DNB adopta una postura proactiva para la gestión de riesgos

Necesidad de proteger los servicios financieros
Los bancos ofrecen servicios tan vitales que deben hacer todo lo posible para eliminar o reducir su exposición al riesgo. Si los sistemas bancarios dejan de estar operativos, los efectos en los clientes individuales, las empresas e incluso países enteros podrían ser devastadores.

Ya sea para garantizar el tiempo de uso de TI, la investigación de socios comerciales de terceros o la protección contra ataques cibernéticos externos, la necesidad de identificar y mitigar vulnerabilidades es una tarea abrumadora. Este es sin duda el caso de DNB que, con un gasto anual en TI de más de 500 millones de euros, cuenta con alrededor de 50 dueños del servicio que gestionan casi 1000 aplicaciones, centros de datos e infraestructuras en la nube relacionadas con TI.

En el mundo altamente regulado de los servicios financieros, DNB también necesita proteger sus 11 licencias de productos financieros y bancarios demostrando que cumple las normativas de Schrems II, Basilea III o NIST entre otros.

“Una infracción de la seguridad y una intrusión de datos tendría efectos devastadores en nuestra reputación. Podríamos perder nuestras licencias para operar y nos podrían sancionar con multas muy elevadas. Además, los clientes podrían prescindir de nuestros servicios”, afirma Anne Kristine Næss, arquitecta empresarial de la plataforma ServiceNow en DNB.

Aunque la gestión del riesgo es prioritaria para DNB, el banco descubrió que era imposible llevar a cabo un trabajo tan complejo de forma manual, con hojas de cálculo de Excel. Llevaba demasiado tiempo y, cuando los datos pasaban a estar disponibles, solían estar obsoletos.

El acuerdo regulatorio de Basilea III y los requisitos de capital relacionados con la postura de riesgo de DNB obligaban al banco a apartar grandes sumas cada año como contingencia por si se producían problemas. El banco quería un mayor control del riesgo, así como disminuir su postura de riesgo para reducir los requisitos de capital, con el objetivo de invertir más en actividades rentables, como crear nuevos productos y características digitales que satisfagan las cada vez mayores expectativas de los clientes.

Mitigación de riesgos basada en datos actuales
“Necesitábamos una herramienta que nos proporcionase una jerarquía en la que vincular nodos y ofrecer resultados de interés para diferentes marcos de trabajo”, comenta Kristine. “También necesitábamos demostrar que se cumplían las políticas. Esto supuso una tarea de gestión en la que se recogían datos en vivo, se analizaba lo que sucedía y, después, se solucionaba cualquier problema.

No hemos podido deshacernos de Excel por completo, pero las personas se han dado cuenta de que ahora es mejor fiarse de los datos de ServiceNow que confiar en sus hojas de cálculo".

DNB, que ya utiliza muchas de las soluciones de ServiceNow, implementó Integrated Risk Management para gestionar el riesgo tanto de los servicios internos como de las amenazas de terceros.

El módulo Software Asset Management (SAM) y Vulnerability Response se utilizan para realizar un seguimiento de las vulnerabilidades de los activos de software que podrían estar llegando al final de su vida útil o que necesitan parches y actualizaciones. Así, DNB se asegura de que la información de Configuration Management Database (CMDB) es correcta y los dueños del servicio cuentan con datos irrefutables que respalden la financiación para parches y otras actividades que protejan los servicios.

Security Incident Response de ServiceNow simplifica la identificación de incidentes críticos y proporciona herramientas de automatización y flujo de trabajo que aceleran la corrección. Esto permite al banco aprender de lo que ha causado el problema en el pasado y añadirlo a su postura de riesgo.

“También me gustaría hacer mención al módulo DevOps y a la próxima configuración de DevOps, que permite comprobar los incrementos de código antes de que se desplieguen y pasen a producción”, afirma Kristine. “Cumple con las políticas de riesgo como NIST, garantiza que más equipos trabajen según las prácticas recomendadas de DevOps y nos proporciona un registro de auditoría”.

Una mayor concienciación de la vulnerabilidad al riesgo
DNB cuenta ahora con un marco de trabajo centralizado de los miembros del equipo de riesgo que coordinan procesos: expertos en riesgo y seguridad en el departamento centralizado de TI y responsables de riesgo en la parte empresarial de la organización.

Con el apoyo de la tecnología de ServiceNow, DNB ha implementado un proceso de mitigación de riesgos con numerosas nuevas políticas y controles diseñados para proteger al banco, ya que permiten a los dueños del servicio estar más al tanto sobre los riesgos y asumir una mayor responsabilidad. Se centran en la adquisición oportuna de datos en tiempo real que permiten al personal evaluar correctamente los riesgos actuales y, después, dar prioridad a lo que debe ser mitigado. También incluye evaluaciones automáticas de riesgo, donde los dueños del servicio responden a preguntas para hacer frente al riesgo que ya tienen, la mitigación que van a llevar a cabo y los resultados finales. Si se realiza con éxito, el riesgo puede cerrarse.

“Nuestro trabajo ha tenido como resultado una reducción notable del riesgo para el banco y prueba de ello es el número de elementos que hemos abordado para reducir las probabilidades de que suceda algo malo”, añade Kristine. “Nuestra situación operativa es mucho mejor ahora. Esto se debe a que somos cuidadosos con todo lo que pasamos a producción y sabemos que el riesgo requiere un cambio de mentalidad y no solo un informe. Todo esto, junto con nuestra capacidad para crear informes en un buen proceso de gestión del riesgo, ha reducido significativamente las vinculaciones de capital del año fiscal actual.

Apenas tenemos tiempo de inactividad en nuestros servicios fundamentales y se producen muy pocos problemas. Y si queremos mantenernos en esta posición, Integrated Risk Management de ServiceNow entra en juego porque no nos permite disminuir los estándares. Queremos conseguir una mayor satisfacción del cliente y reducir a cero el tiempo de inactividad, los servicios afectados y las interrupciones en la seguridad, y ServiceNow nos ayuda a lograrlo”.