Cómo EY ayudó a una empresa líder en medios de pago a detectar y resolver vulnerabilidades de ciberseguridad

La ciberseguridad es una de las prioridades del ecosistema financiero. Implica no solo contar con capacidades y talento, sino también con un nuevo mindset cultural y un programa de concientización potente.

La digitalización expone la información financiera y los datos como nunca, lo cual fuerza a las entidades a tomar acción por la sostenibilidad de sus negocios y a tomar decisiones en torno a diferentes escenarios: ¿contratamos nuevos profesionales o contratamos una consultora? ¿Modificamos las funciones del equipo o lo recargamos con más tareas?

A partir de este tipo de cuestionamientos, una empresa global líder de medios de pago confió una vez más en EY para asegurar la correcta implementación de sus políticas de cumplimiento para resolver un importante backlog de actividades de ciberseguridad, sin impactar directamente en el capacity de sus colaboradores.

Dadas estas vulnerabilidades, la empresa estaba expuesta a diferentes situaciones externas (ciberataques) que ponían en riesgo no solo el servicio brindado a sus clientes, sino también su imagen de marca, su market share, su reputación. Además se exponía a riesgos tecnológicos vinculados con la obsolescencia de la tecnología aplicada (lenguajes y frameworks obsoletos).

La empresa necesitaba contrarrestar los problemas propios de la tecnología aplicada. Hubo casos en los que se ayudó a realizar un upgrade y otros en los que se propuso realizar una migración de tecnología. Una vez definidos los plazos y las  prioridades, el equipo comenzó por afrontar las tareas que implicaban una resolución más inmediata y sugirió soluciones para aquellas que quedaran fuera del scope de trabajo.

Otra de las problemáticas de la empresa estaba dada por el alto nivel de rotación dentro del equipo. Si bien una tasa de rotación alta no representa un problema en sí mismo, en este caso la ausencia de prácticas de transmisión del conocimiento, documentación, posesión de código fuente estaban impactando en el know-how de las personas encargadas de ejecutar las tareas. 

EY Argentina propuso un equipo interdisciplinario para resolver progresivamente las actividades: la identificación, paso a paso, de los diferentes problemas y la resolución de estos dando prioridad a los high level y críticos. Se trabajó, de esta forma, en la creación de repositorios, acceso a documentación con información relevante y bases de conocimiento compartido para evitar que la rotación afectara el nivel de conocimiento en torno a las tareas.

El enfoque elegido fue el de Task-force, con el objetivo de iniciar rápidamente la resolución del backlog de vulnerabilidades mediante un squad Java (apps mayormente afectadas) y uno de Ciberseguridad, para integrar y automatizar herramientas de Cyber / IT Risk, Fortify, Webinspect y Sonatype, entre otras. Este enfoque tuvo como objetivo minimizar el impacto en las actividades Business as usual (BAU) del equipo de IT.

Para garantizar un flujo de trabajo ágil, se aplicó la metodología de trabajo Scrum. La implementación de metodologías ágiles fue bien recibida por el cliente, cuyo feedback constante en torno a los painpoints reportados siempre mostró un nivel de satisfacción elevado.

Esta metodología incluyó, en un principio, reuniones diarias que fueron acompañadas de la presentación de reportes operativos semanales e informes ejecutivos mensuales. De este modo, se fue detallando cada paso del proceso (sprint, inicio, fin, scope) en torno a la cantidad de vulnerabilidades resueltas y a la cantidad de aplicaciones de integración-onboarding, es decir aquellas que pasaron a estar automatizadas por completo.