¿Podrías presentarte brevemente? Cuéntanos un poco sobre tu trayectoria.
Me llamo Ndeye Codou Baka Diop, aunque a menudo me llaman simplemente Baka Diop, nombre que heredé de mi padre, Baka Diop, ingeniero electromecánico que realizó sus prácticas en EDF, dirigió grandes obras en SENELEC (Senegal) y ahora es consultor en energía.
Actualmente soy jefa de seguridad de aplicaciones en Squad y una friki.
Mi trayectoria ha sido un poco especial: tras obtener el bachillerato científico, me admitieron en la Facultad de Medicina Cheikh Anta Diop, pero mi sueño siempre ha sido innovar, crear cosas nuevas, y pronto me di cuenta de que sería una buena cirujana… pero no con pacientes, sino reparando sistemas informáticos.
Desde muy joven me dedicaba al mantenimiento informático y, en verano, cuando los demás se iban de vacaciones, hacía trabajos temporales en este mismo campo. Al mismo tiempo que cursaba mis estudios de Matemáticas Aplicadas en la Universidad de Tlemcen, también realizaba cursos de formación en desarrollo de software en la escuela Protech. Después, cursé un máster en Smart Aerospace and Autonomous Systems en la Universidad Paris Saclay, con unas prácticas Erasmus en Polonia. Y, finalmente, lo completé con mi máster (BAC+6) en la ESIEA, especializado en seguridad de la información y de los sistemas (MSSIS), con la certificación SecNumEdu.
Enseguida me sentí atraída por algunos módulos, como el análisis de riesgos, la revisión de código, las pruebas de penetración, etc. Al terminar mi máster, empecé a encadenar proyectos relacionados con la seguridad de las aplicaciones, en particular con la implementación del «Security by Design» en las empresas de mis clientes. También tuve que realizar numerosas certificaciones y formaciones, en particular sobre la norma ISO 27001, PCI DSS y el RGPD.
¿Por qué elegiste Squad?
Al finalizar mis prácticas en Orange, mi superior directo me puso en contacto con Squad a través de Magaly Provost. Squad gozaba de una excelente reputación. Desde la cálida bienvenida que me dispensó Magaly en Squad, enseguida me sentí como en casa. Tuve que afrontar retos tan apasionantes como formativos, que me permitieron ampliar mis competencias en mi ámbito de especialización.
Es una empresa que te ofrece la oportunidad de crecer y evolucionar; he podido demostrar rápidamente mis capacidades con mucha autonomía. De hecho, dirijo una comunidad CATS (Comunidad de Automatización de Pruebas de Seguridad) que se ocupa de la seguridad de las aplicaciones. Como miembro de OWASP, participé recientemente en la conferencia de OWASP en Ámsterdam, donde representé a Squad. El 8 de octubre, con motivo del día ADALOVELACE, impartiré una sesión sobre «Security by design» durante la tercera edición del «Sophia Security Camp» en Sophia Antipolis.
Mi objetivo en esta conferencia será presentar tres casos prácticos para concienciar a los participantes sobre la importancia de la seguridad de las aplicaciones, en particular la seguridad desde el diseño (SBD).
¿Había muchas mujeres en tu promoción?
Éramos dos. Cuando asistí a la conferencia de OWASP, me di cuenta de lo poco habitual que era. Solo había unas pocas decenas de mujeres entre unas 500 personas.
Para mí, las profesiones de las tecnologías de la información son profesiones como cualquier otra. Es habitual ver enfermeros, comadronas, etc. ¿Por qué la ciberseguridad debería ser un mito para las mujeres? El único requisito es tener pasión. Hay que amar lo que se hace, ser apasionado, tener curiosidad, indagar, investigar... pero para mí es una pasión y una profesión exigente y rigurosa. Las mujeres tienen tanto cabida en ella como los hombres.
Los oficios relacionados con la seguridad son prometedores, y más aún la seguridad de aplicaciones. Y es que hay escasez de expertos, y sin embargo se trata de un oficio con futuro que abarca numerosas especialidades. ¡Con su dosis de sorpresas y rigor, cada día!
Para mí, las profesiones del sector de las tecnologías de la información son como cualquier otra. Es habitual ver a enfermeros, matronas, etc. ¿Por qué la ciberseguridad tendría que ser un mito para las mujeres? El único requisito es sentir pasión por ello.
Baka D. El Equipo de Expertos
Háblanos de la seguridad de las aplicaciones...
La seguridad de las aplicaciones consiste en la implementación de controles y medidas de seguridad para garantizar un nivel de seguridad aceptable en todo el ecosistema de la aplicación: la propia aplicación, su servidor, sus componentes, su configuración, sus procesos, sus usuarios y sus partes interesadas. Para ello, es necesario contar con cierta experiencia.
La SecApp no se limita a las pruebas de intrusión en aplicaciones y a la auditoría de código, sino que abarca competencias en programación, criptografía, gestión de identidades y accesos (IAM), redes, gobernanza, etc. Se trata de un campo muy amplio que se encuentra en la encrucijada de numerosas especialidades.
Los expertos en seguridad de aplicaciones como yo debemos ser capaces de adquirir rápidamente conocimientos sobre numerosos módulos y de comunicarnos con todo tipo de personas, ya sean técnicas, funcionales, operativas u organizativas, o incluso con niños y personas mayores.
En este sentido, somos auténticos evangelistas. Hoy en día, todas las empresas deben integrar la seguridad, y nuestro papel es acompañarlas en ese proceso.
¿Cuál es tu definición de DevOps?
Para mí, DevOps es ante todo una cultura. Hasta cierto punto, los desarrolladores estaban por un lado y los de operaciones por el otro. Hemos visto las limitaciones de ese modelo. Con la agilidad y el trabajo conjunto, el desarrollador hacía un poco de operaciones y viceversa; ya no está solo ni aislado en su actividad de producir exclusivamente desarrollo: debe tener en cuenta las operaciones en un flujo de trabajo continuo. En este sentido, DevOps es una cultura que aporta mayor capacidad de respuesta y mejores resultados.
En 1990, teníamos menos de una decena de sitios web, frente a los miles de millones que hay hoy en día; no se preveía en tal medida el auge de las tecnologías de la información. Aunque hoy en día hay estructuras que se adaptan más rápido que otras (estas últimas son bastante conservadoras), DevOps o incluso DevSecOps son filosofías que ya existían de forma implícita. En función de la estrategia y de la consideración de los ciclos cortos que exige el mercado, las empresas ya no tienen mucha elección y deben integrar este tipo de enfoque. Si queremos un producto que funcione bien, en un entorno muy competitivo, y mantener el liderazgo, la fiabilidad y la notoriedad, hay que garantizar la seguridad a los consumidores o clientes. La seguridad es una garantía de confianza y, para lograrla, nos vemos obligados a adoptar una cultura DevSecOps.
… ¿y el DevSecOps?
En mi opinión, la seguridad en DevOps siempre ha existido, pero se había dejado de lado en la cultura y la estrategia de la empresa. Ahora que la brecha de seguridad en las aplicaciones ha causado enormes daños en las empresas, ha sido necesario replantearse el sistema implantado. Por cuestiones relacionadas con la cartera de clientes, la reputación y la confianza de los usuarios, así como por los requisitos y las leyes sobre libertad y privacidad, la seguridad ha cobrado cada vez más importancia y se ha convertido en un elemento crucial para DevOps.
A medida que surgen evangelistas como yo, que aportan nuevas ideas, estas culturas se integran cada vez más en todos los sectores de las tecnologías de la información.
¿Cómo se llega a ser experta en «Security by Design»?
La «Security by Design» es un modelo en sí mismo. Cuando la falta de seguridad en las aplicaciones puede suponer una pérdida de millones de euros para una empresa, se comprende que la seguridad es fundamental. Es más, nos damos cuenta de la complejidad que conlleva garantizar la seguridad una vez finalizada la fase de producción. Esto suele obligar a que la aplicación vuelva a la fase de desarrollo… Lo ideal es que la seguridad se integre desde el momento del diseño de cualquier aplicación. Por eso se habla de «Security by Design». Se trata de implementar la seguridad desde el inicio del proyecto y durante todas las fases: requisitos previos, diseño, preproducción y producción. La seguridad se tiene en cuenta desde la fase de definición del alcance de la aplicación y se mantiene a lo largo de toda su vida útil. Todos los participantes y actores implicados deben integrar esta cultura de DevSecOps.
