Necessidade de proteger os serviços financeiros
Os bancos fornecem serviços vitais. Por isso, devem fazer tudo o que puderem para eliminar ou reduzir a exposição a riscos. A queda de sistemas bancários pode ter um efeito devastador sobre clientes individuais, empresas ou países inteiros.
Seja garantindo o tempo de atividade da TI, apostando em parceiros comerciais de terceiros ou oferecendo proteção contra ataques cibernéticos externos, a necessidade de identificar e mitigar vulnerabilidades é uma tarefa desafiadora. Esse é certamente o caso do DNB que, com um gasto anual de TI de mais de € 500 milhões, tem cerca de 50 proprietários de serviços que lidam com quase 1.000 aplicativos relacionados a TI, datacenters e infraestruturas em nuvem.
No mundo altamente regulamentado dos serviços financeiros, o DNB também precisa proteger as licenças de 11 produtos bancários e financeiros, comprovando a conformidade com fiscalizadores, como Schrems II, Basel III e NIST.
"Uma violação de segurança e dados seria devastadora para nossa reputação. Poderíamos perder nossas licenças para operar e receber multas extraordinárias, e os clientes poderiam migrar para outros bancos", diz Anne Kristine Næss, arquiteta empresarial da plataforma ServiceNow no DNB.
O gerenciamento de riscos é elevado na agenda do DNB, mas o banco descobriu que seria impossível fazer esse trabalho complexo manualmente e com planilhas do Excel. Muito tempo era gasto e, quando os dados ficavam disponíveis, já estavam obsoletos, na maioria das vezes.
O acordo regulatório de Basel III e os requisitos de capital relacionados à postura de risco do DNB exigem que o banco reserve grandes quantias a cada ano como medida preventiva. O banco queria ter mais controle de riscos e poder diminuir a postura de risco para reduzir os requisitos de capital. Dessa forma, ele poderia investir esse dinheiro em atividades mais lucrativas, como a criação de novos produtos digitais e recursos que atendessem às expectativas crescentes dos clientes.
Mitigação de riscos com base nos dados atuais
"Precisávamos de uma ferramenta que fornecesse uma hierarquia para vincular nós e entregar resultados que fossem de interesse para diferentes estruturas", afirma Kristine. "Também precisávamos provar que as políticas estavam sendo seguidas, o que exigia gerenciamento de tarefas para que as pessoas pudessem coletar dados ativos, ver o que estava acontecendo e, em seguida, agir.
Ainda usamos o Excel, mas agora as pessoas veem que é melhor confiar nos dados da plataforma ServiceNow do que nas planilhas."
Já usuário de muitas outras soluções ServiceNow, o DNB implementou o ServiceNow Integrated Risk Management para gerenciar o risco de serviços internos e ameaças de terceiros.
O módulo Software Asset Management (SAM) e o Vulnerability Response são usados para rastrear vulnerabilidades em ativos de software que podem estar chegando ao fim da vida útil ou que precisam de patches e atualizações. Assim o DNB garante que as informações no Configuration Management Database (CMDB) estejam corretas e que os proprietários de serviços tenham dados corretos para viabilizar o financiamento de patches e outras atividades que tornam os serviços seguros.
O ServiceNow Security Incident Response simplifica a identificação de incidentes críticos e fornece ferramentas de fluxo de trabalho e automação que aceleram a correção. Dessa forma, o banco aprende com o que causou problemas no passado e adiciona o conhecimento à postura de risco.
"Eu também gostaria de mencionar o módulo DevOps e a próxima configuração DevOps, que permite verificar os incrementos de código antes da implantação e do envio para produção", diz Kristine. "Isso atende a políticas de risco, como NIST, e garante que mais equipes trabalhem de acordo com a prática recomendada do DevOps e nos forneçam uma trilha de auditoria."
Maior conscientização sobre a vulnerabilidade de riscos
Agora o DNB tem uma estrutura de membros da equipe de risco centralizada que coordenam os processos: defensores de risco e segurança na TI centralizada e gerentes de risco em todo o lado comercial da organização.
Com o suporte da tecnologia ServiceNow, o DNB implementou um processo de mitigação de riscos com muitas novas políticas e controles projetados para garantir a segurança do banco. As políticas e os controles tornam os proprietários de serviços mais responsáveis e conscientes dos riscos. Como eles se concentram na aquisição de dados em tempo real, a equipe consegue avalia os riscos atuais e, em seguida, priorizar o que precisa ser mitigado. Eles também apresentam avaliações de risco automatizadas, com perguntas às quais os proprietários de serviços respondem referentes ao tratamento dos riscos em questão, a ação de mitigação escolhida e os resultados. Quando o resultado é positivo, o risco pode ser fechado.
"Nosso trabalho definitivamente reduziu o risco do banco. E a prova disso é o número de itens que abordamos para reduzir a probabilidade de algo ruim acontecer", acrescenta Kristine. "Nossa situação operacional é muito melhor do que antes. Isso porque tomamos muito cuidado com o que colocamos em produção e reconhecemos que o risco significa uma mudança de mentalidade, não apenas algo a ser relatado. Essa postura aliada à nossa capacidade de relatar um bom processo de gerenciamento de riscos já resultou em uma redução notável das vinculações de capital para o ano fiscal atual.
"Agora temos muito pouco tempo de inatividade em nossos serviços essenciais e muito poucos problemas. E se quisermos manter essa posição, o ServiceNow Integrated Risk Management entra em ação porque impede a queda de padrões. Queremos oferecer maior satisfação ao cliente, tempo de inatividade zero e zero serviços afetados ou quebras de segurança, e a ServiceNow está nos ajudando a fazer isso acontecer."