Un CPD es un entorno crítico en el que la seguridad resulta fundamental. Aunque es importante estar respaldado por infraestructuras y equipos de última generación –qué duda cabe–, cualquier data center tendrá siempre que preocuparse de avalar el cumplimiento de normativas y acuerdos de confidencialidad; que todos los recursos provisionados se ofrezcan protegidos y que exista también seguridad física.
En otras palabras, en un centro de procesamiento de datos existen tres campos de seguridad: la física (vigilancia, control de personal,…), la lógica (uso del software y los sistemas, protección de datos, procesos y programas, acceso ordenado y autorizado a la información…) y la que afecta a la continuidad del servicio, tanto por vía TI como por la electromecánica, tal y como enumera Garcerán Rojas, socio fundador y CTO de PQC. En este sentido, el directivo observa que en los últimos años se ha detectado un “un rápido crecimiento en las incidencias relacionadas con la seguridad TI, habiendo pasado a ser los ciberataques, según un último informe publicado en USA, del 4 a más del 20% de las causas de caídas en los data centers”.
Y es que la seguridad es vital en este negocio de ahí que las compañías que cuentan con su propio CPD suelan dedicar de media alrededor de un 20% de sus presupuestos a esta partida, una inversión que tiende a incrementarse anualmente. Dependiendo de cada caso, se inclina más o menos la balanza hacia la parte lógica o a la física pero ambas suman, es decir, son importantes. Así, en el caso de los proveedores de servicios de colocation prácticamente la totalidad de su presupuesto de seguridad se destina a la parte física. El dinero se destina también al mantenimiento y ampliación de las infraestructuras ya instaladas, así como a nuevas inversiones que vienen determinada por los avances tecnológicos que la industria pone a disposición del mercado.
Teniendo en cuenta todo lo que implica la seguridad en el data center, “al final, lo que importa es que el centro de datos esté preparado para poder suministrar servicios corporativos rápidos, eficientes, escalables y, por supuesto, seguros”, indica David Fernández Olmo, senior sales manager de Anadat Consulting.
El error humano
Ciberataques, desastres naturales, caídas de sistemas… todos figuran como riesgos o amenazas que acechan a los centros de datos. Sin embargo, a día de hoy no hay que pasar por alto el error humano como una de las principales brecha de seguridad en estas instalaciones. Pedro Muñoz, director de operaciones de Global Switch Madrid, corrobora esta afirmación al declarar que “el error humano se suele encontrar en el origen de la mayoría de los problemas, ya sea de forma directa o indirecta”. Para evitar que esto sea así, el directivo menciona que en lo que se refiere a la seguridad física, un servicio de seguridad debe de contar con un plan, el cual se asienta sobre tres pilares básicos: equipo humano, sistemas de supervisión / control, y procedimientos, con una interrelación entre cada uno de ellos. Argumenta que el equipo humano debe de ser adecuado en número y formación para manejar los sistemas a su disposición; a su vez, los sistemas deben de ser también dimensionados adecuadamente para dotar del nivel de seguridad definido y, por último, debe de existir una documentación detallada, para que la acción del equipo de seguridad sea guiada por unos procedimientos ajustados a la realidad de la infraestructura. “Todo debe de venir precedido de una evaluación profunda de los riesgos y de la dinámica del edificio, a partir de la cual se podrá desarrollar y dimensionar correctamente cada uno de las áreas citadas. A partir de ahí, el equipo humano debe de ser sometido a una plan de formación y evaluación continuo, los sistemas deben de mantenerse para que estén operativos 100% y los procedimientos deben de ser auditados regularmente a el aseguramiento de su perfecta implantación”, detalla.
Por su parte, Robert Assink, director general de Interxion España, cree que el error humano se puede contrarrestar con la especialización del personal. “Un equipo preparado y bien coordinado es vital para la gestión de las infraestructuras del centro de datos. Por ello resulta imprescindible capacitar al personal y darle los protocolos de actuación y las herramientas de gestión necesarias”. A lo que añade: “asimismo, se deben implementar las medidas físicas de seguridad como por ejemplo monitorización, vigilancia 24×7, controles biométricos, CCTV, bastidores con cerraduras y puertas esclusas”, expone.
José Manuel Armada, director de ingeniería de clientes de Interoute Iberia, considera que aludir a que el error humano es una de las principales brechas de seguridad en los CPD es una afirmación un tanto arriesgada porque continuamente se descubren vulnerabilidades en las máquinas y sistemas, y “aunque los seres humanos son vitales en el diseño de las soluciones y en la explotación de las mismas, también son los interesados en encontrar las vulnerabilidades”. Admite que hay muchos intereses económicos en este campo como para pensar en errores únicamente. No obstante, los errores ocurren por eso, en su opinión, la mejor medida para atajarlos radica no sólo en disponer de un diseño idóneo a la infraestructura que se necesite proteger y de un personal formado y con experiencia en este campo, sino en la puesta al día de forma continua. “En este sentido, contar con un SOC (del inglés Security & Network Operation Center o Centro de Operaciones de Seguridad) o NOC especializado en seguridad es una medida importante ya que su labor las 24 horas del día se enfoca en este campo”.
Continuidad del servicio, continuidad del negocio
La continuidad del servicio debe estar plenamente garantizada en un CPD, esta es la primera demanda de los clientes según Garcerán Rojas. “Esto no solo tiene que ver con la inversión en topología, sino mayormente con la forma en que se opera y se mantiene el data center, es decir con los procedimientos y la capacitación del personal”, apunta el directivo. “En este campo hay mucho que trabajar aún, pero el cliente todavía no lo tiene muy claro, hay muchos lugares donde se sigue considerando el mantenimiento como un gasto y no como una inversión”, denuncia.
Desde el punto de vista de Anadat Consulting, los clientes piden tres cosas: en primer lugar, poder identificar las aplicaciones, la información y los puntos claves de la recuperación y los recursos críticos que sean necesarios para garantizar la continuidad del negocio en caso de fallo imprevisto o planeado. Además, por otra parte exigen el desarrollo de planes de continuidad y recuperación que estén diseñados para especificaciones de negocio y con procedimientos e infraestructura disponibles para poder asegurar una recuperación efectiva. “Y, finalmente, predecir interrupciones e implementar planes que les permitan prepararse antes de que sucedan”, argumenta.
Para un centro de datos neutral como Global Switch, los clientes están demandando los más altos estándares de seguridad compatibles con el desempeño de los trabajos en un centro de misión crítica. “Sin duda, una seguridad a la altura de lo demandado por los clientes también requiere de una adaptación de los mismos a los rigores de los procedimientos. En última instancia, lo que el cliente desea es que exista una trazabilidad total en todo el desempeño de la labor de seguridad”, confiesa.
O como manifiesta el portavoz de Interoute Iberia, además de las las soluciones que impidan los accesos no autorizados (cortafuegos, IPS, etc.), y los que facilitan el trabajo remoto (autenticación doble, filtrado de contenidos y protección de usuarios móviles) “la protección contra ataques de denegación de servicio distribuidos (DDoS) que necesariamente han contar con el proveedor de red para que sean eficiente, mitigando los ataques antes de que se sature la infraestructura final del cliente”.
“Los clientes de los centros de datos especializados demandan en algunos casos la personalización de determinados protocolos, como pueden ser los de acceso a sus equipos”, observan desde Interxion. “Además, las certificaciones propias de centro de datos son apreciadas y cada vez más demandadas por los clientes, que pueden aprovecharlas para certificar la calidad del servicio entregado desde el data center”, indica. Y argumenta esta declaración señalando que los clientes también solicitan colaboración para sus propias certificaciones, especialmente en materia de seguridad. “El 38% de las auditorías de clientes en las que colabora Interxion está relacionado con la Seguridad de la Información, como ISO 27001 o CSA CMM”, dictamina.
¿Demasiadas certificaciones?
Hoy en día, existen un buen número de certificaciones y normativas que avalan la seguridad de un centro de datos (consultar cuadro). Por ejemplo están las ISO como la BS25999 que garantiza la continuidad del negocio o la 27001 que, tal y como exponen desde Arsys, es una norma internacional que abarca de forma integral la gestión de la seguridad de la información, desde redes y software hasta infraestructuras y cualificación de la plantilla. “Actualmente es el estándar más utilizado a la hora de comprobar que una organización cuenta con los controles para gestionar adecuadamente la confidencialidad, integridad y disponibilidad de los datos alojados en sus data centers”.
Pero también resulta relevante la ISO 20000, referente a la calidad de los servicios de gestión de TI, principalmente en lo que afecta a los servicios de monitorización, que resultan claves en el ámbito de la seguridad. O la ISO 50001, de gestión energética. Esta última también relacionada con la seguridad, ya que “la eficiencia de la energía asegura la continuidad del negocio al evitar problemas de sobrecalentamientos que pueden provocar la caída del sistema”, detalla el directivo de Anadat Consulting.
A las ISO deberíamos añadir los Tier del Uptime Institute, ICREA IV (sala de cómputo de alta seguridad), PCI DSS (Estándares de Seguridad de Datos de la Industria de Tarjetas de Pago para atender las necesidades de los clientes en la gestión de sus aplicaciones de e-commerce) o SSAE 16/ISAE 3402 tiene los procesos y controles correctos para garantizar las altas demandas de gobernanza y acreditaciones en todos sus centros de datos.
No obstante, parece que tal cantidad de certificaciones empieza a cansar a los clientes. Así lo reconoce el portavoz de PQC al señalar que se aprecia en el mercado “una cierta saturación de certificaciones que, probablemente, genere en unos pocos años un efecto rebote”, concluye.