La seguridad informática en Aguas Andinas
El siguiente caso de éxito fue redactado tras sostener una entrevista con tres integrantes del Equipo de Seguridad de la Información de la empresa chilena Aguas Andinas: Juan Francisco Huechucura, Responsable de Ciberseguridad; Moises Gallardo, Analista de Seguridad; y Jose Vásquez, Ingeniero Senior Ciberseguridad, quienes, amablemente, nos compartieron sus impresiones acerca de la labor de Kriptos en su empresa.
Aguas Andinas es una de las empresas tradicionales chilenas con más de 200 años de historia. Su fundación en 1861 como una empresa de servicios públicos, y una migración hacia la mirada de servicio en el 2001 la hacen emblemática para todo el país. Con más de ocho millones de usuarios, Aguas Andinas tiene un reto mayúsculo para mantener abastecida día a día a la población, el comercio y la industria chilena.
Sus altísimos estándares son certificados por la ISO en varias de sus regulaciones de calidad: las ISO 9001, 14001, 45001, 5001, 22301, 37001, 27001, 55001 y la NCH 3262 reflejan su compromiso con la calidad y la responsabilidad hacia sus usuarios y proveedores para brindar siempre lo mejor.
Hoy, su equipo crece a más de 1500 empleados entre 5 empresas que hacen esfuerzos astronómicos para brindar la estandarización de su servicio y mantener la óptima calidad en cada una de sus verticales.
Como parte de su proceso de mejora continua y el desarrollo de las buenas prácticas en términos de higiene y seguridad informática, Aguas Andinas siempre tiene el acompañamiento de su equipo directivo para involucrarse en proyectos que impulsen la excelencia.
Por ello, en el año 2015, se decidió iniciar un proceso de descubrimiento y clasificación de datos para las áreas de RRHH y finanzas, por lo que llevaron a cabo un proceso manual en el que se buscaba identificar y determinar los criterios de clasificación con los usuarios. Después de 6 meses, el equipo consideró listo el ejercicio: la información estaba clasificada para un grupo de 30 personas, el equipo se encontraba entrenado en clasificación, todo a través de un proceso que permitía agregarle las etiquetas al DLP para poder construir diccionarios de búsqueda y así proteger la información que entraba y salía a esos dos equipos dentro de la compañía.
Pasaron 2 semanas y entre movimientos internos de las áreas, y personas que dejaron la compañía, el ejercicio que les había tomado meses desarrollar se había desbaratado por completo.
“Nos demoramos más de 6 meses y se perdió el ejercicio en dos semanas, adicional los tags que se habían generado para el DLP tampoco eran funcionales puesto que a todo estaba configurado de manera manual con respecto al diccionario de búsquedas y con los movimientos internos que hubo en la empresa, el ejercicio dejaba de ser confiable.” Nos cuenta Juan Francisco, el responsable de Ciberseguridad.
Después de evidenciar este caso donde la intención estaba, pero la gestión no era sostenible, y tras haber hecho un proceso de evaluación profundo, encontraron en Kriptos un aliado estratégico para su proceso de clasificación de datos e identificación de información. El tener la trazabilidad del descubrimiento para toda la compañía era muy importante, pues sabían que los ejercicios manuales no les darían el cubrimiento total de la empresa y esto era de vital importancia para la protección.
Después de haber desarrollado la labor manual, el equipo de Aguas Andinas sabía que debían evitar errores humanos y que esto era crucial para poder aplicar el ejercicio a toda la compañía, pues el usuario, cuando tiene la última palabra, genera errores; en cambio Kriptos estandariza el proceso y permite que haya un único hallazgo para todos los usuarios.
A la hora de tomar una decisión, hubo factores que fueron determinantes para elegir a Kriptos como su herramienta de clasificación:
Trabajo inteligente y autónomo
Si bien el proceso inicial es lento y los talleres se toman el ejercicio para poder poner a punto la herramienta, después de realizado, este se torna automático y permite una clasificación en corto tiempo. Luego de 3 a 6 meses ya estaba todo clasificado en la empresa.
Integración con otras herramientas
Con la llegada de Kriptos, sus funciones se podían conectar el CASB actual que les permite tomar acciones de los documentos restringidos y confidenciales para que estos documentos no salgan de la compañía sin ningún control ni trazabilidad.
Movilidad de usuarios
Al poder tener visibilidad de la información, es fácil hacer trazabilidad cuando un usuario pasa de un área a otra o se desvincula de la compañía; esto nos permite tener mayor control sobre la data que hay dentro de la empresa.
Criterio unificado de la clasificación
Entre más personas estén involucradas en el proceso de clasificación, será más difícil que se pongan de acuerdo para que se tome una decisión frente a cómo tratar un documento. La inteligencia artificial de Kriptos estandariza este proceso a partir de un criterio unificado de clasificación.
Labor Automatizada
El poder tener la labor hecha de manera automática, hace que la confianza sea permanente en el ejercicio que se desarrolla en tiempo real y que puede convertirse en un proceso continuo y sin interrupciones.
Aguas Andinas cuenta con un compromiso de la alta dirección para todos los procesos de ciberseguridad y cumplimiento normativo, por esto, la adaptación al producto fue eficiente y lograron involucrar a todas las áreas de la compañía desde el inicio. Tal como Juan Francisco nos indica, es imposible lograr una labor realmente eficiente si desde la Dirección no hay un entendimiento del valor de la información. Es por ello que los primeros hallazgos con Kriptos fueron muy importante para ellos.
En la etapa inicial se descubrieron varios temas confidenciales que dentro de la compañía no se les daba relevancia. Preguntas como: ¿Qué pasa si se roban un computador de la compañía y la información no está cifrada?, permitieron dar cuenta de que no se le da el peso necesario a ese incidente. Es por ello que resultó bastante útil, una vez ya se tenía la información clasificada, mapear cuál de esta era más crítica y tener una idea de a cuánto podía ascender el riesgo de que fuese filtrada.
“En la primera revisión, en dos semanas ya teníamos documentos identificados con números de tarjetas de créditos, documentación que estaba almacenada en los equipos y que estaba expuesta”.
“Verificamos que no solo los usuarios directores, gerentes y subgerentes son quienes manejan información confidencial, sino que hacía líneas más abajo esa misma información se está tranzando, por lo que nos dimos cuenta que no sólo teníamos que proteger a los directivos sino a la planta completa que maneja la información”.
Romper con el mito de que solo las altas gerencias eran quienes manejaban la información confidencial impulsó una transformación completa en la estrategia de ciberseguridad del equipo de Aguas Andinas. Kriptos les permitió tener el panorama completo de qué información se estaba moviendo de usuario en usuario, por lo que las políticas, a partir de ese momento, serían completamente dirigidas en función de esta nueva visión de la empresa.
“Conocimos un valor estimado de cuánto cuesta el contenido de cierta información, y eso es relevante para el proceso, nos permite tomar un seguro. Las aseguradoras para contratar la protección ante un ciberataque exigen que haya seguridad perimetral, una segregación de entornos y otros controles, pero también te piden que tengas clasificada tu información para ellos saber ante qué se están exponiendo contra el seguro. Al saber cuánto cuesta el costo de la información, puedes hacer que la cobertura sea suficiente para poder asegurarla completamente”.
Aguas Andinas tiene ya 5 procesos certificados con la ISO 27001. Cuando realizan su auditoría, siempre son felicitados y reconocidos cuando muestran la herramienta de Kriptos, pues la clasificación de esta va más allá de una expresión regular: les permite revisar el nivel de sensibilidad, los usuarios que tienen acceso a esa información, y la ubicación de esta.
Para Aguas Andinas, poder entregar reportes y consultas a los entes reguladores de manera automática es una necesidad que Kriptos hoy les permite hacer sin temor a sufrir manipulaciones ni alteraciones de ningún tipo; poder entregar esta data con la ayuda de un Business Intelligence (BI) es un voto de confianza enorme que transmite transparencia y da muestra de sus altos estándares a todo nivel.
Poder manejar estadísticas regulares que se puedan enviar de manera periódica sobre cuánta información sale, entra y transita dentro de cada área es una herramienta de gran valor que le permite a cada líder monitorear los ejercicios que hacen sus equipos y mantener el control sobre la data interna.
“La vida se hace más fácil y los controles son más fáciles de aplicar, y esto hace que la seguridad funcione mejor”.
En Chile, recientemente se publicó la Ley 21459 de delito informático, la cual habla de la responsabilidad penal en altos ejecutivos. Si no hay medidas como empresa, la responsabilidad penal la asumen los ejecutivos de la organización. Para el cumplimiento de esta norma es imperante que la clasificación esté completa y sea precisa; sin ella controlar la salida de información se hace imposible y es ahí donde Kriptos agrega mucho valor para la gestión de esta nueva norma.
Con más de ocho millones de usuarios, Aguas Andinas está calificado como un nivel dos en pasarelas de pagos por las regulaciones PCI DSS; para el cumplimiento del ejercicio como pasarela de pagos, deben supervisar toda la información de tarjetas de créditos que pueda pasar a través de este método electrónico; y dentro de la plataforma web de Kriptos, ellos pueden revisar al detalle qué documentos pueden contener esa data y ponerle máxima atención y seguridad para así mismo proteger a sus usuarios de una posible irrupción o intento de ataque.
Adicional a todo esto, el grupo tiene una filial que hace análisis de muestreo, y este servicio participa en licitaciones con diferentes empresas. Al demostrar los controles de seguridad y protección de la información que se tienen al interior del grupo empresarial, este se vuelve un factor determinante que le permite avanzar y ubicarse como la mejor opción para las empresas que requieren de sus servicios.
“El proceso de clasificación y alcanzar estas certificaciones ha dado un plus para que la empresa pueda adjudicarse a este tipo de contratos: avala lo que nosotros hemos estado haciendo. Ustedes (Kriptos) tienen un buen nivel de seguridad de la información, como proveedor podemos contar que la información que tengan de nosotros no va a ser filtrada ni divulgada y que se toman todos los resguardos posibles para mantener la confidencialidad”.
Esto demuestra que el aseguramiento de la información y la percepción de confianza y transparencia que brindan los ejercicios cuidadosos de protección de datos y cumplimiento ha traído beneficios para la empresa, pues los lleva a un lugar donde son más competitivos y pueden traerle clientes de mayor categoría a sus líneas de negocio.
El caso de Aguas Andinas concluye que las inversiones en ciberseguridad, bien ejecutadas y aplicadas de manera correcta traen un retorno de inversión a la compañía en el mediano y largo plazo, mostrando empresas comprometidas con los usuarios y que demuestran una alta exigencia en sus procesos de calidad.
Una de las principales recomendaciones que Juan Francisco, Moisés y Jose les hacen a sus colegas es empezar a avanzar con las soluciones de clasificación de la información y tratamiento de información interna y externa. “En Chile está ad-portas de salir la normativa de protección de datos, que está enmarcada en la norma europea. Esto nos va a exigir un montón de controles que debemos aplicar. Esto te debería facilitar la vida en términos de clasificación y control de información si lo sumas a un CASB y DLP: tendrías un cumplimiento bastante avanzado frente a lo que viene con la futura ley, porque el tratamiento que le vas a dar es un nivel más avanzado”.
Después de tener la integración de ambas plataformas las preguntas al interior de la organización cambiaron, pues ya no hay que estar pendiente de la ubicación de la información: ahora se puede buscar directamente al responsable de un mal manejo y poder corregir de manera inmediata una situación que pueda resultar perjudicial para la compañía.
Comparte este artículo en redes sociales
Comparte este artículo en redes sociales
.png)
(1).jpg)
(1).jpg)
.jpg)
