Las soluciones DCIM implantadas en el data center han requerido la instalación de cientos de sensores que permitan medir todo tipo de variables. En ese sentido, el centro de datos ha sido pionero en hacer realidad el concepto de "Internet of Things". Sobre esta relación y sobre la necesidad de diseñar un DCIM seguro profundiza en esta entrevista Jorge Jiménez, Product Manager de la división de IT de Schneider Electric Iberia.

 

¿A qué amenazas se puede ver sometido un sistema DCIM?

Diría que un sistema DCIM puede sufrir los mismos ataques que hoy en día puede sufrir cualquier solución IoT. Personalmente, pienso que los centros de datos han sido las primeras soluciones IoT por su complejidad, por la cantidad de dispositivos, por la inteligencia de los mismos y por la aparición de herramientas superiores (DCIM) para aportar valor a toda la información que esos dispositivos están recogiendo (temperatura, consumo…).

Básicamente esos ataques son:

- En los dispositivos. Cada vez son más frecuentes los ataques a los dispositivos y cada vez son más peligrosos puesto que cada vez más los dispositivos tienen mayor autonomía.

- Los derivados de la arquitectura DCIM. Los mundos OT e IT están convergiendo y por lo tanto los posibles ataques tradicionales TI, donde existe mayor conectividad exterior, pueden entrar en el mundo OT (tradicionalmente más aislado).

- En el software. Es cada vez más importante desarrollar el software pensando en los posibles ciberataques.

Ante todas estas posibilidades de ser atacados, es fundamental que el diseño que hagamos de los productos y soluciones tenga como uno de sus puntos principales la seguridad en global, el SDL por ejemplo. (Ver post “Las soluciones de ciberseguridad a examen”)

 

¿Cuáles son las consecuencias de que un sistema DCIM sufra un ciberataque o intrusión? ¿Puede llegar a caerse el data center?

La respuesta es sí. Pensemos que existen elementos de la infraestructura física que pueden tener un impacto total en el centro de datos. No es lo mismo apagar un servidor que apagar una enfriadora, por ejemplo.

 

¿En qué punto de la cadena del DCIM se producen esos ataques: en los sensores/dispositivos, en los protocolos de comunicación o en el software DCIM?

Diría que el orden en que está formulada la pregunta también marca la tendencia actual en atacar cualquier sistema IoT, y más concreto en este caso DCIM. Lo cual es coherente si pensamos que probablemente en nuestros centros de datos tenemos dispositivos con cierta antigüedad mucho más susceptibles de poder ser atacados si logran el acceso. Por el contrario, los softwares DCIM, como por ejemplo es nuestro caso, StruxureWare, se actualiza constantemente, unas 2 veces o más al año, con actualizaciones de seguridad continuas.

Así pues, el elemento más débil es el dispositivo, y su debilidad aumenta conforme su antigüedad aumenta. Probablemente ligado a los dispositivos y su antigüedad van los protocolos de comunicación. No olvidemos que al final son los que usan los ciberatacantes para conectarse a los dispositivos y acceder.

Y aunque no está en la pregunta, añado un punto adicional a la cadena, que es el más importante: las personas. Podemos tener el dispositivo más seguro del mundo, pero lo configuramos y dejamos el usuario/password que viene por defecto en el manual del fabricante, o utilizamos para monitorizar todos nuestros dispositivos las comunidades SNMP de lectura y escritura por defecto… Para desarrollar un buen sistema de ciberseguridad en plataformas digitales (SDL) es fundamental incorporar como elemento clave al personal. (Ver post “Qué hemos de tener en cuenta para desarrollar e implementar una plataforma segura”)

 

¿Cómo es posible hacer el DCIM más seguro en estos ámbitos?

Lo comentaba anteriormente, debemos desarrollar soluciones y productos seguros en su globalidad. Cuando implementamos una solución DCIM tenemos que hacer este análisis globalmente, incorporar la seguridad en el diseño de la solución y a partir de ahí ser consciente de las debilidades para intentar mitigarlas o minimizarlas si no es posible. En nuestro caso, como fabricante de soluciones completas para centros de datos, tenemos la ventaja de que podemos diseñar todo el producto, hardware + software, siguiendo este tipo de metodologías SDL, garantizando la máxima seguridad a nivel de dispositivo, arquitectura y software.

 

¿Existen protocolos de comunicación más seguros?

Existen, por supuesto, y en nuestro caso los vamos incorporando. Así, por ejemplo, la mayoría de los dispositivos de sala IT de Schneider Electric (PDUs, sensores…) permiten la conexión mediante protocolo TLS v1.2, que actualmente es la versión más segura para conectar por red, a la espera de que el borrador de la versión 1.3 sea definitivo.

 

En cuanto al software DCIM, ¿cómo se puede garantizar la seguridad para evitar accesos no autorizados?

Diría que si hablamos de software tenemos que considerar que está instalado seguramente en un servidor, por lo tanto, definiría 5 niveles de seguridad:

- El sistema operativo del servidor

- Los protocolos a través de los cuales podemos conectar al sistema operativo del servidor

- El propio software DCIM instalado en el servidor

- Los protocolos a través de los cuales podemos conectar al software DCIM

- El cliente desde el que nos conectamos

Para garantizar la seguridad del software DCIM como tal, debemos garantizar la seguridad en los 4 primeros puntos, algunos dependen más de la plataforma compatible (sistemas operativos soportados) y otros de un desarrollo seguro.

Probablemente el punto más importante es el último, que habitualmente queda fuera del desarrollo de la solución como tal, y es el usuario final que se conecta desde cualquier dispositivo a través de su navegador web o de un pequeño cliente instalado. Ahí los riesgos aumentan si sufrimos un ciberataque y por ejemplo nos roban las credenciales de conexión al DCIM. Es por lo tanto fundamental que uno de los principales factores cuando desarrollamos un proyecto DCIM sea incorporar al personal y a sus terminales dentro de las medidas y políticas de ciberseguridad.

 

¿Cree que existen más amenazas en el entorno industrial de las que había antes?

Por supuesto. Lo decía al principio de esta entrevista, actualmente la “fama” del IoT y la convergencia de IT y OT está incrementando el número de ataques y también la complejidad de las soluciones y la posibilidad de ser atacados de formas diferentes. Uno de los puntos fuertes de Schneider Electric como organización es que somos especialistas en la industria. Conocemos sus procesos, sus clientes, y, sobre todo, sus necesidades en materia de ciberseguridad.

 

Mencionaba al principio que los data centers han sido las primeras soluciones IoT. ¿Qué recomendaciones puede extraerse del DCIM para llevarlas al Internet de las Cosas que se está aplicando fuera del data center?

Correcto. En mi caso, suelo poner como primer ejemplo de IoT, el centro de datos y el DCIM.

En nuestro caso nos ha servido para aplicar las mismas metodologías de desarrollo de productos y soluciones donde la seguridad juega un papel principal y no sólo a nivel de componente, sea hardware o software, sino desde un punto de vista global.

EcoStruxure es la plataforma IoT de Schneider Electric basada en 3 niveles: dispositivos conectados, control local y analytics/apps/servicios. Esta plataforma es transversal a todos nuestros productos, sean centros de datos, industrias, edificios, etc, la metodología es común y el desarrollo del DCIM desde 2004 ha ayudado a que el desarrollo a nivel de seguridad de esta arquitectura sea maduro.

 

En definitiva, ¿cuáles son las lecciones aprendidas de DCIM que pueden servir para el IoT?

Me quedaría con una principalmente: el dispositivo conectado. Nos puede dar mucho pero también nos lo puede quitar. Y en este punto podemos hablar tanto de seguridad como de información. Podemos tener muchos datos, pero si no tenemos un buen sistema por encima que los convierta en información seguirán siendo datos que consuman recursos. El DCIM nos ha ayudado a aprender a utilizar esos datos para mejorar. Quien ha entendido eso, ha apostado por las soluciones DCIM y diría que está más preparado para gestionar el centro de datos del siglo XXI.