La seguridad en un Centro de Datos
¿Consideras que tu Centro de Datos es seguro? ¿Sabes cuáles son los requerimientos mínimos que se deben cubrir? En este artículo hablaremos un poco sobre las bases de la seguridad en un Centro de Datos.

Un Centro de Datos es el lugar donde están ubicados los recursos necesarios para el procesamiento de la información de una organización, esencialmente son todos aquellos activos necesarios para el almacenamiento, procesamiento, transmisión de información y lo necesario para que los equipos trabajen en óptimas condiciones; es por ello que toma especial relevancia el aspecto de seguridad.

La seguridad en los Centros de Datos tiene como objetivo garantizar que los sistemas salvaguarden los activos (todo aquello que en términos de información genere valor), así como el mantener la integridad de los datos y alcanzar los objetivos de almacenamiento y procesamiento de un modo eficaz y efectivo.

El diseño de los Centros de Procesamiento de Datos debe de tener en cuenta algunas consideraciones especiales, dado que en ellos se concentran millones de datos y servicios informáticos, lo que los hace excepcionalmente propensos a problemas potenciales, tanto lógicos como físicos, que pueden afectar la seguridad y funcionamiento.

Es obvio para todos que es de suma importancia para las empresas asegurarse que tanto su Centro de Datos como la información que viaja y habita ahí estén seguros. Es por esto que hemos preparado un resumen con algunos de los puntos que deben asegurarse para poder proteger los activos y la información de cualquier empresa. Se han dividido en dos puntos, la seguridad física que como su nombre lo indica cubre lo principal a garantizar en cuanto a accesos físicos; y la seguridad lógica que habla más sobre los mecanismos de defensa para la información.

Seguridad Física

En cuanto a seguridad física, hay algunos puntos que se deben de tener en cuenta para maximizar la seguridad en cualquier Centro de Datos. A continuación se muestran algunos de los principales puntos que nunca se deben de perder de vista:

 
 

Perímetro de Seguridad Física

¿Tu Centro de Datos está cerrado?

Puede ser muy obvio pero el Centro de Datos debe estar protegido por paredes y puertas de ingreso controlado o recepcionistas.

Controles físicos en la entrada

¿Quién puede entrar al Centro de Datos?

Se tiene que contar con mecanismos que permitan el ingreso sólo a personal autorizado.

Protección contra amenazas externas y ambientales

Ante un desastre natural ¿Está protegido tu Centro de Datos?

Es necesario establecer un procedimiento que permita considerar cualquier amenaza relacionada con desastres naturales, accidentes o cualquier tipo de ataque.

Ubicación y protección del equipo

¿Pondrías tu Centro de Datos al lado de una fábrica de explosivos?

El Centro de Datos debe de estar ubicado y protegido en un lugar donde se puedan reducir las amenazas, peligros ambientales y el accesos no autorizados.

Suministros de apoyo

¿Y si se va la luz?

Los equipos deben de estar protegidos contra fallas de energía y otras interrupciones causadas por inconsistencias en el suministro.

Mantenimiento de equipo

¿Cuándo fue la última vez que los equipos recibieron mantenimiento?

Los equipos deben tener el mantenimiento adecuado para permitir su continua disponibilidad y garantizar su integridad.

Monitoreo y Revisión de los servicios del proveedor

¿Quién evalúa que todo se esté ejecutando conforme a lo planeado?

Es necesario monitorear continuamente para asegurarse que los proveedores mantienen los estándares de seguridad requeridos.

Planificación para la Continuidad de la Seguridad de la Información

¿Cuentas con un plan en caso de desastres?

Identificar los requerimientos de Seguridad de la Información cuando la organización está en situaciones adversas. Los requisitos de Seguridad de la Información deben ser los mismos, aún en alguna situación de contingencia.

Disponibilidad de instalaciones de procesamiento de información

Tal vez te aseguren que todo está en alta disponibilidad pero ¿Lo has probado?

Considerar el establecimiento de pruebas de redundancia para los sistemas críticos que requieran alta disponibilidad.

 

Seguridad Lógica

Por definición la seguridad lógica son las barreras y procedimientos que protegen información, esto con la finalidad de conservar los pilares de la seguridad de la información que son: confidencialidad, integridad, disponibilidad, autenticidad y no repudio.

La seguridad lógica es un área muy amplia ya que contempla un gran número de dispositivos y procesos con los que se puede proteger un Centro de Datos, éstos van desde los dispositivos electrónicos como accesos biométricos, cámaras de vigilancia hasta los firewalls de última generación y sistemas de prevención de intrusos que pueden trabajar de manera independiente o que pueden estar interconectados por medio de correlacionador de eventos.
Dependiendo de los servicios que preste el Centro de Datos, la seguridad puede ser tan compleja como se desee, es decir, adicionalmente a la seguridad técnica, se pueden adicionar procesos de acceso y control de información.
Estos procesos deben ir de acuerdo al tipo de información que exista en el Centro de Datos, es decir, los métodos pueden ser tan complejos hasta llegar a ser comprobados por métodos matemáticos.
Todas las medidas implementadas deberán de ser probadas y auditadas con la finalidad de garantizar posibles brechas de seguridad que un usuario mal intencionado pudiera aprovechar.
Otro aspecto que se debe de tomar en cuenta es si el Centro de Datos es privado o de gobierno, ya que ambos poseen normas y manuales por los que se deben de regir, por ejemplo, los Centros de Datos de gobiernos deben de regirse por el manual de aplicabilidad de MAAGTICSI, adicionalmente de la normatividad del ISO.
Un aspecto de suma importancia que aunado a los puntos anteriores deben considerar los Centros de Procesamiento de Datos, es el garantizar la continuidad del servicio, pues en este ámbito es muy importante considerar protección física de los equipos o de comunicaciones implicadas, así como la replicación de la información que tengan los equipos que contengan información crítica.
Como podemos observar las consideraciones que deben tomarse en cuenta para el diseño de un Centro de Procesamiento de Datos es compleja y por consiguiente la administración debe considerar procesos simples, eficientes, medibles y alcanzables, que ayuden a la entrega del servicio de la mejor manera posible.

 

(Artículo publicado originalmente en la revista Develop Network Año 2. No. 16  Pág. 24 - 25
https://issuu.com/masgeek/docs/developnetwork_febrero_2016/26).

Por  Ramírez-Cardona, J.C.; Godínez-Ruíz, O.  Centro de Datos de INFOTEC.


Comentarios