra en este análisis como vehículo de transformación del desarrollo de aplicaciones en una disciplina de gestión. Más de 250 compañías en todos los sectores de la industria y geografías confían en CAST para prevenir interrupciones de negocio mientras reducen los costes de TI. CAST es una parte integral en la entrega y el mantenimiento de software para los proveedores mundiales de servicios de TI.

¿Cómo inicia esta empresa francesa en España?

CAST opera desde Madrid en España y Portugal desde el año 2000 y recientemente en Latinoamérica. Durante este tiempo ha ayudado a empresas como Endesa, CTTI, Gerencia de Informática de la Seguridad Social o Vodafone a mejorar el rendimiento de sus activos críticos de negocio.

¿Qué puede aportar CAST a los ejecutivos de TI que buscan mantener la seguridad en sus aplicaciones críticas de negocio?

Una reciente investigación del Instituto de Ingeniería de Software Carnegie Mellon indica una correlación entre “buena” calidad de software y seguridad. CAST corrobora esta afirmación con su propia base de datos de benchmarking, llamada Appmarq, y que se está convirtiendo en un punto central de la discusión dentro de la comunidad de aseguramiento de software seguro. Esto representa un cambio fundamental en el hecho de que la seguridad no es solo un tema de infraestructura, redes y protección de las aplicaciones de ataques exteriores, detectando Inyección de SQL o contraseñas débiles. Hoy más del 80% de las violaciones de seguridad afectan a la propia aplicación y cada vez más desde su interior. El efecto de este cambio es que ahora las organizaciones perciben las “malas” aplicaciones como algo más que software que contiene con fallos o poco fiable; se dan cuenta de que muestran vulnerabilidades reales que pueden derivar en pérdidas significativas o daños debidos a fallos de seguridad. De ahí que los profesionales de seguridad estén viendo que asegurar los datos sensibles no es simplemente cuestión de higiene o de revisión del código buscando defectos de seguridad y acceso ilegal desde el exterior. Un enfoque más directo y efectivo es el diseño de la seguridad en la aplicación mediante la implantación de una arquitectura defensiva frente a amenazas, ya sean internas o externas. Este es un área en la que CAST ha sido pionera desde hace tiempo. CAST ha desarrollado un enfoque para medir el grado de cumplimiento del desarrollo en el uso de componentes seguros (capas o servicios de software que controlan toda la información sensible). Nuestros clientes están a la vanguardia en la adopción de principios seguros de arquitectura garantizando que todo el desarrollo se adhiere a reglas predefinidas de acceso a datos de forma segura.

¿Se pueden reducir los riesgos de un negocio a través de la gestión de la tecnología?

Proponemos una solución cuyo análisis es “nivel de sistema” para localizar y resolver los problemas que los enfoques tradicionales no consiguen alcanzar. CAST realiza un análisis estructural y arquitectónico del sistema completo; no en la mesa del desarrollador, sino en la fase de construcción, cuando todos los componentes y piezas están integrados para apoyar un proceso de negocio. Esta perspectiva es crucial, ya que es la forma en que funciona un negocio, cómo las empresas obtienen sus beneficios, y cómo los usuarios finales interactúan con su negocio. Además contamos con un cuadro de mandos diseñado para que los ejecutivos conozcan el estado actual de cada aplicación que compone su cartera tecnológica de forma que se puedan establecer planes de acción y de mejora de manera directa.

¿Cómo obtienen beneficios los clientes de CAST?

Nos dirigimos a grandes empresas de cualquier sector. Un ejemplo es una compañía global de seguros. Esta organización trabajó con servicios de seguridad en la arquitectura utilizando AIP para determinar donde tenían que corregir sus aplicaciones en términos de como gestionaban los datos delicados. Ellos agregaron de nuevo la funcionalidad de los datos de acceso a través de un set de componentes centralizado en las capas de sus servicios. El siguiente paso fue asegurar que todos sus desarrollos incluían estos componentes centrales como la forma de acceder a los datos. Aplicaron esta aproximación en sus aplicaciones de negocio principales; pusieron en marcha reglas personalizadas de arquitectura en AIP para medir el cumplimiento de los desarrolladores de la seguridad de la arquitectura. Una vez que lograron esta arquitectura, encontraron en varias de sus aplicaciones que los resultados de sus pruebas de testing en estas aplicaciones se redujeron significativamente en comparación con las aplicaciones que aún no habían sido sometidos a este proceso de cumplimiento de la arquitectura. Ahora están trabajando para realizar este mismo proceso en todas las aplicaciones que gestionan datos sensibles, ya que han obtenido significativos beneficios en cuanto a seguridad. Otro ejemplo es un proveedor de sanidad que institucionalizó CAST en su departamento de desarrollo. Empezaron a por la calidad estructural de todos sus procesos desarrollo; se trató de controlar la calidad y de educar al desarrollador en la misma medida. Lo que encontraron fue que alcanzando la máxima calidad mejoraban posteriormente su seguridad. Notaron también que encontraban los fallos de seguridad en sus ciclos de desarrollo mucho antes que en los enfoques tradicionales de seguridad. Además contamos con Gartner Consulting como partner a nivel global que incluye en su oferta un aplicación de análisis de la salud, relacionada con la evaluación de la estructura interna de las solicitudes de sus clientes para comprobar su integridad y construir en entornos seguros, y una vez más, centrándose en lo que importa, las transacciones a nivel de sistema, por pase de las capas internas de seguridad, etc. Las grandes empresas pueden gastar cientos de millones en construir muros para proteger sus activos de TI, pero que pasa si un software malintencionado competente entra en esta fortaleza y accede a datos sensibles y los cargarlo en una nube pública. Ahora que la fuente de los ADM es global, los recursos offshore son un commodity, esto presenta la próxima generación de amenaza a la seguridad.

¿Sus soluciones puedan ayudar a alcanzar los objetivos operacionales y de negocio de sus clientes?

CAST está diseñado para ayudar a las organizaciones a gestionar el desarrollo y mantenimiento de sus aplicaciones. De hecho, contamos con una base de datos de la calidad de las aplicaciones que permite a las organizaciones comparar sus entregables de software. La base de datos de Apmarq incluye la calidad de software resultante del análisis de 2000 aplicaciones con más de 1,8 billones de líneas de código clasificadas por sector y tecnología. La visión de Appmarq en como la calidad estructural de una aplicación va desde las reglas de las organizaciones a la mejora del rendimiento, la reducción de costes y el aumento de la productividad. Realizar benchmarking de los activos de software proporciona información de valor y feedback en el proceso de desarrollo. Un punto de partida seria determinar en qué áreas la organización necesita concentrarse para mejorar la estabilidad, la seguridad y la falta de preparación para afrontar procesos de transformación.

¿Cuáles es la estrategia de CAST en términos de innovación?

CAST continúa innovando de tres maneras. La primera es nuestra capacidad de descubrir problemas significativos que pueden destruir una aplicación empresarial. Estamos trabajando para combinar nuestra capacidad como líderes de análisis de software industria con los datos de rendimiento dinámico y otros parámetros del entorno con el fin de proporcionar resultados cada vez más significativos. También estamos encontrando nuevas formas de identificar los problemas a nivel de sistema que son difíciles para los desarrolladores identificar, ya que normalmente operan a nivel de unidad. La segunda área de la innovación está en nuestras capacidades de medición. Siempre estamos buscando la manera de ser más precisos y específicos en nuestro análisis de software de las empresas. Recientemente, hemos estado desarrollando un nuevo enfoque para medir la deuda técnica. Algo en lo que están cada vez más interesados los desarrolladores, gerentes y ejecutivos. Hemos encontrado una forma de medir la deuda técnica de una manera mucho más significativa que cualquier otra alternativa, analizando la forma en que una organización de desarrollo debería realmente abordar el problema. Nuestro concepto de deuda técnica incluye "la deuda de seguridad", que es un punto de referencia importante para las organizaciones que desean hacer frente a sus problemas persistentes de seguridad. También estamos innovando en el área de la medida de los Puntos Función Automatizados (AFP), ampliando los límites de la industria en la consecución de las medidas precisas de los outputs de la actividad de desarrollo. En tercer lugar, estamos innovando en nuestra capacidad para proporcionar un análisis del riesgo a los accionistas de la empresa. Hemos creado un conjunto de índices de riesgo que identifican los problemas a nivel de aplicación que son similares a
las cuestiones que se busca durante las pruebas de integración. Estos índices son el Índice de Riesgo de Transacción (TRI), que determina que rutas de la transacción son las más vulnerables, el Índice de Riesgo de Propagación (PRI), que pone de relieve los puntos de riesgo en toda la aplicación. El TRI de Seguridad sería identificar cuáles son las entradas de usuario más vulnerables en términos de acceso a los datos y el PRI de Seguridad identificarían qué componentes a lo largo de la aplicación llevan el mayor riesgo de seguridad.

¿Cómo se diferencia CAST respecto a sus competidores?

La clave para nuestra estrategia, independientemente de la competencia, es mantener siempre una aproximación de negocio. Nuestro objetivo es evitar que las empresas pierdan clientes, ingresos o dañen su reputación debido a un mal software. Google, Facebook y todos los desarrolladores de aplicaciones de Apple store saben que una aplicación puede hacer dinero. Sin embargo, lo que no se discute tan a menudo es que un mal software va generar pérdidas de dinero, puede dañar su reputación, y potencialmente dejarte fuera del negocio. Nuestro objetivo es proteger a las empresas de esa experiencia. Para ello, las capacidades más importantes que ofrecemos: 1. La capacidad de analizar una aplicación en su totalidad, incluyendo la interacción de todos sus componentes de extremo a extremo. Esto proporciona una visión de los verdaderos riesgos en la aplicación y nos permite dar prioridad a los problemas que encontramos para poder abordar los más significativos los primeros y conducir los KPI de la organización. 2. La capacidad de medir software y proporcionar análisis relevantes para el negocio. Es fácil analizar el software, pero desentrañar los resultados verdaderamente importantes y convertir eso en una medida que de confianza para fines comerciales. Los laboratorios de investigación de CAST invierten grandes cantidades de energía en construir un modelo de medición que sea consistente, fiable y significativo. Nuestros clientes utilizan nuestros análisis para medir su progreso y poner estas cifras en sus contratos con los proveedores y los objetivos variables de los ejecutivos.

¿Por qué es tan importante analizar las aplicaciones a nivel multicapa y multi-tecnología?

El valor de la calidad estructural se deriva de la comprensión de los distintos aspectos de software, tales como la infraestructura, el middleware, la estructura de la base de datos y la interfaz para la ejecución de transacciones de bases de datos. La visibilidad y la comprensión a ese nivel son cruciales porque los defectos en las aplicaciones, más complejos y costosos de corregir, están localizados en las transacciones que se producen entre componentes en distintas capas. Puede sonar como una paradoja, dicho por una compañía que realiza análisis de código, pero “la calidad del código”, sin considerar el contexto de la arquitectura de la aplicación, resulta inútil. Especialmente cuando nos referimos a seguridad y fiabilidad. CAST invierte 8,5 millones de euros anuales en I+D para analizar lo que sucede en las "entrañas" de cualquier sistema informático complejo, desde un formulario de introducción de datos, hasta el código, transacciones, estructuras de datos, etc. CAST AIP analiza todo tipo de código fuente, cabeceras, archivos, estructura de datos; todos los elementos que constituyen la complejidad de un sistema informático completo y automáticamente "reconstruye" un modelo lógico de la aplicación completa, a partir del cual podemos poner en evidencia errores de código difíciles de encontrar y defectos arquitectónicos que pueden representar amenazas graves de seguridad.

Como CEO de una multinacional tecnológica ¿mantiene alguna analogía entre sus hobbies personales y la forma en gestiona su empresa?

Soy un gran aficionado a navegar participar con mis amigos en competiciones anuales en el Mediterráneo. Liderar un equipo o una empresa es muy parecido a conducir un barco. Toda la tripulación tiene un papel importante y si cada uno es bueno en ello el equipo gana. La disciplina es importante porque si alguien pierde atención puede poner en peligro al resto del equipo. Además solo puedes llevar a bordo a la gente que realmente necesites, si hay demasiados marineros, puedes reducir tu velocidad o peor estorbar a otros. Si todos persiguen el mismo objetivo hay muchas posibilidades de ganar. Y siendo francés, entre regata y regata una parada para un buen vino acompañado de un queso es inevitable. Al igual que la diversión y el descanso en cualquier negocio.

¿Cuál es el próximo gran paso de CAST para avanzar en la industria en términos de tecnología?
La industria de TI ha desarrollado algunos estándares para la medición de la calidad del software, la seguridad y el tamaño. Hemos estado implementando el cumplimiento de estas normas en AIP en los últimos años. Estas normas, gestionadas por el Consorcio para la Calidad del Software TI (CISQ) están a punto de llegar a buen término a finales de este año. Paralelamente, estamos trabajando en conseguir una certificación para que poder ofrecer a nuestros clientes y para la industria de la capacidad de poner "etiqueta de ingredientes" en su software que es compatible con CISQ. Esto proporcionará a los administradores de negocios con la prueba de que su software es de alta calidad y la seguridad - hasta la tarea para la gestión de sus procesos críticos de negocio. ¿Hay algo más que le gustaría añadir o resaltar? Los análisis de CAST se están convirtiendo en un estándar de medición de facto en la industria de TI. Hoy, 9 de cada 10 proveedores de servicios de aplicaciones principales se basan en CAST para medir y mejorar la calidad y la seguridad del software que entregan a sus clientes. Las medidas de CAST se están convirtiendo en el lenguaje de los negocios basado en los resultados entre las organizaciones de TI de la empresa y sus proveedores.