Dai il benvenuto ad Aren, fondatore e CEO di Foxpass!
Aren è un ex giramondo appassionato di viaggi e sempre in movimento da un Paese all'altro, oggi uomo di famiglia, con una vasta esperienza in ruoli di ingegneria di alto livello come Vice President of Operations presso Bebo, CTO presso Third Ave Labs e Director of Engineering presso Oodle.
Unisciti a noi per una conversazione con Aren mentre gli chiediamo tutti i suoi approfondimenti sulla sicurezza di rete, sulla creazione di un'azienda e su tutto ciò che dovresti sapere su Foxpass:
Intervista con Aren
Cominciamo con qualche informazione su di te?
Sono Aren, il fondatore di Foxpass. Lo faccio da circa 4 anni ormai.
Prima di questo, ero responsabile delle operazioni tecniche e dell’IT presso Pinterest e, prima ancora, ho lavorato in Beebo, Oodle e Danger (hanno creato il T-Mobile Sidekick, se ti ricordi quel telefono).
E prima di allora, ero a Stanford per conseguire una laurea magistrale e una laurea triennale in informatica.
Quindi, come hai iniziato a programmare?
Mia madre portò a casa uno degli Apple IIC del suo ufficio, uno dei primi computer portatili, e mi ritrovai semplicemente a cercare di usarlo ogni fine settimana, imparando il più possibile al riguardo.
Alla fine ho imparato un po' di Applesoft BASIC e, da lì, sono riuscito a creare programmi piuttosto semplici.
Quando abbiamo preso il computer successivo, ho comprato un libro sul C, ho imparato come funzionava e sono semplicemente andato avanti da lì.
Wow. Quindi eri autodidatta e hai anche frequentato la scuola?
Già. Esatto.
La maggior parte della programmazione che ho imparato prima della scuola l’ho imparata da autodidatta; poi, a Stanford, ho conseguito una laurea in informatica e lì ho seguito tutti i corsi di CS.
Tra le applicazioni che hai sviluppato, qual è quella che ti piace di meno? Hai mai realizzato un progetto parallelo di cui non ricordi il motivo?
Credo che i miei ricordi, almeno quelli legati alla programmazione, riguardino tutti progetti scolastici.
Quelli che realizzo per divertimento sono tutti fantastici, anche se non riescono bene, perché almeno ho imparato qualcosa o ho avuto modo di sperimentare.
Quelli per la scuola erano semplicemente difficili perché sei sotto pressione per il tempo ed è tutto materiale nuovo. Non sai esattamente cosa dovrebbero fare o come dovrebbero apparire, quindi alcuni dei miei momenti meno piacevoli nella programmazione arrivano sicuramente dai tempi della scuola, tipo le nottate in laboratorio informatico a sbattere la testa contro la tastiera.
Parlami di un episodio in una delle aziende per cui hai lavorato in cui hai assistito a un vero disastro. Ti è mai capitato un momento del genere?
Non me ne viene in mente uno che sia [durato] 10 ore, ma ci sono stati sicuramente momenti di terrore in cui stava per succedere qualcosa di piuttosto brutto.
Penso di essere stato piuttosto fortunato, perché gli incidenti prolungati si sono tradotti solo in due, tre o quattro ore di rallentamenti o inattività.
Ma ci sono sempre momenti in cui pensi di aver pianificato tutto e salta fuori qualcos'altro.
La legge di Murphy, immagino. Li ho avuti in ogni azienda.
Come ti sei avvicinato alla sicurezza di server e reti?
È qualcosa che ho dovuto imparare praticamente in ogni ruolo, da Oodle in poi.
O non c'era nessuno in quel ruolo, oppure quella persona aveva lasciato l'azienda e la situazione richiedeva attenzione.
Soprattutto in Pinterest, come accade in molte nuove aziende, all’inizio erano davvero tutti sviluppatori di applicazioni e la sicurezza non era così importante finché non si è iniziato a inserire a bordo molte nuove persone.
È qui che il controllo degli accessi e l'identità diventano davvero importanti, perché stai inserendo tutte queste nuove persone.
Vuoi farli accedere subito ai server, così possono essere produttivi il prima possibile. È ottimo per il morale durante l'onboarding. Ma allo stesso tempo, devi fare attenzione a chi può fare cosa.
Vuoi poter rispondere rapidamente, sia in caso di onboarding sia in caso di offboarding.
Qual è un grosso errore di sicurezza che vedi spesso nei team di ingegneria?
Penso che il più grande errore di sicurezza sia condividere le credenziali. È davvero facile.
“Ehi, avete dei nuovi ingegneri nel team. Ecco come accedere ai server, sia usando il nome utente e la password che usano tutti, sia condividendo con loro la chiave privata impostata sul server al momento della sua creazione.”
Questi sono gli errori più grandi e peggiori che vedo.
Da lì, magari ognuno ha la propria chiave SSH separata, ma condividono tutti lo stesso utente. Non è terribile, ma non è ancora la soluzione migliore.
Mettiamo che tutti facessero tutte queste cose — descrivi i risultati. Cosa potrebbe andare storto?
Penso che lo scenario peggiore sia: semplicemente non stai proteggendo l'azienda.
Se qualcuno lascia l'azienda o viene licenziato e ha il dente avvelenato, se non vai subito a ruotare tutte quelle credenziali condivise, quella persona accede ai tuoi server, elimina tutto e ti causa un sacco di problemi.
Questo è lo scenario peggiore, ma il compito di un'azienda è proteggersi.
Per questo l'azienda deve semplicemente pensare a queste situazioni e a come proteggersi. Ovviamente questo è lo scenario peggiore; succede di rado, ma se capita è catastrofico.
Come spiegheresti Foxpass al mondo? Qual è la funzionalità che hai sviluppato in Foxpass che preferisci?
In pratica, vogliamo dare a tutti il proprio nome utente e password, o le proprie credenziali, per tutto ciò che è presente nella tua infrastruttura. Basta con le password Wi-Fi condivise sulla lavagna. Niente più nomi utente condivisi o chiavi SSH per i tuoi server Linux. Ognuno ha le proprie credenziali.
Ora che tutti hanno le proprie credenziali, puoi passare al controllo degli accessi:
“Questa persona può accedere solo a questi server, che sono in un elenco separato da quello di Bob laggiù. Può accedere solo a un diverso insieme di server e, su quei server, le sue funzionalità sono limitate.”
Non è tutto o niente per l'intera infrastruttura. Non è nemmeno tutto o niente per un determinato server o insieme di server. Ognuno ha un accesso granulare specifico per le proprie esigenze.
Inoltre, puoi concedere un accesso temporaneo.
Concedi l'autorizzazione a qualcuno su un insieme di macchine con una data di fine (come una data e un'ora) o un evento di fine.
Per esempio, l'esempio che mi piace fare è questo: quando hai una settimana di reperibilità, avrai pseudo-autorizzazioni ovunque ti servano. Ma quando il tuo turno di reperibilità finisce, perdi tali autorizzazioni.
Puoi recuperarli di nuovo abbastanza facilmente se lo chiedi a chi è reperibile, ma semplicemente non li hai più finché non sei di nuovo reperibile o non ne fai richiesta. In questo modo, se il tuo laptop viene rubato, l'azienda non deve preoccuparsi che le tue chiavi fossero su quel laptop.
Hanno autorizzazioni complete per tutto e c’è un’area di servizio molto più ampia che dobbiamo coprire per assicurarci che non ci siano violazioni.
Hai dato vita a Foxpass partendo da un problema che avevi visto in Pinterest. Se potessi tornare indietro nel tempo e fare qualcosa di diverso, c’è qualcosa che cambieresti di Foxpass? O magari errori che hai fatto all’inizio come founder?
Certo, un sacco di errori. Voglio dire, la mia formazione è nell'ingegneria, non nella creazione di aziende. Quindi, quando mi guardo indietro, tutte le cose che vorrei aver fatto diversamente riguardano la crescita dell'azienda più velocemente.
Penso che abbiamo fatto un ottimo lavoro nel garantire a tutti i nostri primi clienti un’esperienza davvero positiva, ma probabilmente ci sono cose che avremmo potuto fare per trovare prima più clienti come loro.
Qual è la cosa casuale più divertente che un cliente ti ha detto?
Penso che le migliori frasi che mi sento dire siano qualcosa del tipo: “Wow, era da una vita che cercavo proprio questo.”
Sono quelle le occasioni in cui capisco di aver trovato le persone a cui sto cercando di vendere e che il prodotto che abbiamo creato è esattamente ciò che stanno cercando, proprio come era esattamente ciò che io cercavo nei lavori precedenti.
Cosa ti piace fare per divertimento?
Mi piaceva viaggiare. È difficile farlo ora con due figli e una startup.
Ora mi troverai al parco con i suddetti bambini oppure, quando fanno il pisolino, a lavorare sulla mia casa, che è una mia passione.
Qual è il posto più bello che hai visitato?
Il posto che ho preferito tra quelli in cui ho viaggiato...
Beh, nel 2009 ho fatto un viaggio intorno al mondo. Sono stati solo tre mesi, ma ho avuto la possibilità di vedere parti del mondo che per me erano davvero incredibili.
Gran parte dell'Asia è stata fantastica. Sud-est asiatico, India — semplicemente paesi bellissimi e persone splendide. Quella è stata probabilmente la mia parte preferita di quel viaggio.
È così difficile raggiungere quei posti che sono contento di aver avuto più tempo per vederli.
Ci sono tantissime persone che avviano aziende e creano prodotti davvero eccellenti. Alcuni potrebbero non progettarli pensando alla sicurezza fin dall'inizio. Se dovessi dare qualche consiglio ai fondatori di quelle startup, quale pensi che sarebbe?
“Inizia a pensare alla sicurezza prima di quanto credi sia necessario.”
Per prima cosa, è importante assicurarsi di avere un prodotto che le persone vogliano acquistare.
Se non hai clienti, non hai nulla da proteggere. Ma non appena inizi a prendere slancio, inizia a pensare alla tua strategia di sicurezza.
Penso che oggi i clienti siano sempre più informati e che faranno queste domande prima di quanto facessero in passato.
“Qual è la tua strategia di controllo degli accessi? Hai dei principi del privilegio minimo?"
Pensa a queste cose in anticipo, così non ti ritroverai in difficoltà quando inizieranno a farti queste domande.
Migliora la tua sicurezza
Sei pronto a proteggere la tua rete e a mantenere al sicuro la tua azienda? Clicca qui per scoprire come Foxpass può aiutarti a evitare costosi errori di sicurezza!
