Joven hacker sonriendo

Hackeamos su software

cero falsos positivos

Inteligencia experta + automatización eficaz

Preguntas frecuentes

A continuación, se encuentran múltiples preguntas que surgen comúnmente durante el proceso de selección y sus respectivas respuestas

Antes de entrar

  1. ¿Por qué si ya apliqué en un portal de empleo, no me invitan al proceso?

    Una vez que apliques a una de nuestras vacantes en alguno de los portales en los cuales estamos registrados, nos tomamos de 1 a 2 días en identificar candidatos potenciales, clasificar e invitar vía e-mail. Si por algún motivo no has sido invitado pasados 2 días (excluyendo fines de semana) y consideras que tu perfil encaja con lo descrito en la vacante puedes escribirnos a careers@autonomicmind.co.

  2. La aplicación del examen no me deja salir de Moodle, ¿qué puedo hacer?

    Si ya finalizaste el examen, da click en el botón que está situado en la parte inferior derecha de la pantalla para salir. Si esto no funciona, puedes intentar reiniciando el equipo con tranquilidad, pues ya para este momento habrás enviado el examen y no se perderá ningún dato.

  3. No tengo RUT, ¿cómo puedo diligenciar el formulario de tercero?

    En la página de la DIAN se explica cómo sacarlo por primera vez o cómo actualizarlo.

  4. No sé para cuál vacante me postulé, ¿cómo puedo averiguarlo?

    Escribir cualquier duda u observación respecto al proceso de selección al correo careers@autonomicmind.co.

  5. Ya me había postulado para una vacante, ¿lo puedo hacer de nuevo para otro

    perfil o para el mismo?

    Sí, lo puedes hacer, y en caso de haber pasado más de seis meses desde tu última postulación, debes hacer el proceso de nuevo desde el principio. En caso de no haber pasado los seis meses, nos escribes un correo a careers@autonomicmind.co informándonos que quieres aplicar a otro perfil.

  6. ¿Me puedo postular para dos vacantes diferentes?

    Sí, haces el proceso una sola vez y nos escribes a cuáles vacantes deseas aplicar al correo careers@autonomicmind.co

  7. ¿Qué experiencia se requiere para aplicar a las vacantes?

    Ninguna experiencia. Lo que es indispensable es una alta capacidad para investigar, resolver problemas y de esta manera aprender con autonomía.

  8. ¿Qué conocimientos previos son necesarios para aplicar a las vacantes?

    Buscamos personas talentosas con alta capacidad de aprendizaje. No importa tu carrera o si aún no te has graduado, lo importante es que te adaptes a nuestra filosofía y valores. Es preferible tener alguna experiencia con lenguajes de programación, pero no es obligatorio. Valoramos más la capacidad de resolver nuevos retos que los títulos. Nuestro proceso de selección está diseñado para que investigando adquieras por tu cuenta los conocimientos necesarios para el desempeño del cargo.

  9. ¿La empresa me capacitará para ejercer correctamente mi cargo?

    En Fluid Attacks no se exige ninguna experiencia, ni certificar los conocimientos con títulos, pero tampoco capacita a los candidatos en ningún momento. Es necesario ir adquiriendo los conocimientos suficientes y tener la actitud correcta para superar la etapa de retos y de inmersión, por medio del autoaprendizaje que exigen estas dos etapas, y esta misma capacidad es la que se valora en el proceso, dado que se requiere para cualquiera de los roles en la organización.

  10. No me funciona la aplicación de examen, ¿qué puedo hacer?

    Prueba ejecutando la aplicación como administrador. Si el problema persiste puedes intentarlo desde otro PC.

  11. No llegó el adjunto para el análisis de datos, ¿cómo lo obtengo?

    Intenta descargarlo desde aquí

  12. Se me pasó el tiempo para el examen, ¿qué puedo hacer?

    De tener un motivo justificado (bloqueos de la aplicación, reinicios inesperados, problemas de conexión), puedes escribirnos vía e-mail a careers@autonomicmind.co indicándonos qué sucedió y nosotros te indicaremos cómo proceder.

  13. No alcancé a enviar el análisis de datos, ¿qué puedo hacer?

    De tener un motivo justificado, puedes escribirnos vía e-mail a careers@autonomicmind.co indicándonos por qué no lo realizaste en el plazo dado y solicitando una nueva fecha de entrega.

  14. ¿Qué pongo en el portafolio?

    Las instrucciones y pautas para la elaboración del portafolio las puedes encontrar aquí

  15. No tengo VISA, ¿qué pongo en ese campo?

    Este campo no es obligatorio, no lo diligencies si no tienes VISA.

  16. ¿Qué hago cuando termine la prueba de temperamento?

    Cuando termines la prueba, puedes proceder con la siguiente etapa (evaluación de conocimientos). Momentos después te estaremos enviando tus resultados vía e-mail.

  17. ¿Tengo que hacer la prueba del polígrafo?

    En la gran mayoría de los casos, esta prueba no es obligatoria durante el proceso de selección. Sin embargo, debido a que nuestro negocio principal es la seguridad de la información, puede que durante este proceso de selección o su relación laboral sea necesario la presentación de este tipo de pruebas.

  18. ¿Tengo que hacer la prueba de Gallup?

    Esta prueba solo se solicita en algunos casos, por lo tanto, basta con que nos notifiques vía e-mail que has llegado a esta etapa y nosotros te indicaremos cómo proceder.

  19. ¿En este proceso se realiza algún estudio de riesgos con mis datos?

    Sí, en la etapa previa a la contratación, se realiza una confirmación de los datos del candidato en centrales de riesgo y otras referencias.

  20. No he dicho en mi empresa que estoy en otro proceso, ¿es obligatoria la

    etapa de referencias inversas?

    Sí, es obligatoria y al ser en una etapa avanzada en el proceso de selección, previa a la contratación, es necesario que se tengan claras las expectativas de todas las partes.

  21. ¿Soy muy tímido para exponer en público, es obligatorio hacer la audición?

    Esta etapa es de carácter opcional en el proceso. Sin embargo, debes tener en cuenta que en nuestro equipo de trabajo, mantener una buena comunicación es fundamental, independiente del rol que vayas a desempeñar en la empresa.

  22. ¿Es obligatorio realizar todas las etapas del proceso?

    A medida que avances en el proceso de selección, y dependiendo para qué vacante estás postulado, se te darán indicaciones al respecto.

  23. ¿Qué significa el tiempo de vigencia de la oferta?

    Significa el plazo durante el cual Fluid Attacks puede mantener la oferta. Si durante el tiempo de vigencia no se recibe la aceptación explícita y escrita del talento la oferta deja de ser válida. El espíritu de esta medida es darle con prontitud la posibilidad a otros candidatos que se encuentran en el proceso de selección.

  24. ¿De no aceptar la oferta que sucede con la inmersión que estoy realizando?

    La inmersión finaliza de forma inmediata. Fluid Attacks retirará los accesos a los sistemas de entrenamiento y procederá a enviar el reporte de tiempo para que usted por su parte realice la cuenta de cobro por las horas de entrenamiento pendientes de pago.

Después de Entrar

Fluid Attacks es una empresa dedicada y especializada en Red Team. Aplicamos la seguridad informática desde un enfoque ofensivo, buscando encontrar todas las vulnerabilidades y reportarlas lo antes posible. A continuación presentamos algunas preguntas frecuentes que se presentan cuando el talento entra a formar parte de nuestro equipo de trabajo:

  1. ¿Cuáles son exactamente las responsabilidades de mi rol?

    Fluid Attacks busca mantenerse ágil y versátil, capaz de ajustarse al cambio con velocidad. Para ello ha decidido deliberadamente mantenerse en un tamaño inferior a 50 personas, pero además de esto requiere roles genéricos y exagerado trabajo en equipo que permita el complemento de fortalezas de los individuos. En este sentido cada cargo se agrupa en alguno de los siguientes 2 tipos de roles: técnicos y no técnicos.

    • En los roles técnicos las responsabilidades típicamente son hackear sistemas, auditar código fuente, desarrollar exploits de ataque o herramientas para los mismos hackers, documentar las vulnerabilidades encontradas, configurar infraestructura como código, realizar revisiones de pares, presentar informes al cliente, enseñar lo que se sabe a clientes y compañeros, migración de información obsoleta y construcción de información, entre otras.

    • Los roles no técnicos comprenden responsabilidades de manejo de cliente, manejo de personal, pre-venta técnica, labores comerciales, representación de Fluid Attacks ante otras organizaciones, dictar charlas o seminarios, manejo de crisis, entre otras.
      En resumidas cuentas las responsabilidades detalladas de cada rol son desconocidas y se espera que usted pueda, en función de las necesidades, contribuir a cualquier aspecto dentro de alguno de los 2 tipos de roles anteriores. Vemos con muy buenos ojos los talentos altamente técnicos que quieren, después de estar en roles técnicos, migrar gradualmente a roles no técnicos.

  2. ¿Qué tipos de contrato ofrece la organización?

    Fluid Attacks solo ofrece un tipo de contrato: Laboral, a término indefinido, con todas las prestaciones de ley y parafiscales (salud, pensión, prima, cesantías, intereses a las cesantías) pagadas sobre el 100% del salario. Todos los talentos tienen el mismo tipo de contrato, sean directivos, socios, gerentes de proyecto, líderes de equipo, hackers o programadores, lo único que cambia es el monto del salario.

  3. ¿El salario ofrecido es el que ingresa a mi cuenta?

    El salario indicado en su propuesta corresponde al salario bruto. El salario neto que llega a su cuenta dependerá de variables personales que no se pueden determinar por el empleador (aporte voluntario a pensión, intereses de vivienda, número de dependientes, etc). Sin embargo con el siguiente enlace usted podrá simular un valor aproximado de ingreso neto mensual. Ingrese el salario propuesto en la casilla 1 llamada Salario. Luego presione el botón calcular. En la parte de abajo Compensación neta mensual aparecerá un valor aproximado del dinero que usted recibirá mes a mes en su cuenta de nómina.

  4. ¿Por qué la diferencia entre el salario bruto y el neto?

    Porque existen deducciones que por ley hace el estado a los trabajadores. Estos valores son estándar y no pueden modificarse ni por el talento ni por Fluid Attacks. La única variable a acordar es el monto del salario bruto.

  5. ¿El talento debe pagar la seguridad social por su cuenta?

    El talento no debe pagar nada adicional por su cuenta. Es Fluid Attacks directamente quien realiza las deducciones y hace los pagos a las entidades correspondientes (EPS, Fondo de pensión, Caja de compensación, etc.). Fluid Attacks paga sobre el 100% de dicho salario todas las prestaciones que exige la ley y que garantizan que el talento no tiene que realizar pagos adicionales a las deducciones indicadas anteriormente.

  6. ¿El salario ofrecido puede ser otro?

    No. Fluid Attacks es respetuoso de las expectativas salariales de cada individuo, no las cuestiona, ni las comenta. Cualquier expectativa es razonable y puede estar basada en salarios de otras empresas, en otros sectores o con otros modelos de negocio y financiación. Cada oferta salarial realizada por Fluid Attacks es estudiada cuidadosamente por un comité de entre 3 y 5 personas, que busca garantizar equidad interna (personas con igual desempeño histórico y alineación futura) tengan el mismo salario y que el total grupal de salario se pueda mantener en el largo plazo. Por tal motivo la propuesta que usted recibe fue evaluada con estos criterios en mente y un valor superior implica, sin nueva información, generar un reescalafonamiento. Por ende el valor ofrecido en cada propuesta que Fluid Attacks envía es definitivo y es reflejo siempre de nuestra mejor oferta. Entendemos que muchas veces esto no se alinee con números de otras empresas, pero preferimos mantener la equidad interna consistentemente, que generar casos excepcionales por factores externos fuera de nuestro control. Le recomendamos continuar leyendo para que comprenda cuándo y cómo se aumenta el salario cuando está en Fluid Attacks.

  7. ¿Existe salario variable?

    Fluid Attacks no cuenta con esquemas de salario variable para ninguna persona, incluso para los roles comerciales no existe este modelo. Consideramos que esta práctica individualiza la empresa, elimina el trabajo en equipo, aumenta la gestión, desmotiva a los talentos en los momentos de crisis y transmite un mensaje incorrecto de enfocarse más en el resultado que en el proceso.

  8. ¿Qué beneficios extralegales se tienen?

    No disponemos de beneficios extralegales tales como gimnasio, salud prepagada, días libres por cumpleaños o antigüedad, primas extralegales, bonos de alimentación o remuneración no constitutiva de salario (dinero entregado al talento sobre el cual no se paga seguridad social o pensión). Nuestra visión en este punto es centrar todos nuestros esfuerzos en el salario de forma que cada individuo, como adulto que es, pueda distribuirlo en función de sus prioridades particulares: sean éstas, salud, educación, alimentación, diversión, viajes, etc. Con esto además buscamos siempre que el aporte a pensión que se hace por un talento sea acorde al 100% de su salario y no disminuir el ahorro pensional y los costos para la empresa mediante beneficios de corto plazo.

  9. ¿Cómo se apoya el crecimiento en conocimiento de los talentos?

    Con tiempo y dinero:

    • En tiempo, todo esfuerzo que usted dedique a entrenamiento en su rol es reportable y por ende, sujeto a compensación, en caso de sobre-esfuerzo en semana o dedicación en fines de semana.

    • En dinero, para la presentación de exámenes y material oficial mediante una financiación condonable por permanencia. Una vez obtenido satisfactoriamente el certificado previamente acordado, se condona el 100% de lo financiado por una permanencia de 48 meses o proporcional si su permanencia es menor.

  10. ¿Es obligatorio certificarme?

    No es obligatorio. Es un mecanismo para el desarrollo profesional que Fluid Attacks ofrece a los talentos. Sin embargo, no tomar una de las certificaciones sugeridas para el rol actual siempre desencadenará en una conversación sobre la alineación futura para buscar otros posibles roles que se requieran y el talento considere interesantes. De encontrarse posible alineación, lo que ocurre es que la certificación a financiar sería alguna relacionada con el rol potencial.

  11. ¿El tiempo para certificarse a partir de cuanto tiempo y es negociable?

    Cuenta desde su primer día de trabajo en Fluid Attacks. Es negociable en el sentido que es una expectativa de Fluid Attacks, sin embargo cada individuo tiene su ritmo de estudio, su agenda privada personal y sus prioridades. Esperamos que en caso tal que nuestra expectativa no sea viable, el talento indique el tiempo en el cual se compromete a presentarla o su declaración explícita de que no está interesado. Lo importante es poner los puntos sobre las ies respetuosamente por los canales adecuados y no dejar las cosas en el limbo.

  12. ¿El plazo de 48 meses es negociable?

    No es negociable. Todo lo financiado por Fluid Attacks sigue el mismo modelo de condonación anterior. Sin embargo este modelo tal como está definido permite ciertas variaciones. Por ejemplo el talento puede decidir no certificarse en nada, o pagar las certificaciones o el material por su cuenta y por ende la financiación no es requerida en su totalidad. También es posible retirarse antes de 48 meses y la condonación es proporcional. Finalmente la certificación y el conocimiento adquirido son un activo del talento y se va con el talento al retirarse de la organización.

  13. ¿Qué pasa si pierde el examen?

    No pasa nada por perder el examen, pasa algo es al no estar dispuesto a seguir intentándolo. Fluid Attacks busca el estudio (proceso) por encima de la certificación en sí (resultado). Por tal motivo así como cuando se gana la certificación no hay revisión salarial (ver pregunta sobre criterios para la revisión salarial y re-escalafonamiento), cuando se pierde no hay ningún efecto adverso. De hecho lo que ocurre es que Fluid Attacks, si usted lo desea, puede pagar el retest e incluirlo en la financiación. Este ciclo puede repetirse indefinidamente en tanto se evidencie esfuerzo y dedicación para obtenerla (reporte de tiempo en entrenamiento). Tenemos personas que han presentado el mismo examen hasta 4 veces siempre con financiación de Fluid Attacks. Finalmente si el talento no gana el examen y no quiere realizar más intentos simplemente se realiza una deducción de nómina mensual durante los siguientes 24 meses y en caso de retiro se deduce de la liquidación el saldo pendiente.

  14. ¿Cuánto es el valor exacto de la financiación para la certificación?

    El valor exacto solo se conoce al momento de la compra, pues esta varía en función del tipo de certificación, los componentes que usted desee financiar (examen y/o material oficial), cambios de precios por parte de los proveedores de certificación, entre otros. Para propósitos de referencia existen exámenes desde $300 USD hasta $1000 USD.

  15. ¿Cómo es el manejo del tiempo?

    Todas las personas acuerdan con su líder directo un horario de referencia personal de 48 horas semanales entre Lunes y Viernes iniciando a las 7 AM. Este horario de referencia debe intersectarse en un 75% con el horario de nuestros clientes (7AM a 6PM COT). Sin embargo, el horario es una referencia, usted sabe las fechas de sus compromisos, por tal motivo usted notifica oportunamente, sin necesidad de pedir permiso, sobre las excepciones en el horario de referencia. Eso le permite tener autonomía y libertad sin burocracia cuando su rol y compromisos adquiridos así lo permiten. El horario de referencia también puede cambiarse de mutuo acuerdo con el líder cuando existan cambios no excepcionales. Del mismo modo que existe libertad cuando los compromisos lo permiten, existe cero tolerancia al incumplimiento con fechas de entrega o reuniones con terceros, sean clientes o compañeros de trabajo.

  16. ¿Existe la posibilidad de ajustar los horarios si estoy en la universidad?

    En el marco de lo definido en la respuesta anterior si.

  17. ¿Cómo se realiza el reporte de tiempo?

    Se utiliza un sistema de reporte de tiempo llamado TimeDoctor que permite llevar control en tiempo real, sin esfuerzo adicional por parte del talento, de los esfuerzos dedicados a cada cliente y proyecto. Este sistema registra toda la actividad del talento realizada mientras declara que está trabajando, pero al mismo tiempo puede ser desactivado por el talento cuando no esté trabajando para realizar actividades personales. Esto nos permite un sano balance entre control y autonomía. No existe una cuota de tiempo total laboral esperado, dejamos a criterio del talento este valor. Sin embargo en los casos excepcionales que un talento supera las 48 horas semanales de forma sistemática, la organización unilateralmente ajusta sus asignaciones, además de otorgarle días compensatorios lo antes posible.

  18. ¿Por qué la cuota de reporte no es 48h si el horario es de 48h?

    Porque el horario de referencia determina más una expectativa de disponibilidad con el mundo que una dedicación focalizada. Entendemos que cada individuo tiene diferentes ritmos de trabajo y además varían semana a semana, por ello esperar una dedicación rígida de 48 horas es un absurdo. Adicionalmente nuestro método de medición de esfuerzo es bastante preciso y estricto por lo cual nos enfocamos en reportar la realidad.

  19. ¿Existe un código de vestuario?

    Podemos ejecutar proyectos en la sede de Fluid Attacks o en el cliente:

    • Cuando asistimos a la oficina no hay código de vestuario. Podemos vestir cómodamente.

    • Cuando ejecutamos los proyectos en las oficinas del cliente, debemos conocer y cumplir el código de vestuario del cliente.

  20. ¿Debo trabajar fines de semana o en las noches?

    No es usual que la empresa solicite esta situación. Si ocurre es algo excepcional. Para clarificar las expectativas puede asumir un peor escenario en el año de 4 fines de semana y 10 noches. Estos valores corresponden a solicitudes de la empresa y no cuentan con aquellas veces que el talento requiere trabajar fines de semana y en las noches por decisiones unilaterales derivadas del manejo personal del horario durante la semana.

  21. ¿En qué lugares se trabaja?

    Podemos ejecutar proyectos en la sede de Fluid Attacks o en el cliente.

  22. ¿Existe teletrabajo?

    No existe teletrabajo de forma sistemática. El teletrabajo es posible como una excepción, en la cual, dependiendo de sus funciones del momento, puede realizarse para atender calamidades de fuerza mayor.

  23. ¿Puedo adelantar vacaciones?

    En Fluid Attacks puedes adelantar las vacaciones incluso si no tienes todos los períodos cumplidos. Estas deben solicitarse mínimo con 30 días calendario de anticipación, estarán sometidas a aprobación en función de otras que han sido solicitadas primero (FIFO). Debe recordarse que el mínimo periodo de vacaciones que se puede solicitar es aquel que permita mínimo 5 días de descanso, incluyendo fines de semana. Si usted tiene algún asunto eventual excepcional no tiene que sacar vacaciones para ello sino que simplemente notifica la excepción correspondiente.

  24. ¿Cuándo se revisa el monto del salario asignado?

    El salario se revisa en 3 posibles circunstancias. La primera, llamada revisión anual, es de carácter obligatorio y ocurre después de transcurridos 12 meses con el mismo salario. La segunda, llamada revisión extemporánea, es de carácter opcional y ocurre antes de que se cumplan 12 meses con el mismo salario. La tercera, llamada revisión solicitada, es en cualquier momento que el talento solicite una revisión salarial. Esta última se llama solicitada pues las dos primeras, anual y extemporánea, son siempre realizadas por Fluid Attacks sin que el talento las solicite (unilateralmente).

  25. ¿Cuáles son los posibles resultados de la revisión salarial?

    En cualquier tipo de revisión, sea anual, extemporánea o solicitada, las posibilidades son 2. La primera, llamada de ajuste por inflación, resulta de determinar que el salario actual es el apropiado, por lo cual el salario no cambia o se ajusta como mínimo según el incremento del SMLMV del año anterior. La segunda, llamada de re-escalafonamiento, resulta de determinar que su salario actual debe ser ajustado a un escalafón más alto.

  26. ¿Qué determina el salario?

    El salario se encuentra determinado por 3 aspectos: Desempeño histórico, alineación a futuro y capacidad de pago grupal.

    • El desempeño histórico corresponde a una entrega de valor constante en el marco de los valores y procesos organizacionales.

    • La alineación futura corresponde a que su visión y la visión de Fluid Attacks se encuentran totalmente alineadas y por ende su plan de carrera puede desarrollarse a largo plazo dentro de la organización.

    • La capacidad global de pago es ajeno al talento y corresponde a la capacidad de Fluid Attacks de cumplir los compromisos con todos los talentos a largo plazo.

  27. ¿Qué NO determina el salario?

    El salario no se encuentra influenciado por su nivel de escolaridad, sus certificaciones, experiencia dentro y fuera de Fluid Attacks, jerarquía, salario en su anterior empresa o expectativa salarial. El salario solo se encuentra determinado por los factores arriba indicados. Esto significa que existen hackers o programadores que ganan más que sus jefes, significa que no siempre el más antiguo gana más, que hay bachilleres que ganan más que personas con maestría, que más certificaciones no significa más salario. Todos estos factores pueden incrementar su salario sólo si se manifiestan a través del desempeño histórico y la alineación futura, y si Fluid Attacks puede pagar su salario en el largo plazo.

  28. ¿Cómo se determinan las variables de salario para un nuevo talento?

    El desempeño histórico y la alineación futura de un talento nuevo que nunca ha trabajado en Fluid Attacks se estiman a partir de su proceso de selección. Por esta razón el proceso es detallado y riguroso, sin embargo, pueden ocurrir dos escenarios de error posible. Subestimación, en cuyo caso realiza revisiones de salario extemporáneas o sobre-estimación, con lo cual la revisión anual dará como resultado solo ajustes por inflación.

  29. Al cabo de 1 año de trabajo cuál sería el salario estimado?

    Ver pregunta 23

  30. ¿Cuáles son los rangos salariales disponibles?

    En Fluid Attacks existen salarios desde $1.4M COP hasta $14M COP. A salarios menores más cantidad de personas con ellos, a salarios más altos el número de personas con ellos disminuye. Es decir, estos valores siguen una distribución exponencial.

  31. ¿Qué se espera profesionalmente de un talento en Fluid Attacks?

    En Fluid Attacks tenemos tres valores inamovibles y no-negociables:

    • HONESTIDAD: Se espera que el talento se adhiera estrictamente al código de ética, que acepte genuinamente nuestra filosofía de trabajo, hablando siempre con la verdad, utilizando oportunamente los canales definidos y siguiendo el valor de la prudencia. Se espera un cuidado inmaculado de la información confidencial de Fluid Attacks y los clientes, así como un uso responsable del conocimiento de hacking. No hackear sin autorizacion expresa, incluso fuera de Fluid Attacks

    • EQUIPO: En cuanto al trabajo en equipo, se espera que el talento apoye a sus compañeros sean pares o líderes en aquellas actividades que no le gustan pero que la naturaleza del trabajo demanda y que trabaje de forma dedicada y concentrada en los proyectos asignados, preferiblemente terminándolos antes de tiempo sin sacrificar calidad.

    • DISCIPLINA: Se espera de un talento de Fluid Attacks que se auto-gestione de inicio a fin sin la necesidad de un líder, que cumpla los tiempos de entrega sin excusas, que llegue a tiempo a todo compromiso con terceros, que la revisión de sus entregables requiera cero ajustes, que se involucren voluntariamente en resolver los problemas que tiene la empresa, y que se empodere en llevar por sí solo hacia adelante iniciativas difíciles que la compañía enfrenta.

      Finalmente se espera que estas expectativas se cumplan siempre, de forma constante y no eventual, y que el rigor en su aplicación crezca con el tiempo.

  32. ¿Qué se espera técnicamente de un talento en Fluid Attacks?

    Encontrar todas las vulnerabilidades existentes y reportarlas lo antes posible. Para ello se espera que el talento:

    • Programe de forma elegante, funcional y con tipos.

    • Haga pasos diarios a producción.

    • Busque hacer funcionar las cosas, no excusas para no hacerlas.

    • Hackee los sistemas del cliente sin ser detectado.

    • Extraiga la mayor información posible para hacer consciente al cliente de los impactos verdaderos.

    • Documente las vulnerabilidades de forma inmediata.

    • Reporte todas las vulnerabilidades encontradas.

    • Si instala backdoors estos sean siempre notificados y posteriormente desinstalados.

    • Hackee el máximo número de sistemas del cliente en el tiempo asignado.

    • Encuentre vulnerabilidades no evidentes y de alta criticidad.

    • Enseñe a sus compañeros nuevas técnicas de hackeo sin celos ni actitud pitagórica.

    • Aporte al desarrollo de los productos en cuestión.

    • Ante un bloqueo de un proyecto se dedique a su actividad por defecto (migración, producto, artículos, etc).

    • Busque primero la solución por sí solo con actitud investigativa.

    • Cuando la solución no llega alce la mano para aprender a pescar, no para que le entreguen el pescado.

      En términos generales una persona dedicada, que comparte y que cumple sin excusas.

  33. ¿Puedo crecer en Fluid Attacks?

    Para responder esta pregunta categorizamos el crecimiento en 3 niveles. Crecimiento en poder, conocimiento y dinero.

    • El crecimiento en poder tiende a ser bajo pues nuestra estrategia no es crecer en personal sino crecer en productos altamente competitivos, por ende las posiciones gerenciales se abren solo cuando existen retiros de personal. No obstante, nuestro CEO actual comenzó como Ingeniero de Soporte hace 10 años.

    • El crecimiento en conocimiento consideramos que es alto, pues controlamos internamente las tecnologías que usamos (el cliente no la controla), renovamos constantemente nuestras herramientas, auditamos muchos clientes por ende debemos aprender y conocer lo viejo y lo nuevo en tiempo récord, los proyectos son cortos, por ende, el aprendizaje constante es frecuente y finalmente en el ámbito de la seguridad y el hacking tenemos una profundidad y experiencia regional como para considerarnos la empresa de Hacking más grande de la región Andina y Centroamericana.

    • El crecimiento en dinero tiende a ser medio, en primera instancia porque el salario en Fluid Attacks no está únicamente atado al poder (escalafón no técnico), sino también al conocimiento (escalafón técnico), por ende es común encontrar ingenieros que ganan más que sus jefes. Ver ¿Qué determina el salario?

  34. ¿Mi rol puede evolucionar al transcurrir suficiente tiempo y según las

    certificaciones y conocimientos adquiridos?

    La permanencia, las certificaciones y conocimientos no garantizan evolución en el rol. Uno puede estar mucho tiempo en el mismo cargo, certificarse, aprender de muchas cosas y no aumentar el desempeño o no poner estos factores al servicio de la empresa con dedicación. Por tal motivo ninguna de esas variables garantiza evolución en el rol. Se puede evolucionar en el rol si su desempeño mejora trimestre a trimestre, si usted siguiendo el proceso definido y con dedicación entrega resultados mejores consistentemente que sus compañeros.

  35. ¿Cómo se reconoce el desempeño que supere lo esperado?

    Fluid Attacks tiene una filosofía simple en esta dirección, el desempeño constante más de lo esperado se reconoce mediante el re-escalafonamiento salarial. Es aún más reconocimiento cuando este se produce de forma extemporánea (antes de 12 meses). Esto implica que el reconocimiento siempre es en privado y que siempre se traduce en un nuevo estándar de desempeño futuro. Esto implica que ahora en el nuevo escalafón se espera más del talento, por lo cual a medida que se realizan reescalafonamientos el “más de lo esperado” es más difícil de lograr.

  36. ¿Si no soy reescalafonado significa que voy mal?

    En lo absoluto. Si en una revisión salarial no hay re-escalafonamiento quiere decir que el salario asignado se considera correspondiente al desempeño histórico, a la alineación futura y equivalente a compañeros con los mismas evaluaciones en dichas variables. A medida que más tiempo se permanece en Fluid Attacks, su salario comienza a converger asintóticamente al rango salarial posible a través de los reescalafonamientos que ha obtenido y estos se vuelven menos frecuentes. Cuando una persona está en un rango salarial superior a su desempeño o la alineación futura no corresponde, se tiene una conversación privada con el talento para hacer un plan de mejora que de no implementarse en el corto plazo generará el retiro del talento de Fluid Attacks. Si dicha conversación no ocurre significa que todo va acorde a lo planeado.

  37. ¿Cuál es nuestro stack tecnológico?

    Toda nuestra tecnología se encuentra en AWS, utilizando Kubernetes para ambientes de producción y efímeros, así como para los agentes de CI/CD. Nuestra infraestructura se encuentra toda como código en Terraform, Ansible y Dockerfile. Utilizamos Gitlab as a Service para la orquestación de estos procesos (git, docker registry, issues, etc). Los backends de servicios y las armas de ataque están desarrollados en Python, el frontend se encuentra en migración a React sobre Typescript solo con componentes stateless. El backend está en migración a GraphQL. La documentación y página web toda esta escrita en AsciiDoc y utiliza en todos los casos la estrategia de generación estática mediante Pelican. Los sistemas operativos en estaciones de trabajo son de elección de cada individuo, pero abundan los Debian y sus derivados de seguridad como Kali. Algunos renegados usan Arch o NixOS. Dentro de AWS usamos servicios serverless como Dynamo para base de datos, S3 para almacenamiento de alta velocidad y RDS para bases de datos relacionales. En el frente de clusters usamos EKS para evitar mantener componentes complejos del cluster. Utilizamos servicios externos como OneLogin para federación de identidad, Rollbar para telemetria, Slack para chatops, GitPrime para analítica de productividad, Vault para gestión de secretos efímeros, Helm para la administración del cluster, Launch Darkly para los feature flags, Burp para ataques web, Canvas para ataques a infraestructura, Nessus para análisis preliminar de vulnerabilidades, entre otras.

  38. ¿Cuál es nuestra metodología de desarrollo?

    Fluid Attacks documenta, programa y configura infraestructura todo mediante código. Esto permite un uso de Git extensivo, un control riguroso de los cambios y facilidades inigualables de rollback. Seguimos trunk based development como columna vertebral, teniendo solo un ambiente de largo plazo (producción) y una rama par asociada (master). No existen otros ambientes ni ramas de feature. Trabajamos con filosofía mono-repo, por ende disponemos de relativamente pocos repos. Cada desarrollador tiene solo una rama (cero inventario) y debe integrarse con ella antes de hacer Merge Request, es decir, no son permitidos Merge Commits. Nuestra historia es lineal y por ende el rebasing constante es imperativo. No existen analistas de pruebas o de calidad, por ende las pruebas manuales las realiza el mismo desarrollador siguiendo un protocolo de evidencias establecidas que debe ir en el Merge Request. El desarrollador es responsable de la automatización de pruebas, sean de unidad o de integración. Algunos productos ya disponen de suite de pruebas con coberturas de más del 90% de sus líneas de código efectivas. El desarrollador es responsable de sus cambios (DevOps real), de monitorear las tecnologías mediante telemetría (chatops) y de hacer rollback si así se requiere. Se utiliza extensivamente CI/CD para el paso a producción logrando una tasa de 5.7 salidas a producción diarias, el despliegue se hace a cualquier hora, por ende no hay necesidad de ventanas de mantenimiento ni de los trasnochos asociados. Se espera de todo desarrollador que ponga en producción al menos 1 cambio al día y deseable más de 1. Para esto utilizamos una filosofía llamada micro-cambios (cambios a producción de menos de 100 deltas) y además la activación de Feature Flags si se considera aplicable. El CI ejecuta linters en modo nazi (su configuración más estricta posible y rompiendo el build ante el más mínimo fallo), esto nos permite tener aplicaciones que sean agradables de mantener y evolucionar, pues el código está tan homogéneo que no se sabe quién lo programó. Todo cambio antes de pasar a producción pasa por un proceso de Peer Review por parte de un compañero con conocimiento profundo del repositorio (merger). Este proceso rechaza aproximadamente el 30% de las solicitudes de cambio y obliga a la revisión y generación de un nuevo Merge Request (transacciones más que conversaciones). La infraestructura es inmutable, por ende los contenedores no tienen interfaces de gestión SSH o RDP para modificarlos. Esto hace obsoletos los usuarios root, así como la gestión de claves asociadas. Todo lo anterior hace que no usemos Scrum ni ninguna de sus ceremonias derivadas pues lo consideramos obsoleto para esta forma de desarrollo ultra-rápida.

  39. ¿Cuál es nuestra visión tecnológica de largo plazo?

    Publicar a Internet todos nuestros repositorios de aplicaciones e infraestructura. Creemos que la transparencia en código obliga a los más altos estándares de seguridad y calidad. Declara al público que puede auditar, revisar por sí mismo y es una muestra de seguridad en el trabajo realizado. Obliga a la eliminación de claves quemadas en código y facilita que el trabajo de cualquier ingeniero sea visible al mundo. Creemos en arquitecturas simples, sencillas, incluso en monolitos. Los micro-servicios en el tamaño de nuestras empresas representan un sobre dimensionamiento arquitectónico en lugar de una necesidad real. Creemos en la programación funcional incluso en lenguajes que no lo obligan estrictamente. Para nosotros esto es más una convicción en cómo programar más que un debate filosófico de herramientas. Del mismo modo, preferimos el tipado estático que el dinámico, así se logre con linters adicionales. El punto es apalancarse lo más posible en herramientas existentes en vez de reinventar la rueda.


Estado de los servicios - Términos de Uso