Hoy comenzamos una serie de entrevistas con CISOs y otros ejecutivos responsables de la seguridad en empresas. La primera será con Agustín Zorgno, el CISO de Edenor. Es la empresa distribuidora y comercializadora de electricidad más grande de Argentina. Le brinda el servicio a más de 3 millones de clientes en veintiún partidos del conurbano bonaerense y al norte de la Ciudad de Buenos Aires. Como Zorgno describe, el core de la compañía es “comprar energía a alta tensión, rebajarla y enviársela a los clientes”. Es impulsor de un grupo de empresas de generación, distribución y transporte de energía que trata de establecer criterios comunes de seguridad y estándares para proteger las redes de operación, “algo de lo que no se habla mucho”. Plantea, precisamente que, en su compañía, la seguridad está contemplada en tres áreas: datos de la compañía, datos de los clientes y operación.
“Hacemos un trabajo muy grande en soporte y seguridad de esas redes que manejan operaciones críticas. Hace algunos años que venimos trabajando con SCADA, DMS, telecontrol, medidores inteligentes” enfatiza.
Vos decís que hay un componente más que es la tecnología OT, tecnología puesta en la operación ¿a qué te referís exactamente?
La compañía creció muchísimo, antes los equipamientos eran mecánicos y hoy son muy parecidos a una herramienta IT. Lo que era un brazo mecánico ahora es un switch y eso requiere muchos aspectos de protección y de cuidado porque un ataque podría tener un impacto en el servicio incluso físico, porque si se ataca una subestación se puede afectar todo lo que está alrededor de ella. Por eso estamos haciendo mucho foco en ciberseguridad de las estructuras críticas porque son áreas que no vienen con la concepción de seguridad y estamos trabajando para que sí sea.
¿Contención o prevención?
El primer foco es proteger y “prepararnos para”, tener todo el set de controles y tecnologías de seguridad para proteger los datos de la empresa, del cliente y la operación. Que algunos riesgos que tenemos identificados se reduzcan al mínimo.
En el caso de los datos, hacemos lo mismo que cualquier otra empresa: proteger la identidad del usuario, la información, los sistemas. Nuestro programa director de seguridad se enfoca en ambos aspectos, o sea, los datos que están y qué proyectos tiene la compañía, para qué lado va la inversión; y siempre desde el punto de vista del riesgo, no es lo mismo gestionar una aplicación que vos tengas publicada en la nube, como nuestra aplicación original que usan los clientes para gestionar sus cuentas, sus pagos, su servicio, que una aplicación interna que tiene poca exposición, que la usan pocos usuarios y no son tan críticas.
¿Cuánto tenés en la nube y cuánto en un datacenter?
Hace ya dos años que tenemos más o menos un 25% de nuestra carga operativa en la nube. Además de usar la suite ofimática típicas, correo y eso, estamos llevando algunas cosas como IaaS y como SaaS.
Por ahora tenemos servicios de soporte al negocio, como los sistemas de gestión que dan servicios a finanzas, recursos humanos, IT mismo. Pero de los procesos técnicos de distribución de energía no hay casi nada en la nube, así como parte de la información más crítica de la compañía.
En seguridad ¿desarrollos propios o vendors?
En mi área en particular, en que gestionamos todo lo que es seguridad perimetral, firewall, IPS, VPN, tenemos primeras marcas para todo eso, todo equipamiento world class, lo mismo con los aplicativos, confiamos en marcas, no tenemos desarrollo propio. Edenor, en sí, no tiene mucho desarrollo propio. Hay desarrollo de las interfases, cómo hacer hablar los distintos mundos, pero no tememos un desarrollo propio muy fuerte.
¿Cuáles serían los puntos principales de una política de seguridad?
Estar siempre a la vanguardia te ayuda a minimizar los riesgos y estar preparado para lo que va apareciendo. Lo que vimos últimamente, especialmente desde marzo que arrancó la cuarentena, en Argentina y Latinoamérica, es el malware dirigido, especialmente phishing y ransomware, que han afectado un montón de empresas como Edenor. Al menos en los últimos tres o cuatro meses algunas empresas grandes de energía en Latinoamérica fueron atacadas. Casi siempre con un mail que le llega a un usuario que, sin fijarse mucho, hace click en un link y vemos que eso le puede pasar a cualquiera en cualquier compañía. Estamos viendo ataques dirigidos directamente a empresas de energía y por eso estamos trabajando en un plan de mitigación muy fuerte. Por lo que está pasando fuera de nuestra empresa, sabemos que ese riesgo es cada vez más probable que suceda.
Nosotros no hemos tenido un ataque, pero sabemos que en la Argentina, en el último mes y medio ha habido mucha actividad. Antes te enterabas de un evento por año, ahora nos enteramos de cuatro empresas de gran porte atacadas en el último mes. Por eso el equipo de monitoreo y respuesta a incidentes está muy atento. Tratamos de prevenir que no suceda y si sucede, contenerlo lo más rápido que se pueda.
¿Qué tipo de capacitación hacés con tus empleados?
Con otros pares míos inauguramos hace más de dos años un espacio llamado Edenor Café en Red, donde todos los viernes, durante 45 minutos, creamos píldoras y damos recomendaciones. Estamos usando ese canal para hablar de phishing, seguridad de la información, que la gente mantenga segura su identidad digital y las buenas prácticas de manejo de correo electrónico. Todos los viernes, los empleados de Edenor saben que durante 45 minutos se va a estar hablando de un tema específico de tecnología.
Con este asunto de la cuarentena, debés haber mandado a muchos empleados a trabajar desde casa, me imagino…
El 100% de mi equipo está en home working. Además, el 40% de los empleados de Edenor —que tiene unos 4500— están en sus casas. Implicó un cambio muy grande porque de muy pocos, 50 o 60, de repente pasamos a 2000 usuarios conectados. Tuvimos que hacer algunas modificaciones de políticas, como doble autenticación para toda la empresa, por ejemplo. La pandemia nos adelantó proyectos que teníamos para todo el año, y nos obligó a implementarlos en estos pocos meses. La mitad de los 2000 ya tenía notebooks y celulares de la compañía y para el resto implementamos un escritorio remoto a su PC o Tablet vía VPN, o sea un VDI
¿Qué desafíos a la seguridad te impone el teletrabajo?
Es un aspecto superimportante. Impacta en el ámbito de control, sobre todo. Cuando estás en la oficina estás contenido, trabajando según las reglas, con resguardo del equipo, y controles que ya tenemos. Cuando estás trabajando en tu casa, ese control se va relajando, más cuanto más largo es el período fuera de la oficina. Empezás a tener otro tipo de problemas, como descuidos, hacer pasar información por dispositivos que no controlamos, sacar información fuera de la compañía, más los temas técnicos como que la VPN esté bien configurada, que no se acceda a lugares a los que no se tiene que acceder, evitar publicar aplicaciones a las que antes no se accedía. En definitiva no subir el nivel de exposición de la compañía.
Hay algunos que dicen que lo que aprendiste de seguridad en el mundo real, no te va a servir en el mundo virtual. Para vos ¿es lo mismo la seguridad en el datacenter y en la nube?
Tirar a la basura lo anterior no va. Los conceptos de cómo proteger son los mismos, lo que cambia son las herramientas. Las nubes más maduras tienen servicios de seguridad que en datacenter es muy costoso tener, hay mucha automatización. Iniciamos todo el despliegue de SAP en AWS, por ejemplo, con el concepto de Confianza Cero. Llevó trabajo, pero a la distancia, está más resguardado, resulta más prolijo, más ordenado, más fácil de controlar, estamos mucho más protegidos que antes.
El desafío de la nube es ponerte a estudiar y entender cómo las nuevas tecnologías te dan servicios, pero a la larga es un valor agregado. Yo soy una especie de fanático de la nube. Antes si querías implementar una aplicación que esté expuesta a Internet. Había que comprar un WAF, implementarlo y hacer la curva de aprendizaje de mi equipo, y hasta que estaba protegido y protegiendo, pasaba un montón de tiempo. Con la nube hago tres clicks, configuro un WAF con políticas por defecto, y eso ya tiene un nivel de protección que antes me costaba mucho más.
La gente de infraestructura ve ahí horizontalidad y escalabilidad. Nosotros vemos que en 10 minutos podemos implementar una cantidad de controles de seguridad que antes hubieran sido imposibles y muy costosos.
Siguiendo con este tema, casi todos los proveedores de nube te ofrecen, además, servicios básicos o estándar de seguridad. En tu opinión ¿se puede uno quedar con esos servicios por defecto o hay que personalizarlos sí o sí?
Lo ideal es armar tu propio esquema de control. Podés usar las herramientas o los servicios que ellos te ofrecen, pero con tu perspectiva y tu diseño, porque vos sabés cómo es el negocio y qué necesitás proteger. Y en redes SDWAN, el diseño propio es fundamental.
Fotos: Gentileza Edenor
