La empresa necesitaba contrarrestar los problemas propios de la tecnología aplicada. Hubo casos en los que se ayudó a realizar un upgrade y otros en los que se propuso realizar una migración de tecnología. Una vez definidos los plazos y las prioridades, el equipo comenzó por afrontar las tareas que implicaban una resolución más inmediata y sugirió soluciones para aquellas que quedaran fuera del scope de trabajo.
Otra de las problemáticas de la empresa estaba dada por el alto nivel de rotación dentro del equipo. Si bien una tasa de rotación alta no representa un problema en sí mismo, en este caso la ausencia de prácticas de transmisión del conocimiento, documentación, posesión de código fuente estaban impactando en el know-how de las personas encargadas de ejecutar las tareas.
EY Argentina propuso un equipo interdisciplinario para resolver progresivamente las actividades: la identificación, paso a paso, de los diferentes problemas y la resolución de estos dando prioridad a los high level y críticos. Se trabajó, de esta forma, en la creación de repositorios, acceso a documentación con información relevante y bases de conocimiento compartido para evitar que la rotación afectara el nivel de conocimiento en torno a las tareas.
El enfoque elegido fue el de Task-force, con el objetivo de iniciar rápidamente la resolución del backlog de vulnerabilidades mediante un squad Java (apps mayormente afectadas) y uno de Ciberseguridad, para integrar y automatizar herramientas de Cyber / IT Risk, Fortify, Webinspect y Sonatype, entre otras. Este enfoque tuvo como objetivo minimizar el impacto en las actividades Business as usual (BAU) del equipo de IT.
Para garantizar un flujo de trabajo ágil, se aplicó la metodología de trabajo Scrum. La implementación de metodologías ágiles fue bien recibida por el cliente, cuyo feedback constante en torno a los painpoints reportados siempre mostró un nivel de satisfacción elevado.
Esta metodología incluyó, en un principio, reuniones diarias que fueron acompañadas de la presentación de reportes operativos semanales e informes ejecutivos mensuales. De este modo, se fue detallando cada paso del proceso (sprint, inicio, fin, scope) en torno a la cantidad de vulnerabilidades resueltas y a la cantidad de aplicaciones de integración-onboarding, es decir aquellas que pasaron a estar automatizadas por completo.