Estrategia de servicio e implementación ágil de cambios

El rediseño del servicio de gestión de vulnerabilidades de seguridad

Punto de partida

Uno de los equipos de ciberseguridad de la compañía farmacéutica con la que llevamos trabajando varios años nos pidió rediseñar su servicio de gestión de vulnerabilidades antes de escalarlo internamente. El objetivo era generar una cultura de responsabilidad compartida aportando recursos y apoyo a los equipos técnicos para incentivar la resolución proactiva de vulnerabilidades y promover un sistema de priorización claro en función de los niveles de riesgo detectados.

Reto

Agilizar el proceso de reparación de vulnerabilidades de los sistemas de la compañía para fomentar su atención de forma temprana, incrementando su efectividad.

Resultado

Teniendo en cuenta los resultados de la investigación y comprendiendo que no todas las personas que usan el servicio tienen el mismo conocimiento técnico, se llevó a cabo el rediseño del proceso, y cada punto de contacto, para optimizarlo ofreciendo las herramientas y el apoyo necesarios de acuerdo al momento del proceso en el que se encuentran.

Por otra parte, se diseñó una web informativa no code, es decir, creada sin lenguaje de programación, donde se detalla el paso a paso para las personas que se inician en el proceso de gestión de vulnerabilidades, o para las que necesitan consultar dudas o resolver excepciones.

Sector
Farmacéutico

Volumen de incidencias
Gestión de miles de notificaciones de vulnerabilidades anuales

Impacto geográfico
Global

Servicios
Investigación
Diseño de servicios
Diseño de procesos
Diseño digital

Duración
1 año

Año
2023

Equipo
Rosa Torguet
Erika Silvestri
Verónica Di Rico

¿Cómo fue el proceso de trabajo?

Habiendo trabajado en otros proyectos de la organización, teníamos claro que no todas las personas tienen el mismo conocimiento técnico. Mientras que para algunos los procesos técnicos no generan ninguna barrera, para otros el apoyo es fundamental ya que, sin conocimientos técnicos gestionar las vulnerabilidades informáticas puede ser muy frustrante.

Tener las herramientas y la información adecuada sobre el proceso, explicado de una manera fácil y ofreciendo apoyo en cada momento es fundamental para lograr la efectividad.

Para conseguirlo, diseñamos un proyecto dividido en 4 fases centrado en entender el proceso de detección y reparación de vulnerabilidades, detectar las necesidades de los distintos perfiles de usuarios e identificar las oportunidades de mejora de la experiencia dentro del ecosistema tecnológico de la compañía.

Investigamos para entender el proceso y detectar las diversas necesidades.

Hicimos sesiones de trabajo con el cliente para entender y mapear el proceso de detección y reparación de vulnerabilidades a través de entrevistas con personas de distintos equipos y roles. Identificamos los distintos tipos de usuarios y sus necesidades.

Mapeamos el journey del servicio end-to-end actual y futuro.

Tras comprender el proceso de reparación de vulnerabilidades visualizamos el proceso completo actual y el futuro para mostrar todas las oportunidades de mejora detectadas de acuerdo a las necesidades y perfiles de usuario identificados. Conceptualizamos un modelo de gestión de vulnerabilidades integrado en los procesos de desarrollo de los equipos técnicos para incentivar la remediación proactiva de vulnerabilidades.

En sesiones con el equipo del cliente, priorizamos los puntos clave del servicio para prototipar la nueva propuesta del servicio.

Prototipamos una solución teniendo en cuenta las necesidades del negocio y de cada perfil.

Planteamos una solución de diseño estratégico para los puntos de contacto más importantes con el objetivo de hacer el proceso más fluido y que todas las personas puedan empezar y terminar la reparación de vulnerabilidades de una forma ágil y efectiva. También dimos forma a una página web informativa interna con todo lo necesario acerca del proceso e información de contacto en caso de necesitar apoyo.

Iteramos para proponer diseños mejorados.

Para definir las secciones, el contenido y el diseño de las infografías de la página web informativa trabajamos muy de cerca con el equipo del cliente en un proceso de iteraciones que nos ayudó a plasmar información técnica muy compleja de forma accesible usando principios de comunicación clara.

Queremos replicar esta forma de repensar nuestros servicios a todos nuestros equipos. Esta manera de mostrar el proceso lo hace accesible a todas las personas que los usan pero además lo cuenta de forma transparente y nos ayuda a prepararnos para las auditorías internas y externas por las que pasan todos nuestros procesos de seguridad.

Director de redes y servicios de seguridad
Usuario de alta frecuencia

El resultado

Rediseñamos el servicio de gestión de vulnerabilidades y los puntos de contacto clave aportando una página web informativa de referencia para ayudar a todos los usuarios y usuarias a entenderlo desde el inicio.

Para que la solución fuese ágil de implementar, la diseñamos dentro de la plataforma Sharepoint que la compañía usa para sus webs internas. Para ello tuvimos en cuenta la estructura modular de la herramienta y sus restricciones en cuanto a elementos visuales.

El resultado fue un proceso mejorado, con notificaciones más claras, explicación del paso a paso para las personas que lo necesitan y acceso ágil a los equipos de operaciones a cargo de la gestión de dudas y excepciones. De esta forma el equipo se preparó para el escalado del servicio con una mayor emisión de tickets de vulnerabilidades que se pueden gestionar de forma más ágil.

¿Qué dones utilizamos?

Estas fueron las habilidades y capacidades clave que aportamos desde Mineral Empathy para que el proyecto fuese un éxito. 

Empatía

Para escuchar a todas las voces y así garantizar que todas las necesidades sean cubiertas en la solución.

Creatividad

Para definir la narrativa de un servicio de seguridad muy complejo y desglosar el paso a paso para hacerlo accesible para todos los perfiles de usuarios y usuarias detectados.

Adaptación

Para que la solución planteada fuera viable dentro de las limitaciones técnicas del ecosistema tecnológico de la compañía.

¿Tienes un caso igual o similar

Estamos a tan sólo unos clicks de distancia. Puedes rellenar este formulario para contactar con nuestro equipo, o si lo prefieres, puedes agendar directamente 
una reunión.

Casos relacionados

Diseñar la plataforma web de escritorio y móvil del Programa de Retorno de Barcelona (Return amb Oportunitats) para tres usuarios objetivo clave: emigrantes que desean regresar, organizaciones dispuestas a contratar profesionales con experiencia internacional y empleados del programa.
Prototipar un modelo de atención a las personas mayores de 65 años con lo que facilitar el acceso a la información y los trámites de la Administración General del Estado de manera efectiva para la ciudadanía y los equipos que atienden en las Oficinas de Atención a la Ciudadanía y en Materia de Registro.
Rediseñar el proceso de recertificación anual de reglas de firewall para su migración de Skybox a ServiceNow, una plataforma para optimizar el flujo de trabajo digital integrando automatizaciones, optimizando la experiencia para todos los perfiles de usuario.
Scroll al inicio