Caso de estudio

Cómo EY ayudó a una empresa líder en medios de pago a detectar y resolver vulnerabilidades de ciberseguridad

La ciberseguridad es una de las prioridades del ecosistema financiero e implica adoptar un nuevo mindset cultural y un programa de concientización potente.

The better the question

¿Cómo resolver miles de vulnerabilidades de ciberseguridad?

Encontrar el equipo adecuado para tener resultados positivos.

1

La ciberseguridad es una de las prioridades del ecosistema financiero. Implica no solo contar con capacidades y talento, sino también con un nuevo mindset cultural y un programa de concientización potente.

 

La digitalización expone la información financiera y los datos como nunca, lo cual fuerza a las entidades a tomar acción por la sostenibilidad de sus negocios y a tomar decisiones en torno a diferentes escenarios: ¿contratamos nuevos profesionales o contratamos una consultora? ¿Modificamos las funciones del equipo o lo recargamos con más tareas?

 

A partir de este tipo de cuestionamientos, una empresa global líder de medios de pago confió una vez más en EY para asegurar la correcta implementación de sus políticas de cumplimiento para resolver un importante backlog de actividades de ciberseguridad, sin impactar directamente en el capacity de sus colaboradores.

 

Dadas estas vulnerabilidades, la empresa estaba expuesta a diferentes situaciones externas (ciberataques) que ponían en riesgo no solo el servicio brindado a sus clientes, sino también su imagen de marca, su market share, su reputación. Además se exponía a riesgos tecnológicos vinculados con la obsolescencia de la tecnología aplicada (lenguajes y frameworks obsoletos).

Equipo trabaja con herramientas digitales

The better the answer

Un equipo interdisciplinario

La complejidad demanda integrar experiencias y conocimientos.

2

La empresa necesitaba contrarrestar los problemas propios de la tecnología aplicada. Hubo casos en los que se ayudó a realizar un upgrade y otros en los que se propuso realizar una migración de tecnología. Una vez definidos los plazos y las  prioridades, el equipo comenzó por afrontar las tareas que implicaban una resolución más inmediata y sugirió soluciones para aquellas que quedaran fuera del scope de trabajo.

 

Otra de las problemáticas de la empresa estaba dada por el alto nivel de rotación dentro del equipo. Si bien una tasa de rotación alta no representa un problema en sí mismo, en este caso la ausencia de prácticas de transmisión del conocimiento, documentación, posesión de código fuente estaban impactando en el know-how de las personas encargadas de ejecutar las tareas. 

 

EY Argentina propuso un equipo interdisciplinario para resolver progresivamente las actividades: la identificación, paso a paso, de los diferentes problemas y la resolución de estos dando prioridad a los high level y críticos. Se trabajó, de esta forma, en la creación de repositorios, acceso a documentación con información relevante y bases de conocimiento compartido para evitar que la rotación afectara el nivel de conocimiento en torno a las tareas.

 

El enfoque elegido fue el de Task-force, con el objetivo de iniciar rápidamente la resolución del backlog de vulnerabilidades mediante un squad Java (apps mayormente afectadas) y uno de Ciberseguridad, para integrar y automatizar herramientas de Cyber / IT Risk, Fortify, Webinspect y Sonatype, entre otras. Este enfoque tuvo como objetivo minimizar el impacto en las actividades Business as usual (BAU) del equipo de IT.

 

Para garantizar un flujo de trabajo ágil, se aplicó la metodología de trabajo Scrum. La implementación de metodologías ágiles fue bien recibida por el cliente, cuyo feedback constante en torno a los painpoints reportados siempre mostró un nivel de satisfacción elevado.

 

Esta metodología incluyó, en un principio, reuniones diarias que fueron acompañadas de la presentación de reportes operativos semanales e informes ejecutivos mensuales. De este modo, se fue detallando cada paso del proceso (sprint, inicio, fin, scope) en torno a la cantidad de vulnerabilidades resueltas y a la cantidad de aplicaciones de integración-onboarding, es decir aquellas que pasaron a estar automatizadas por completo.

Mujer realiza pago con reloj digital

The better the world works

Un final abierto

Resolver más que vulnerabilidades.

3

La intervención del equipo de Technology Consulting permitió conseguir resultados alentadores, que se vieron reflejados en el dashboard regional del cliente. Antes de este proyecto, el equipo local de la empresa estaba posicionado entre los de mayores issues de la región. Una vez que el proyecto se estableció, el descenso en las métricas de vulnerabilidades significó un mejor posicionamiento a nivel regional. Estos resultados pueden resumirse en más de 13.000 vulnerabilidades de ciberseguridad resueltas.

La integración-onboarding, por otra parte, hizo posible que se dependiera menos de la intervención manual de las personas, al hacer que las aplicaciones funcionaran completamente de forma automática. De esta forma, se automatizaron más de 70 aplicaciones para ejecutar herramientas de detección de vulnerabilidades.

Además, el equipo de EY no se dedicó únicamente a la resolución de vulnerabilidades, sino que cada detección de problemas fue acompañada de una oportunidad de mejora y de una recomendación. De este abordaje surgieron más de 10 oportunidades detectadas, varias de las cuales todavía hoy siguen traduciéndose en proyectos adicionales de EY.

Por último, el resultado más importante del trabajo realizado por el equipo de EY Argentina fue que el cliente tuvo una experiencia altamente satisfactoria, tanto por los resultados medibles alcanzados como por la forma excepcional de trabajo conjunto. Debido a esto, y a la naturaleza de las tareas necesarias para seguir afrontando futuras vulnerabilidades, no solo se creó un equipo dedicado a resolver un problema puntual, sino que se estableció un servicio permanente (BAU), llevado adelante por un grupo activo y experto, que hoy continúa trabajando con el cliente.

Lo que en un principio parecía ser solo una lista de vulnerabilidades por resolver dio lugar a la creación de un equipo que se integró a la empresa como un asset.


Contáctanos
¿Te interesó este contenido? Contáctanos para más información.