AES Eletropaulo adopta la tecnología de seguridad de Cisco

AES Eletropaulo, principal distribuidor de energía de Brasil y uno de los principales de Latinoamérica, ha adoptado la tecnología de seguridad de Cisco. La empresa salió adelante e implementó firewalls de última generación, además de VPN (Red Privada Virtual), switches y routers de alta capacidad con el objetivo de separar diferentes ambientes, mitigando riesgos de ataque a los sistemas y a las subestaciones de transformación y distribución de energía.

El proyecto de seguridad forma parte de un programa global de AES Corporation aplicado a todas las unidades de negocio, y AES Eletropaulo será la primera empresa en implementarlo completamente. Con un presupuesto de alrededor de R$ 3,5 a R$ 5 millones, la previsión es que el proyecto esté listo hasta fines de año. La nueva arquitectura también abarcará las dos generadoras (AES Tietê y AES Uruguaiana) y AES Ergos, la empresa de servicios del grupo en Brasil.

Implementado por PromonLogicalis, aliada de Cisco, el proyecto buscó una topología que ofreciera escalabilidad y atendiera los requisitos de seguridad de AES Corporation. La preocupación principal era aislar el perímetro operativo (que contiene los medidores, subestaciones y sistemas de distribución de energía) del perímetro corporativo (con intranet y banco de datos), permitiendo la conexión segura con web o ERPs (sistemas administrativos).

En la base del proyecto, se utilizaron firewalls Cisco ASA para proporcionar protección contra amenazas avanzadas y visibilidad en el tráfico de datos, asegurando que se le permita el acceso al ambiente de las subestaciones solamente a los sistemas SCADA (de supervisión, control y adquisición de datos). Los sistemas SCADA son utilizados por COD (Centro de Operación de Distribución de AES Eletropaulo) en la transmisión y monitoreo de las cargas de energía.

El proyecto también incluyó routers ISR y tecnología VPN de Cisco para la conexión y confidencialidad de la información de terceras partes, además de switches Nexus (para conexión de la nube privada) y switches de las familias 50X y 6500 (para conexión de servidores y redes Wan). Con la nueva arquitectura, la comunicación de AES Eletropaulo es integralmente cifrada, pasando por al menos dos capas de firewalls equipados con IPS (sistema de prevención de intrusiones).

“Con la integración cada vez más grande entre automatización y tecnología, existe el riesgo de que amenazas propias del mundo de TI migren a los sistemas del sector eléctrico, que no nacieron con conceptos de seguridad aplicados”, explica Vander dos Santos Dias, coordinador de servicios de telecomunicación de AES Brasil. “Es necesario buscar soluciones, herramientas y procesos que ofrezcan visibilidad, protección y mitigación rápida, para que esa integración pase de manera segura", afirma.

Pruebas de intrusión simuladas y servicios administrados

Complementando el proyecto, AES Eletropaulo implementó un proceso que incluye pruebas de intrusión simuladas (“pentests”) y salas de crisis técnica con el board de la empresa, para que la alta gerencia del distribuidor también sea capaz de responder en casos específicos. "También movilizamos a un equipo de auditoría periódicamente para verificar si lo que se acordó está en práctica”, indica Marco Tulio, responsable del área de seguridad de la información de AES Eletropaulo.

Una capa de servicios administrados con soporte 24/7 es suministrada por PromonLogicalis, responsable de administrar las políticas y licencias de los equipos, además de analizar incidentes y hacer la integración general del proyecto. "Como las redes de la AES Eletropaulo ya eran de Cisco, la integración fue una gran ventaja. Incluso las soluciones que necesitan interoperar con sistemas de otros proveedores funcionan muy bien, permitiendo que PromonLogicalis le ofrezca soporte a la operación con robustez y flexibilidad", afirma Felipe Jordão, especialista en seguridad de PromonLogicalis.

Protección de la inversión e innovación: Smart Grid

La nueva arquitectura de seguridad será esencial para la consolidación y posterior expansión del proyecto de Smart Grid de AES Eletropaulo. Lanzado en el 2014 en la ciudad de Barueri, en la región metropolitana de Sao Paulo, el proyecto prevé la instalación de 62 mil medidores inteligentes, impactando directamente a 250 mil personas. La tecnología permitirá una nueva forma de gestionar la red eléctrica con la automatización de las operaciones y la planificación de capacidad de AES Eletropaulo.

“Más que un elemento necesario resultante de la digitalización, la seguridad hoy es un aspecto que permite la innovación y también que las organizaciones puedan proteger las inversiones hechas para desarrollar nuevas soluciones”, defiende Ghassan Dreibi, gerente de desarrollo de negocios de Cisco para Latinoamérica. "Lógicamente, el sector eléctricoes especialmente sensible a ataques:  en las redes tradicionales las pérdidas son financieras, pero en la automatización pueden impactar a toda la población”, explica.

Por causa de la complejidad y la dinámica del proyecto de Smart Grid, AES Eletropaulo prevé que dentro de 3 años se hará un upgrade con nuevas funcionalidades para las soluciones de seguridad - incluso por la demanda siempre creciente de nuevos servicios de energía.