La seguridad es un tema transversal que afecta a todos los ámbitos de las TIC. Y en el centro de procesamiento de datos cobra todavía más relevancia. Desde el mismo momento en el que se plantea construir un data center ya figura la seguridad en la fase previa de diseño. Además de elegir una ubicación en la que se tenga constancia de la disponibilidad de potencia eléctrica y buena conectividad y comunicaciones, se estudia la climatología de esa localización. Y es que estos entornos críticos necesitan una protección de 360 grados, tanto desde el punto de vista físico como lógico, para asegurar la continuidad de negocio y salvaguardar la información que albergan.
La protección física lleva más años trabajándose, pero no por ello es menos importante. En este ámbito se circunscriben medidas como control de accesos (tarjetas de proximidad, biometría o reconocimiento facial o dactilar, permisos para visitantes, tornos, cerraduras, sensores, vallas perimetrales o esclusas), vigilancia (personal de seguridad 24/7, cámaras CCTV que monitorizan las instalaciones, alarmas), sistema anti incendios (VESDA, del inglés Very Early Smoke Detection Aspiration) y de climatización que mantengan a raya la temperatura del CPD, así como soluciones que “resguarden” estas instalaciones de cualquier incidente medioambiental o externo como inundaciones, fugas de agua, cortes eléctricos o subidas de tensión, por ejemplo.
En este terreno entrarían en juego soluciones como SAI, suelo y techo técnico o cableados específicos. En cuanto a la lógica, podríamos incluir los programas DCIM (Data Center Infrastructure Management), segmentación de redes y equipos críticos, gestión de riesgos y adecuación de identidades, controles de auditoría o encriptación de paquetes de datos. Hablamos de antivirus, sistemas operativos, cortafuegos o aplicaciones. Y de un plan de recuperación ante desastres y backup o copias de seguridad. En los últimos años el sector está evolucionando hacia infraestructuras descentralizadas, heterogéneas y flexibles, con una tendencia clara hacia entornos multi-nube o híbridos; algo que exige un replanteamiento de la seguridad en estos nuevos contextos e introduce la variable cloud en toda su amplitud pues las fronteras (in house vs externalizado) empiezan a difuminarse y el dato se reparte por muchos sitios. Tan sólo hay que fijarse en las fugas de información ocurridas durante el pasado año y la entrada en vigor de la normativa RGPD o GDPR que subraya el valor de la ciberseguridad como un activo más de las compañías, que abogan por implementar soluciones por defecto que protejan los datos personales.
Ciberataques inevitables
Por mucho que se introduzcan medidas físicas y lógicas para “blindar” el data center de cualquier peligro y se contemple la ciberseguridad como un apartado más en los presupuestos de las empresas, hay una realidad que se impone: los ciberataques van a ocurrir. Eso lo saben todas las firmas de seguridad del mercado que están siendo constantemente bombardeadas. La cuestión es que las agresiones pueden ser conocidas o desconocidas y hay que estar en guardia. El hecho de que la mayoría de las cargas se estén subiendo a la nube -una tendencia que irá en aumento-, convierte el ‘ciberespacio’ en un blanco cada vez más grande para los ciberdelincuentes. La prevención y la detección es básica, pero también una rápida y eficiente capacidad de respuesta que contenga y bloquee esa debilidad y no afecte, en la medida de lo posible, a la actividad o funcionamiento del centro de datos y, por extensión, del negocio.
En este sentido, los expertos mencionan que una estrategia de protección proactiva requiere una visibilidad completa, segmentación multicapa y un seguimiento de todas las cargas de trabajo estén donde estén. Educar al personal Sin embargo, además de los ataques procedentes del exterior, en la mayoría de los casos “el enemigo está dentro de casa”. Al igual que ocurre con las tareas de mantenimiento y operativa en el centro de datos, el ser humano es el eslabón más débil. Suelen ser los errores del personal los que abren brechas de seguridad por una mala o inadecuada actuación. La capacitación, la imposición de protocolos y, fundamentalmente, la concienciación son las principales vías que tienen los gestores de data center para prevenir cualquier vulnerabilidad interna. Profundizar e insistir en esta “educación” al empleado es, sobre todo en estos tiempos, imprescindible.
Con la Internet de las Cosas pisándonos los talones y la promesa de millones de objetos conectados continua y ubicuamente, los riesgos se multiplican y por muchas herramientas que utilicemos para tener los accesos bajo control (credenciales, acuerdos con operadoras para implementar redes privadas virtuales o VPN) de nada servirán si el usuario no toma conciencia de la responsabilidad que tiene en su compañía y que un fallo suyo podría ser (y casi siempre es) la puerta de entrada para los ataques.