una radiografía de una scaleup de ciberseguridad

Artemio: ¿Qué tal? Bienvenidos a todos a una edición más de Cuando el río suena, un podcast para todas las personas en Latinoamérica que están construyendo algo donde antes no había nada, o para todos aquellos que se encuentran junto con un equipo en esta carrera tan emocionante que es construir un negocio saludable de internet. Me acompaña el día de hoy, como ya es costumbre, mi socio Rodrigo, ¿cómo estás Ro, qué tal?

Rodrigo: ¿Qué tal? Muy bien

Artemio: Qué gusto, hermano, ya es esta la cuarta y última entrevista del día, no por eso tenemos los ánimos más bajos, al contrario, han sido increíbles charlas.

Nos acompaña Sebastián Fernández de VU Security, no te hemos preguntado desde dónde estás conectado, ¿cómo estás?

Sebastián: ¿Qué tal?, buenas tardes. Un gusto, estoy en Buenos Aires.

Artemio: Fantástico, ya en una ocasión tuvimos en este espacio al CEO de VU y justo vino por acá el buen Sebastián Stranieri a contarnos que era amigo de los reyes de España y la pasamos bien, fue una conversación muy cotorra.

¿Cuál es el pitch de elevador de VU Security?

Artemio: Muchas de las personas de este espacio ya conocen de qué va su startup, pero para los que no y para ayudarnos a poner a todos en la misma página, ¿podrías contarnos cuál es su pitch elevador?

Sebastián: Somos una compañía que nos gusta decir que proveemos ciberseguridad sin fricción, eso es lo que nosotros traemos a la mesa, esa es la parte compleja de la ecuación en la industria de seguridad, si quieres después podemos desarrollar un poquito más respecto de eso, en general somos una compañía que estimamos que llegamos de manera directa e indirecta a más de 150 millones de usuarios a través de nuestros clientes y de manera directa estamos embebidos en procesos críticos y habitualmente en gobierno, en banca, en operaciones en donde en muchos lugares es necesario aportar seguridad, ahí es donde estamos nosotros, hoy por hoy tenemos 175 colaboradores, un poquito más a un poquito menos.

Tenemos una red de partners de alrededor de 100 a 110 partners con más de 170 organizaciones, digamos que confían en los productos que nosotros tenemos en un trayecto de 15 años, es una compañía que más que startup es un scale-up, se podría decir en algún punto tenemos operaciones o clientes involucrados en más de 30 países y en Latinoamérica tenemos presencia en casi todos los países en respecto de equipos, así como también en España, en Italia, en Reino Unido, así que es una compañía que, para resumir, aportamos confianza y aportamos experiencia de usuario en muchos de los flujos de nuestros clientes.

¿Cuál es el papel de Sebastián Fernández como CPO en VU Security?

Rodrigo: Buenísimo, está perfecto. Algo que nos llamaba mucho la atención hablando en particular de tu labor como CPO ahí en VU es que tienen muchas funcionalidades distintas, te queríamos preguntar ¿cuántas de esas son productos por sí mismos y cuántas no?, porque, como dices, ahora están embebidos en un montón de procesos que el usuario final no nota, es algo que sucede tras bambalinas, entonces, ¿cuál es tu papel como CPO en productos que sí se notan y también en productos que no se notan?, porque nunca habíamos tenido a un invitado de producto que funcionan distinto.

Sebastián: Muy buena pregunta porque la seguridad es un factor higiénico, es un factor que tiene que estar, si no está, hay problemas, si está, no se nota tanto, de hecho, la gente cuando ingresa a un banco da la seguridad por sentado, uno va a un banco físico, a una entidad financiera, a una sucursal y sabe que no le va a pasar nada, se entiende que el banco es seguro por defecto, lo mismo si comparte sus datos con alguna otra entidad con alguna otra organización, con un gobierno, la seguridad está ahí, surge la seguridad cuando suele haber un problema y es tapa de los diarios, entonces, ese es el primer desafío: tratar de estar, pero al mismo tiempo no estar, porque no queremos ser algo molesto, no queremos ser la persona que está parada en la puerta esperando que todos los usuarios tengan una fricción para poder ingresar, todo lo contrario, cuando nosotros hablamos con nuestros clientes, hablamos de seguridad, pero también hablamos de conversión, hablamos de churn, hablamos de funnel, hablamos de cómo nosotros nos introducimos dentro de esa lógica, tanto para aprobar una transacción o para aprobar el ingreso de una identidad digital en una herramienta, entonces, el desafío está en entender que para las organizaciones no existe tal balance entre seguridad y experiencia de usuario, entre confianza y experiencia de usuario, sino que ambas dimensiones tienen que ser maximizada al mismo tiempo, hoy por hoy los negocios no pueden resignar usuarios, resignar conversión en función de proveer mayor seguridad, ambas dimensiones tienen que ir al mismo tiempo, también hay muchas personas que no lo saben, pero nosotros estamos presentes en muchos de los procesos que tienen que ver con la aprobación de transferencias, por ejemplo, transferencias bancarias, cuando se aprueban y cuando el usuario tiene que ingresar el famoso numerito, lo que se conoce como token, OTP (one-time password) que suele ser un código de 6 o 4 dígitos, nosotros también estamos ahí generando ese identificador y que pareciera ser un numerito, pero detrás tiene una lógica para poder ser orquestado y para que le pueda proveer de seguridad tanto al individuo como a la organización y asegurarse que esa transacción es de quien dice ser, entonces mi trabajo como CPO como Chief Product Officer tiene que ver con poder ser la bisagra entre esas necesidades del negocio y como proveemos eso a través de nuestros productos, yo me hago cargo del equipo de producto en julio del 2021 y desde ese momento comenzamos con dos estrategias en paralelo, una de las estrategias es consolidar el portafolio de productos que, como bien vos decías, Rodrigo, hay muchos productos, muchas soluciones que nosotros estamos consolidando lentamente en una única solución transversal y también comenzamos con una estrategia de llevar esos productos consolidados hacia la nube hacia el mundo SaaS, hacia el mundo de software as a service en un mundo en donde estamos proveyendo seguridad y, por lo tanto, es un cloud que tiene características distintas, si querés a un B2C en donde el usuario ingresa, se encuentra con la landing page y tiene que ser convencido para convertir rápidamente, tiene que ver con un servicio que tiene sus ciclos de venta consultiva 1 a 1, en donde nosotros trabajamos en la estrategia con los clientes y en ese entendimiento de la estrategia también hay información que llega desde el equipo de ventas hasta nuestro equipo de producto para poder construir el producto que se necesita o ir sumando features en función de lo que vamos viendo que es la necesidad del mercado.

Entonces, en resumen hay muchos features, hay muchos productos, pero yo estoy en producto desde hace 22 años porque lo que menos me interesa es el producto y lo que más me interesa es el valor que se aporta y el valor de lo que nosotros aportamos tiene que ver con eso que les comentaba al comienzo, es seguridad, experiencia de usuario y entender que en el fondo más allá de los bits and bytes y de las fichas específicas, hacemos una gestión de tu identidad en el mundo digital en donde cada vez es más necesario porque cada vez los servicios son más nominados, son a título de una persona específica, así que por ese lado va la historia.

Artemio: Que interesante, justo me recuerda mucho, y esto no tiene nada que ver con lo que hacen, pero en algún momento hablamos con una de las empresas que se acerca a cotizar nuestros servicios, eran una empresa que organizaba la producción de eventos, entonces si tú tenías un aniversario o una marca o lo que sea, con ellos organizabas tu conferencia, tu concierto, tu festival lo que fuera y justo ellos nos decían que cuando ellos mejor hacen su trabajo es cuando no se nota en la experiencia que está viviendo la persona, mientras no vean ahí alguien con una escalera montando algo en medio de cuando ya está la fiesta, estamos haciendo muy bien nuestra chamba y de una manera muy random se liga con todo esto que nos mencionas, justo la seguridad se da por sentada en muchísimos de estos casos, ya en la experiencia tú asumes que al momento de interactuar con un banco todo está encriptado o guardado donde tiene que estar y que no es información que está siendo compartida con otras personas y demás.

¿Cuáles son los retos de diseño que enfrenta una startup de ciberseguridad como VU?

Artemio: Justo, vimos que también tenías, Sebastián, un background en diseño UX y de producto en general y como también mencionaba Rodrigo, no son necesariamente una empresa que tenga un producto al cual el consumidor dé un feedback directo y tengas como esta visión inmediata de cuál debería ser el siguiente paso a resolver aunque estoy seguro de que sí la tienen, pero al mismo tiempo no tienen este camino tradicional como podría ser una app direct to consumer, entonces nos preguntábamos aquí internamente, ¿cuáles son los retos de diseños que enfrenta una empresa de ciberseguridad como ustedes?, realmente me imagino que va por esta parte de pasar desapercibidos, pero también tienen que lidiar con un chorro de cosas regulatorias que de seguro ponen trabas, entonces cuéntanos un poquito ahí cuáles son los retos que enfrentan desde esta área.

Sebastián: Bueno, suele existir la concepción de que cuando hablamos de diseño inmediatamente a uno se le dispara la imagen del diseño visual, del diseño de las interfaces, en las interfaces gráficas de usuario, pero también es cierto que, por ejemplo, para nosotros es muy importante, como decías vos, lo que tiene que ver con compliance, nosotros, todo lo que tenga que ver con regulación, con el manejo de los datos, con la manipulación de esa información, los flujos, nos ponen restricciones o constraints de diseño, pero también nosotros tenemos una experiencia de usuario que va hacia dos grandes consumidores, una hacia los desarrolladores, lo que se conoce como developer experience, los developers que toman nuestros productos y tienen que utilizar nuestros SDK, nuestras APIs, tienen que integrarse y lo tienen que embeber en sus propios productos y ahí hay un trabajo fuerte para poder lograr que esa experiencia sea lo más fluida posible, que sepan cómo utilizar nuestros componentes, que entiendan cómo funcionan, que tengan la documentación, los ejemplos necesarios para poder trabajar y eso es parte de una rama de diseño que es la developer experience, pero del otro lado hay componentes que para nosotros son visibles, son interfaces gráficas de usuario que estrictamente hablando técnicamente que llegan hacia los usuarios finales, es decir, hacia los clientes de nuestros clientes, por ejemplo, cuando hablamos de un flujo de verificación de identidad y sobre todo en un flujo de verificación de identidad basada en documentos en cédulas de identidad o pasaportes en donde cada vez son más habituales, los mal llamados procesos de onboarding en donde un usuario tiene que capturar fotos de su cédula, de su pasaporte y luego sacarse una selfie, ese es un proceso bastante complejo y bastante intensivo desde el punto de vista tecnológico, también bastante propenso a vectores de ataque, y cuando nosotros construimos ese producto estamos desarrollando componentes que luego son utilizados por nuestros propios clientes para mostrárselo a sus clientes finales, entonces esa experiencia que nosotros le ofrecemos a nuestros clientes luego va a ir hacia los usuarios finales y habla en muchos casos de conversión, habla de experiencia de usuario final y ahí sí habla de componentes visuales que terminan siendo visibles, pero entonces te diría que hay como estas 3 vertientes, por un lado, constraints o restricciones desde el punto de vista de compliance de vista de la experiencia de usuario y luego respecto de los usuarios finales en los componentes que en vez de nuestros clientes en sus propios flujos, pero hay retos de diseño que tienen que ser sorteados y aparte tienen que ir conviviendo todo el tiempo con los vectores de ataque y lo que es la seguridad.

Rodrigo: Claro y ahorita justo me acabo de dar cuenta que, o sea, nosotros platicamos con muchos CPOs o Head of Product aquí en el podcast, pero me acaba de dar la impresión de que tu perfil es muchísimo más técnico dada la naturaleza de lo que hacen en VU que muchos de los perfiles de los CPOs que nos encontramos porque, primero, la parte de developer experience que está también a tu cargo como producto, o sea de eso no se encargan los desarrolladores, también es tu departamento y toda esta parte invisible el hecho de que pase por producto lo vuelve mucho más técnico, el entendimiento de la gente de productos siempre tiene que ir de la mano del técnico, porque si no, no pueden hacer su trabajo, pero particularmente me da la impresión de que en una empresa de ciberseguridad el rol de CPO se vuelve muchísimo más técnico, ¿estarías de acuerdo con esta aseveración?.

Sebastián: Sí por un lado, por el otro lado, mi background o mi perfil es bastante deforme, yo no diría que es bastante ecléctico, es bastante deforme, mi primer experiencia laboral hace veintitantos años, fue como diseñador web en páginas web estáticas en una agencia de diseño, después pasé por desarrollo muchos años, después fui líder de equipos, emprendí durante 10 años, tuve mi propia compañía, que así es como conocí a VU, y empecé a trabajar en algunos engagements con VU y finalmente terminé haciendo el traspaso, pero bueno sí, mi background es técnico, por un lado, y, por otro lado, también acompañado de lo que es consultoría en UX y en aspectos técnicos complejos he participado de proyectos en donde se desarrolló desde cero algoritmos de machine learning de base para reconocimiento facial hace unos cuantos años.

Ahora en el trabajo mío en la diaria para mí hablar con los desarrolladores es el pan nuestro de cada día, porque quiero entender las constraints técnicas que hay porque puedo de repente ver código, puedo entender código, puedo hacer una prueba de concepto por mi cuenta y pasárselo el equipo de desarrollo y, por otro lado, trabajo mano a mano con el CTO, o sea, es como si fuésemos siameses, estamos trabajando todo el tiempo a la par definiendo cuestiones que tienen que ver desde el punto de vista de la definición del producto y definición técnica, pero también desde la locación de recursos y de la conformación de equipos para poder lograr un aprovechamiento de la gente respecto de sus skills, entonces yo digo que hay un mix respecto del background mío desde el punto de vista técnico, pero también un apalancamiento muy fuerte con el CTO en donde somos prácticamente el mismo departamento, entre producto, tecnología y QA que es todo una misma transversal.

Rodrigo: Claro, esa fue la impresión que me dio ahora porque, estando más aislados, difícilmente pueden encargarse de las interfaces que no son gráficas, como que eso no me terminaba de cuajar.

¿Hasta qué punto el producto de VU es estándar y hasta dónde se personaliza según el cliente?

Rodrigo: Y, Sebas, también entendemos que de cierta forma, sobre todo a través de los SDKs, de las APIs, etcétera, tienen un producto que es bastante personalizable, pero nos preguntamos hasta qué parte también en interfaces gráficas, porque como el eje de confianza tiene que ver con la marca que te sigue de punto a punto, si por ejemplo entra a una marca, aunque sea una marca de seguridad a la mitad del proceso puede causar disonancia en el usuario, entonces, hasta qué punto los productos de VU son, digamos, productos estándar que solamente se integran y se aplican y hasta qué se personaliza según el cliente al que estén atendiendo ¿cómo juega eso en tu rol de producto?

Sebastián: Bueno, volviendo a la metáfora de lo que comentaba Artemio al respecto de que también nuestro rol es el de ser un buen camarero en un buen restaurante en donde no te das cuenta de que nunca se te vació la copa, que viene y te recomienda el plato justo y que está siempre ahí, pero vos no lo ves, pero está, para nosotros embedernos dentro del flujo de nuestros clientes y poder respetar la presencia marcaria, es poder respetar el flujo que el cliente quiere implementar, es poder darle recomendaciones, mejores prácticas, etcétera, pero también es poder respetar las decisiones que tiene nuestro cliente y en ese sentido tanto desde aquellos componentes que no se ven hacia el usuario final, pero particularmente en aquellos que se ven, esos componentes se pueden personalizar, se pueden personalizar desde la presencia de marca, se pueden personalizar desde el flujo, se pueden personalizar desde algunos componentes que se puedan reubicar respecto de cuál es la mejor distribución, el mejor layout que el cliente quiera dar y obviamente también respecto de colores, respecto de tipografías, respecto de mensajes, respecto de idiomas, que es un más digamos, como para poder estar embebido en los distintos flujos y para poder estar, pero no estar, en esta lógica que hablábamos antes.

Hay muchos clientes regionales que utilizan nuestros productos para el proceso de onboarding digital, para un proceso de verificación de identidad en donde el usuario está viendo la interfaz gráfica y es un producto nuestro y no se enteran de que es un producto nuestro, porque empieza a tomar mayor preponderancia de la marca del cliente, ahí es donde ese balance de que estamos hablando de seguridad, pero también estamos hablando de negocios, estamos hablando de no generar esa disonancia cognitiva en el usuario de que diga: “bueno, ahora apareció el policía que me viene a pedir los documentos”, sino que sea todo parte del mismo flujo.

Artemio: Claro y esta labor, Sebastián, la hacen en conjunto con el cliente o ¿queda más bien como este producto maleable que ellos pueden manipular y queda más como en responsabilidad de sus diseñadores y desarrolladores?

Sebastián: Bueno, yo diría que hay distintos sabores, digamos en eso, nosotros tenemos un producto que es parametrizable, que hay muchos aspectos de la interfaz de usuario que se pueden personalizar, la interfaz gráfica de usuario que se pueden personalizar y hay muchos otros elementos de la interfaz desde el punto de vista de las APIs del SDK propiamente dicho que también se pueden personalizar. Entonces hay clientes que lo implementan por su cuenta usando la documentación, usando ejemplos y llevándolo por el lado que lo quieran llevar, hay  otros clientes con los cuales tenemos una participación más activa por las dimensiones del proyecto, por las características que pueda llegar a tener, hay otros proyectos en donde participan nuestros partners, que ya conocen el producto y a través del conocimiento que tienen pueden hacer esa personalización y después te diría que hay otro sabor en donde en algunos proyectos hay clientes que nos acercan sugerencias, nos piden cambios respecto de la experiencia que estamos brindando, nosotros lo evaluamos, la tomamos dentro del producto y la volvemos a empaquetar y la devolvemos en una versión nueva del producto, pero te diría que tenemos todo ese espectro entre aquel cliente que lo personaliza por su cuenta y aquel cliente en el cual nosotros estamos más activos respecto de un proyecto en la diaria.

¿Qué subproducto es el más complejo de VU y por qué?

Artemio: Entiendo y dentro de este abanico de productos que tienen, Sebastián, ¿cuál considerarías que es el subproducto más complejo dentro de la compañía y por qué?

Sebastián: Espero que nadie del equipo de los distintos equipos de producto se enoje, porque lo que voy a decir puede llegar a herir susceptibilidades, pero piénsalo de esta manera, vos vas a una sucursal de un banco, te vas a abrir una cuenta, te sientas en el escritorio, le pasas tu cédula, tu documento, tu pasaporte al empleado que te está atendiendo ese empleado te dirige hacia otro que también toma tu documento, completa algunas cosas en un formulario te pide una firma, te fuiste y la cuenta fue abierta; eso es un proceso natural, normal en donde suceden un montón de cosas que tienen que resolver en nuestro caso algoritmos y que tienen que resolver a través de fuerza de cómputo que ni te pondrías a pensar, por ejemplo, yo te doy la cédula, suponte que yo te la di al revés, bueno, tienes que enderezarla, ponerla al derecho, mirarla, mirar mi cara, ver si soy yo, leer lo que dice, copiarlo, acomodarla para que no te dé el brillo, darla del dorso, ver que coincida el frente con el dorso, volverte a mirar y pedirte quizá que te saques la gorra, que te saques los anteojos para ver si sos realmente vos, volver a tomar los datos y todo eso que ocurre de manera natural y que lo puede hacer cualquier empleado de cualquier banco, es algo que tiene que resolver un algoritmo en un periodo menor a un minuto a un minuto y medio, tiene que permitirle a un usuario en cualquier lado tomar una fotografía del frente de su documento, del dorso de su documento en cualquier rotación, porque los usuarios van a seguir algunas instrucciones, pero van a tomar como le salió, te sorprenderías si vieras imágenes de pruebas internas que nosotros hemos hecho en donde te falta luz de sobra luz, te falta brillo, te sobra brillo, el documento está dañado, hemos visto casos en donde los documentos le faltan 2 cm porque se los mordió el perro literalmente, en donde tienes que identificar que esa foto que te sacaron a los 17, 18 o 19 años corresponde con los 63 años que tienes hoy y que es la misma persona, extrae la información, comparar esa información entre las distintas piezas que tiene el documento y asegurarte que seas vos y todo eso tiene que suceder en un proceso de menos de un minuto y medio con el usuario interactuando por lo menos en 3 o 4 puntos de ese flujo y aparte tiene que suceder con distintos dispositivos de distinta gama, ustedes saben que Android está muy segmentado y tiene que funcionar en dispositivos con distintos procesadores, entonces, para mí, quizás el producto que para nosotros tiene el nombre comercial de Onboarding Management, que es aquel que nos hace el proceso de verificación de identidad, yo te diría que es el más complejo porque trata de emular lo que sucede en el mundo real y es muy complejo ya en el mundo real, ahora pasarlo al mundo de los bits.

Artemio: Con ese recorrido que nos diste, me imaginé muchos retos en todas las aristas, técnicos de diseño, de administración, de equipo, de mantenimiento, de las máquinas que hacen eso, justo puedo imaginarme porque es tal vez el producto más complejo que tienen ahí.

Estamos llegando al intermedio de este programa, le recuerdo a toda la gente que nos está escuchando que en cuandoelriosuena.com ustedes pueden suscribirse a la newsletter de este programa para recibir una notificación cada que tengamos un capítulo nuevo, de igual forma les recordamos que ya estamos preparando todo para nuestra conferencia anual de este año LATAM startup todo es completamente gratuito, así que por favor ayúdenos a compartir este recurso con algún emprendedor que conozcan, alguien que esté en el equipo de liderazgo de una startup, generalmente aquí hay muchísimas conversaciones de las que todos estos perfiles pueden beneficiarse y además, la conferencia que este año estamos planeando cosas de verdad muy emocionantes, pero vámonos al intermedio y regresamos.

¿Cuántas personas conforman el equipo de producto de VU y cómo gestionan los distintos servicios que ofrecen?

Rodrigo: Bienvenidos de vuelta a esta edición de Cuando el río suena con nuestro invitado Sebastián Fernández, CPO de VU. Una pregunta importante que tenemos que hacerte, ¿cuántas personas hay en el equipo de producto? Y también en el equipo de desarrollo, porque si estás tan cerca del CTO de una vez sacamos la cifra, porque trabajan tan pegados, pero ¿cómo gestionan los distintos servicios?, ¿cuántas células de trabajo tienen?, ¿cómo está la carga de trabajo?, porque me imagino que tiene su complejidad especial al tratarse de seguridad.

Sebastián: Si junto ambas áreas, entre tecnología y producto puro, producto más UX, nosotros les llamamos PUX, bueno la industria les llama PUX, por producto y user experience, para quien no esté al tanto del acrónimo, somos cerca de 60, dentro de esos 60 dividimos equipos respecto de producto propiamente dicho que está compuesto por los product manager, product owners, y product analyst, luego el equipo de UX, que tiene diseñadores de contenido, diseñadores visuales, diseñadores de UI y diseñadores de producto, junto con su manager, luego los equipos de desarrollo que tienen distintos niveles de seniority de desarrolladores junto con los technical lead y con el líder del área de desarrollo, el equipo de QA, que se reparten en algunos casos está dedicado, en otros casos es cross a las distintas células, porque tenemos una dinámica en donde llevando los productos a la nube, existe cierta convergencia, si bien, tenemos los equipos separados y dentro de cada uno de los equipos que están separados, a su vez están separados entre evolución y correctivo o evolutivo y correctivo que los llamamos nosotros, es decir, desarrollo de nuevas features y backfixing. Los equipos luego convergen en una célula que es cross, que es aquella que coordina y gobierna el pasaje de los productos hacia la nube y luego los equipos de infraestructura y de vox, que son aquellos que se encargan de mantener todos los fierros, de ser la base de la pirámide del Atlas que soporta el universo, o por lo menos nuestro universo, que mantienen todo eso funcional, tanto los entornos internos como los entornos externos de cara a los clientes.

Luego, para poder ampliar un poco el espectro porque ahí se cuenta una parte de la película, nosotros tenemos equipos que están de cara hacia los clientes, yo te diría que se componen por preventa que es técnica, es una preventa de definición de soluciones que va de la mano del equipo de ventas, que tiene que ver con el relacionamiento del engagement con las cuentas, el equipo de delivery que interactúa con los partners o con los clientes para llevar los productos y para generar las implementaciones, son los que lideran los proyectos y de alguna manera el proceso de que el producto quede instalado dentro de los clientes y el equipo de soporte que se dedica al post delivery, una vez que delivery se va, toma esa atención de cara hacia los clientes, es decir, que toda la organización, si se quiere estar en función de que el producto se construya o se comercialice o se entregue ese soporte, en ese sentido, te diría que en algunos casos los ámbitos quedan medio de difusos porque trabajamos en muchos casos en posts, en clusters, en células que están, de alguna manera haciendo facing hacia un cliente, hacia un engagement y a partir de ahí está multidisciplinario, hay personas de ventas, de preventas. Sí yo te mostrara una taxonomía de todos los chats en Teams *que tengo abiertos, vas a ver que se da mucho ese patrón, está el cliente, está el representante de ventas, de preventa, de delivery, de soporte, desarrollo, de producto e infraestructura para trabajar el tema transversalmente eso es básicamente una conformación típica.

Artemio: Nos diste una fotografía súper completa de 0 a 1 de toda esta organización de producto/tecnología.

Rodrigo: Sin embargo, 60 personas en todo este equipo que nos acabas de comentar, son pocas, ¿no?

Sebastián: Luego está el equipo de Delivery, que tendrá unos 10 y tantos, el equipo de ventas, el equipo de preventas, el equipo en sí mismo que soporta los productos que luego son replicables en muchas de las cuentas. Nosotros somos una compañía de producto dentro de ser una compañía de producto y dentro del estadio en el cual estamos dentro del ciclo de vida de la compañía, el nombre del juego es poder escalar, poder lograr que los equipos puedan replicar los resultados en función de esos productos en las distintas cuentas.

Rodrigo: Vale, son 60 en el equipo core, y las implementaciones se cuentan un poco aparte. De todas formas es poca gente, deben de trabajar con un ambiente de high performance y además de trabajo delicado, un error ahí puede salir caro.

Una pregunta que de hecho no teníamos pensada, pero que puede valer la pena, ¿cómo miden que sus desarrolladores o su gente de producto que estén en el nivel de sharpness? Porque no solamente es productividad y que hagan bien su trabajo, sino que estén lo suficientemente enfocados para hacer esa chamba tan delicada, ¿qué evalúan?, ¿cómo saben que no se les va de las manos un equipo pequeño con tantas responsabilidades por persona?

Sebastián: En el fondo es ingeniería de software. Mi función es ingeniero de software y trato de todo reducirlo a esa herramienta que es la herramienta mía Bazel, entonces en cualquier caso es ingeniería de software y se rige por las mismas leyes de ingeniería de software.

Nosotros construimos sistemas y estamos embebidos en un sistema complejo que es el sistema de las personas, en las cuales construimos, nos embebemos con partners, nos embebemos con clientes, etcétera. Para nosotros el completion de las features, el completion del road map es clave, poder medir cómo llegamos con el road map, para nosotros el road map es público dentro de la organización, cualquiera dentro de la organización puede entrar a ver el road map, ver qué es lo que tenemos pensado construir, cualquiera dentro de la organización puede generar una ficha request o generar o reportar un bug que has encontrado.

Para nosotros es importante primero que los equipos estén conectados con el mundo real interno o externo, según el nivel en donde estén, según su equipo en el cual se encuentran. Si nosotros logramos que los equipos entiendan la sensibilidad de lo que están haciendo, el impacto que tiene en la línea de código que están poniendo, creemos que ahí es donde hay una transmisión del valor real de lo que la gente está haciendo. Como te decía, de repente generamos un nuevo release, lo desplegamos en 2, 3, 4, 5 clientes e inmediatamente estamos llegando a 4, 5 o 10 millones de usuarios en un par de semanas, yo te diría que lo más intangible, pero lo más importante es poder transmitirle a los equipos que lo que estás haciendo es algo que va a impactar en estos millones de usuarios y luego las métricas habituales que tiene cualquier equipo de desarrollo, que tiene que ver con la construcción de productos digitales o de software, que son las habituales.

Rodrigo: Entonces se recargan mucho en este elemento cultural, para poder hacer este delivery, que es transmitir esta importancia, tener cerca a los desarrolladores de los retos de negocio que están ayudando a resolver.

Sebastián: Nosotros en el fondo, si lo reduces a la mínima expresión, que es lo que estamos haciendo, y estamos todo el tiempo tratando de transmitir dentro de los equipos, que parte de la cultura, nosotros tenemos que proteger a la gente, tenemos que proteger el activo que tiene la gente que está relacionado con su información, cómo acceder a sus cuentas bancarias, cómo acceder a su billetera del gobierno en donde está toda su información de ciudadanos, ese es el impacto principal y ese es el impacto que nosotros tratamos de transmitir, incluso desde las entrevistas y el reclutamiento para la gente que se quiere sumar al equipo.

¿Cuál es la lección más grande que se ha llevado Sebastián de trabajar con un equipo de hackers?

Artemio: Desde que vino el otro Sebastián, el CEO, al programa, hablamos mucho respecto a cultura hacker y todo lo que tiene que ver con ciberseguridad y desde entonces la imagen que tenemos de la empresa es la de esta horda de hackers que están ayudando a proteger la identidad, las transacciones, toda esta variedad de servicios que ofrecen. Nos encantaría preguntarte, si pudieras escoger solo una, ¿cuál es la lección más grande que te has llevado de hacer producto con este equipo de hackers o este ejército de programadores?

Sebastián: Creo que se reduciría a que el “no” no existe. Es todo el tiempo una cuestión de estar preguntándote o cuestionando el porqué no se puede atravesar por esa puerta y quizá podemos ir por esta otra y quizá podemos ir por esta otra y quizás podemos ir por arriba y quizás podemos ir por abajo y quizá podemos encontrar la cerradura, a veces lo que suele suceder también por cuestiones culturales, por cuestiones de background, y por cuestiones de necesidad de cada organización y cada organización, conoce la cultura que tiene y suele ser la apropiada. Pero acá estamos en una lógica en donde a veces hay que poder hacer coincidir, como les comentaba antes, el mundo del compliance, el mundo de los abogados y las regulaciones, el mundo del negocio y lo que el negocio necesita convertir y los usuarios que tienen que adquirir, el mundo de la seguridad, en donde a veces lo más bobo te puede dejar afuera de la cancha, a veces puede asumir que el ataque va a venir a través de tal o cual país que está detrás del eje soviético y del eje del mal y tienen una ganzúa que te quiere atacar, entonces hacer coincidir eso, más una variable que nos rige a todos desde que nacimos, que es el tiempo, hay que hacer coincidir esas dimensiones en función del tiempo, es donde es necesario encontrar esa cultura hacker, de decir “esto es lo que viene establecido, rompámoslo, va, por otro lado, se tienen que encontrar la salida de alguna manera”. Yo te diría que ese es quizá el principal takeaway de una cultura hacker.

Rodrigo: Porque si no actúan a la velocidad que tienen que actuar, las personas de quien se están protegiendo a sus clientes sí irán a esa velocidad. Por eso es que la variable tiempo es fundamental. Y te quiero festejar la explicación, que me pareció bastante elocuente.

¿Cómo se ven las juntas de seguimiento de la C-suite de VU?

Rodrigo: Otra cosa que queríamos preguntarte, ¿Cómo hacen seguimiento o reporting entre las áreas? Nos cuentas que trabajas muy de cerca con el CTO, probablemente ahí no se hagan seguimiento porque están trabajando todo el tiempo juntos, pero ¿cómo reportan entre el resto de la C-suite, lo hacen de forma asíncrona?

Artemio:  Sí, ¿cómo es eso? Por ejemplo, nosotros aquí en el estudio cada lunes y jueves tenemos religiosamente una reunión con todas las cabezas de los proyectos, cada quien da estatus, decimos en que está trabado uno y el otro. Nos encantaría saber cómo hacen ustedes esta parte.

Sebastián: Empiezo de lo más formal a lo más cotidiano o informal. Lo más formal tiene que ver con que tenemos, yo te diría dos sesiones clave por semana, una donde nos ponemos toda la C-suite junta, que es una sesión ejecutiva de 1 hora, en donde pasamos agenda por cada una de las áreas respecto de los indicadores principales también de cuáles son las cuestiones transversales que todos tenemos que atender y luego hay otra sesión los jueves que tiene que ver con el estatus de los clientes, en donde la mesa es más reducida, pero también hay miembros de las C-suite, eso te diría que son aquellos que coordinan y gobiernan muchas de las acciones que se van haciendo en el mediano, corto y largo plazo, después tenemos, como les contaba antes, lo que sería el bottom up, que, para mí, en general, siempre es lo más rico, lo que va de abajo hacia arriba, lo que sucede dentro de las distintas células o estos clusters transversales que están trabajando con foco en tal o cual cuenta y que estaban en una situación de preventa de delivery o de post venta en donde estamos actuando tecnología, producto, UX, pre ventas, ventas, delivery, soporte, todos juntos dentro de esas mesas y ahí es donde te llevas la temperatura de cada una de las cuentas de cada uno de los productos, de cada una de las de las situaciones que estamos viviendo diario. Ahora, respecto de la C-suite, esos checkpoints que tenemos suelen ser para poder coordinar decisiones más que enterarnos de cosas. La información suele fluir por otros medios, a través de reportes que nos compartimos entre las distintas áreas, reportes mensuales o semanales que se van distribuyendo alrededor de la C-suite suele haber temas en donde nos enteramos en esas sesiones, pero más que nada tiene que ver con hacer un catch-up de lo que estuvimos viendo a lo largo de los días y tomar decisiones respecto de esos elementos, es decir, que la regla normal es que en esas sesiones ejecutivas no te enteres de algo realmente sorpresivo, porque ya lo estuviste viviendo a través de otras líneas de reporte, luego tenemos una serie de reportes estándar que cada una de las áreas eleva para que el área de operaciones ponga junta y la eleve luego al board y que sea como parte de la información de balance mensual de performance en donde hay indicadores, en nuestro caso, de cumplimiento del road map, de los warnings de los highlights de los lowlight. Eso tiene que ver más con una pieza, con un entregable formal, pero a mí me gusta más lo que va en el diario, lo que va en los capilares, más que en las arterias principales.

Rodrigo: Y además me imagino que el hecho de que tengan equipos que apliquen, no son únicamente de productos, sino también de implementación de su propio producto, entonces tienen un proceso que es un QA natural, donde todo el tiempo existe retroalimentación gracias a esas implementaciones, entiendo perfectamente que sean las que más te gustan, porque es donde hay más data rica porque está siendo utilizado lo que producen desde producto.

Sebastián: El equipo de delivery está compuesto básicamente por dos roles, los que son los Project Managers, son los Technical Delivery Managers, que también se complementa mucho con el equipo de preventa, que es un equipo netamente técnicos, que conocen desde el software de base hacia arriba a nuestros productos. Entonces, cuando desde producto hablamos con la gente de delivery, es probable que la gente de delivery encuentre casos de uso y subterfugios de nuestro producto que nosotros tenemos mapeado, pero no son tan importantes para nosotros, pero ellos los usan todos los días o información en donde yo mismo me encuentro hablando con alguien de delivery, “¿este parámetro dónde se configuraba?”, “así, así, asá”, nuestros primeros usuarios son el equipo de delivery, los primeros en la línea temporal, aquellos que primero van a tomar el producto para luego dárselo al cliente y para guiar al cliente en ese camino de implementación

Artemio: Fíjate que ya van un par de preguntas que nos dejas sin posibilidad de hacer follow-up. Ya está dicho lo dicho, mejor pasemos a lo que sigue, pero eso habla muy bien y de verdad creo que este es un capítulo del que se pueden sacar muchísimas prácticas increíbles para las startups de las personas que nos están escuchando.

¿Qué le quita el sueño a Sebastián Fernández ante los retos que enfrenta VU Security en el futuro?

Artemio: Sebastián, esta es la última pregunta del capítulo de lo que ha sido una gran charla, esta pregunta se la hacemos a todos los invitados que vienen a este espacio, como desde el capítulo 5 para acá y es la siguiente: ante los retos que enfrenta VU Security y tú cómo su CPO, ¿en los próximos años qué te quita el sueño, ¿dónde están los retos más grandes que ves para tu área y cuáles son los que más te preocupan a nivel personal?

Sebastián: Nosotros estamos embebidos en una industria que está embebida en una sociedad y hay una tendencia respecto de lo que es la gestión de la identidad que nosotros y a toda la industria nos va a estar llevando a lo largo de los próximos años que tiene que ver con empezar a considerar los datos que hacen a tu identidad digital como si fuese una moneda de cambio, como algo de valor.

Hoy hay muchos usuarios nativos digitales para quienes la información de su propia identidad circula libre en las redes por múltiples formatos: foto, vídeo, audio, texto, elementos de tu propio comportamiento que si bien no son tu identidad, pueden inferir tu identidad, por ejemplo tus hábitos y toda esa información está cursando o está fluyendo alrededor de las distintas herramientas y existe una tendencia que tiende a consolidar esa información de las identidades. Básicamente, hay un yo digital, lo que nosotros llamamos el online persona, vos mismo dentro del mundo online, que va a tender a consolidarse y que va a tender a lograr que distintas organizaciones puedan compartir información de las personas con el consentimiento de sus usuarios y que vos puedas, desde tu propia billetera digital, tener control de esa información, lo que llamamos la identidad auto soberana, sovereign identity, que es una tendencia de largo plazo, pero que es una tendencia, a mi juicio, irreversible, podrá tomar distintas formas, podría ir cambiando de color a lo largo del tiempo, pero es algo que viene potenciado por las organizaciones, potenciado por los gobiernos y también requerido por los usuarios. La capacidad de que si ya compartí mi identidad con una organización y luego quiero interactuar con otra organización, esa primera organización pueda transferir la información a la segunda con mi consentimiento, para ahorrar tiempo, para ahorrar elementos, para incrementar la seguridad. Existe un concepto en donde hoy nos parece natural, en donde vamos a una cuenta, nos queremos crear una cuenta nueva, vamos a un nuevo servicio, creamos una cuenta nueva, ponemos nuestro nombre, ponemos nuestro apellido, ponemos nuestro email, ponemos nuestro domicilio, ponemos nuestro número de documento, alguno que otro dato más, luego queremos crear una cuenta en otros servicios y hacemos exactamente lo mismo, ponemos nombre, ponemos apellido, etc. Existe lo que es el login social, pero hay una evolución a ese login social que va a estar impulsado por gobiernos, que va a estar impulsado por organizaciones no gubernamentales y por organizaciones que consolidan gobiernos, en donde la tecnología se está empezando a conformar para poder ser segura, para poder ser ubicua y para poder lograr esto que les comentaba al comienzo, de poder aportar esa seguridad sin repercutir en la conversión, sin repercutir en la fluidez.

Lo que yo imagino que en los próximos 3,4,5 años vamos a empezar a ver cada vez más servicios serios que tengan que ver con cuestiones en donde la persona manipule sus activos, en donde manipule su información, gobierno, banca, seguros, salud, en donde esa información del usuario vaya fluyendo y el usuario no tenga que estar registrándose en cada sitio ni que tampoco esté compartiéndole toda la información de un sitio al otro, sino solamente aquella que sea necesario, esa tendencia es la que me quita el sueño en el buen sentido, porque la industria está virando hacia ello.

Nosotros desde VU como compañía tenemos que poder acompañar esa tendencia e incluso en algunos casos ayudar a nuestros clientes a poder liderarla y acompañar a nuestros clientes en lo que hemos desarrollado como un modelo de madurez en la identidad digital, que va en ese camino, son 5 estadios en donde parte de la nada misma, una organización y se encuentra con este paradigma del sovereign identity, en donde creemos que la mayoría de las organizaciones van a estar jugando respecto de la identidad de los usuarios y sus atributos. Suele ser a veces algo que no es considerado parte de la identidad, pero todos tus números telefónicos, todos los dispositivos que utilizaste, los consentimientos que has dado para poder utilizar o no utilizar cierta información, todo eso hace parte de esa constelación de información tuya que va a ir consolidándose y que vos como usuario vas a tener y debieras tener el derecho de poder saber quién lo está usando, para qué lo están usando y poder denegar esos permisos en caso de que fuese necesario.

Rodrigo: Nos estamos moviendo en esa dirección con un sentido de control o con un sentido de autonomía, ¿a quién le interesa más ese cambio?, ¿a quien busca obtener esa data o quien busca protegerse?

Sebastián: Mira, es una excelente pregunta que desde hace décadas viene la industria tratando de tener sus buenos y sus malos, sus ángeles y sus diablos. Hay una tendencia en los gobiernos europeos desde GDPR, que es una ley que ha sonado varios años, que tiene que ver con la protección de datos personales, que para las organizaciones no es algo que aceita los flujos, sino que, por el contrario, trata de proteger a los usuarios y le ponen muchas restricciones a las organizaciones que también, de manera indirecta, lo pone a fabricantes como nosotros. De la misma manera, están haciendo un estándar que se conoce como EIDAS, que tiene que ver con la gestión de la identidad digital en el mundo. Y se está legislando en el Congreso de la legislación europea, está empezando a tomar forma, va por una versión 1.0, pero va a seguir evolucionando. Y creo que lo que trata de poner sobre la mesa el eje central que son los derechos de los individuos a poder gestionar su información que conforma su identidad y tratar de tener un estándar para algo que va a ser el conjunto de usuarios que se están subiendo a la red y que alguien va a tener que poner el primer estándar sobre la mesa para algo que si no, de otra manera va a terminar siendo ingobernable. Hoy tienes los casos en donde se filtran tus emails, porque vos estabas usando tal o cual servicio y lo único que puedes hacer es saber si se filtró y nada más, cambiar tu cuenta, cambiar tus casillas si son muy precavidos, pero el 99.9% de la gente no va a cambiar su casilla de mail porque fue filtrada y a duras penas van a cambiar su contraseña. El usuario atenta contra esa seguridad, las organizaciones quieren tener cada vez mayor información de los usuarios y creo que hay que regularlo, hay que generar un estándar y eso es lo que está tratando la industria, sobre todo liderada por Europa para que suceda y así allá es a donde creo que inevitablemente va a ir la tendencia.

Artemio: Qué interesante, en el último Bull Market que hubo de crypto hace unos años. Yo tuve la oportunidad de introducirme a esa tecnología y todas esas comunidades que hay en internet y particularmente este factor de identidad digital es uno con el que juegan mucho en ese tipo de conversaciones, desde que tú tienes un perfil al que se le van asociando ciertos atributos, ciertas cosas y este como este track record que está en la blockchain y es inalterable de cierta forma. Al final del día, como dices, la cosa va a cambiar de color, va a cambiar de forma, pero esta idea de tú tener una identidad y de traspasarla al lado digital y que esa identidad tenga ciertos atributos, un patrimonio, un lugar de trabajo, gustos, intereses, todo lo que conforma a una persona, va a ser muy interesante, todas las cosas que mencionas, cómo lo regulamos, cómo lo diseñamos, qué servicios existen para eso y es algo que muy poca gente está pensando en eso, porque precisamente lo damos por sentado y luego, particularmente cuando se trata de seguridad, hay una frase de un profesor que me gusta mucho, que son de “estas cosas que no importan hasta que importan”.

Sebastián: Mira, déjame que te comente algo adicional. Trabajando en el campo de experiencia de usuario muchos años me he encontrado con este sesgo de pensar, sobre todo en startups, en organizaciones, en aquellas que construyen productos. El sesgo de pensar que nuestro usuario es ideal: es un hipster, vive en Starbucks, es sustentable, prefiere andar en bicicleta antes que andar en auto, sale bien en las fotos, es fotogénico, ese no es nuestro usuario, nuestro usuario es real, de carne y hueso, si nosotros trabajamos en productos tenemos que entender que a nuestro usuario le importa muy poco nuestro producto, nuestro producto es un puente para llegar a algún lugar, el usuario se equivoca, el usuario no quiere aprender el producto, el usuario quiere pasar a otro lugar, quiere obtener el valor. Nuestro usuario es el jubilado, nuestro usuario es la persona que le va a prestar 3 segundos de atención a nuestro producto, es la persona que no está acostumbrado a utilizar un celular y esta tecnología tiene que funcionar para eso. Nosotros en el mundo actual, las compañías que trabajamos identidad digital, trabajamos para que un jubilado pueda cobrar su pensión. Y que a lo sumo, en el mejor de los casos, va a tener la ayuda de un hijo de un nieto, pero quizás no lo va a tener. En ese mundo es en el que vamos a tener que convivir en el mundo digital en los próximos años.

Artemio: Vámonos con eso. Muchas gracias, Sebastián por venir acá a compartirnos un poco de tu experiencia y de las mejores prácticas que tienen en VU. Muchas gracias, Ro por un capítulo más, gracias a todo el equipo de producción que hace esto posible y les recuerdo a todos ustedes, primero que nada, gracias, si llegaste hasta este punto del programa y de igual forma, queremos pedirte Rodrigo y yo, con el corazón en mano, que si puedes compartir este recurso con alguien que esté en la carrera de construir un negocio saludable de internet o que esté apenas rascando en la curiosidad o que esté explorando ideas alrededor de emprender un negocio con tecnología en el núcleo, por favor, háganle llegar este recurso a todas esas personas. Nos vemos a la próxima, vamos a seguir construyendo.