A CPFL Energia, uma das mais importantes empresas de energia no Brasil, atende mais de 11 milhões de clientes em várias regiões do país. A companhia, que atua em segmentos de geração, transmissão e distribuição de energia, precisava superar desafios de Cibersegurança e elevar o nível de proteção das operações. Para esse projeto, a companhia contou com o apoio de diversos parceiros tecnológicos, entre eles, a CISCO, garantindo segurança na implementação de 700 Subestações e Usinas, além de proteger ativos críticos e. O case foi o vencedor Ouro do Prêmio Security Leaders 2023.
Elevar o nível de proteção e segurança cibernética é algo crucial para a saúde interna de uma companhia e a CPFL Energia conseguiu esse feito, mas que precisou superar alguns impasses encontrados ao longo do caminho. Para isso, a companhia contou com a tecnologia e o projeto teve duração de 8 meses, iniciando-se em janeiro de 2021 e sendo finalizado em agosto de 2022.
Emerson Cardoso, CISO da CPFL Energia, explica que foi necessário iniciar a realização de um assessment em 30 usinas do grupo. O time realizou um mapeamento dos Gaps com base no framework NIST e score de risco. “Ao finalizar todo esse processo de assessment, constatamos que nosso ambiente estava com um alto risco e um score de 89pp”, pontua Cardoso.
Partindo destes princípios, a companhia começou um programa interno chamado: Resiliência Digital: Proteção à Rede Operativa – Fase I – Geração, pautado em 7 grandes pilares: Governança, Proteção ao ambiente, Gestão de Identidade, Pessoas, Monitoramento, Plano de Riscos e Continuidade do Negócio.
Após a implementação desta primeira fase, o passo seguinte estava focado na continuidade do programa de distribuição de energia. “Esse seria o nosso maior desafio, não somente pelo investimento, mas pela abrangência do projeto em um dos setores mais críticos do nosso negócio, pois atende mais de 12 milhões de clientes”, acrescenta Cardoso.
Desafios esses que foram pautados também em aumentar o nível de Cibersegurança das redes operativas, além de manter os ativos e colaboradores da CPFL protegidos contra riscos cibernéticos e estar em conformidade com as regras regulatórias. A duração dessa fase foi de 9 meses, iniciando-se em junho de 2022 e sendo finalizado em março de 2023.
Com o avanço da maturidade cibernética, a implementação de 700 Subestações e Usinas usinas foi possível e a CPFL garantiu mais proteção de ativos críticos e operações vitais. Emerson Cardoso conta que as áreas de SI, Compliance, Riscos, Engenharia, Jurídico, Auditoria, Time de Campo (Técnicos de Manutenção), Suprimentos, Vice-presidência, Conselho e o Financeiro foram envolvidos nesta jornada tecnológica. “A equipe de Cibersegurança foi líder do projeto e protagonista do tema. Engajando todo o alto escalão da empresa até os técnicos de campo. Foram mais de 10.000 horas de trabalhos envolvendo diversas equipes”, enfatiza o executivo.
Lições aprendidas
Além disso, o projeto conseguiu ser executado no prazo e dentro do orçamento previsto. Segundo Cardoso, o trabalho realizado na CPFL não só atendeu as demandas regulatórias, mas também foi reconhecido pela alta gestão e por outros profissionais de mercado. “Fomos chamados para apresentar o estudo de caso nos parceiros, como na Cisco, participamos de eventos do setor e compartilhando a nossa jornada com executivos de SI”, diz.
Na avaliação de Cardoso, ao enfrentar os desafios cibernéticos com determinação e inovação, a CPFL Energia não apenas defendeu suas operações, mas também fortaleceu sua resiliência digital. Para ele, os resultados alcançados, são reflexos dos números sólidos da tecnologia avançada e do compromisso com o tema de Segurança Cibernética. “Continuaremos a evoluir e aprimorar nossas práticas, nos adaptando às ameaças em constante mudança, garantindo que a proteção das redes OT seja prioridade máxima”, completa.
Ele ainda reflete que as principais lições valem para qualquer projeto, como trabalho em equipe, resiliência, dedicação e humildade. “Rede OT é um universo que exige muito conhecimento e não nos limitarmos. Trabalhar com diferentes parceiros faz toda a diferença para a superação dos desafios”, finaliza o CISO.
A CPFL, em parceria a Cisco, levou o Prêmio Ouro na Categoria Case do Ano no Security Leaders 2023. A cerimônia de premiação está disponível no canal da TVSecurity, no Youtube. Em 2024, o Prêmio Security Leaders será realizado no dia 28 de novembro, em São Paulo. As inscrições serão abertas ainda no primeiro semestre de 2024.
