Por Stefan Nilsson, director comercial de Conapto

Para la mayoría de las organizaciones, el centro de datos es el elemento más importante de sus operaciones; literalmente manteniendo todo junto. Es el campamento base para las aplicaciones centrales donde se procesan grandes conjuntos de datos, respaldados por la infraestructura de red central. Mantenerlo seguro debería, por lo tanto, estar en la parte superior de la lista de prioridades de cualquier empresa.

Alexander Lesnitsky_Pixabay_royal-guardsman_314x800.png
No todas las organizaciones pueden disfrutar de este nivel de seguridad física – Alexander Lesnitsky, Pixabay

Una encuesta de Uptime Institute reveló que el 45 por ciento de los centros de datos han experimentado condiciones climáticas que amenazan la operación, mientras que poco menos del 10 por ciento han sufrido interrupciones significativas como resultado. Por lo tanto, para garantizar el máximo tiempo de actividad, debe prepararse tanto para las amenazas físicas como para las ciberamenazas.

Puede pensar que la probabilidad de que cualquier centro de datos moderno sea víctima de un clima extremo o un desastre natural es insignificante, pero cuando el huracán Sandy azotó el este de los Estados Unidos en 2012, varios centros de datos sufrieron inundaciones que inhabilitaron las bombas de combustible y finalmente cortaron la energía provocando interrupciones generales.

Además, esto no fue una ocurrencia rara y única. Una encuesta de Uptime Institute reveló que el 45 por ciento de los centros de datos han experimentado condiciones climáticas que amenazan la operación, mientras que poco menos del 10 por ciento han sufrido interrupciones significativas como resultado. Por lo tanto, para garantizar el máximo tiempo de actividad, debe prepararse tanto para las amenazas físicas como para las ciberamenazas.

También, es importante recordar que la seguridad física no solo incluye el perímetro exterior del edificio y sus terrenos. Los centros de datos deben estar equipados para continuar operando si falla un sistema crítico en particular. Se trata de crear sistemas redundantes de energía de respaldo, refrigeración, calefacción, ventilación y seguridad para evitar interrupciones significativas en caso de un corte de energía.

Después de todo, las medidas de seguridad no tienen el único propósito de prevenir infracciones, sino también de reducir las posibilidades de éxito de los delincuentes. Veamos algunas de las medidas de seguridad que debe tener en cuenta al asociarse con un operador de centro de datos.

La barrera física

Para que ocurra una violación física en cualquier instalación del centro de datos, los perpetradores deben haber encontrado una debilidad: alguna forma de entrar a la propiedad.

Una cerca con una altura mínima de cuatro metros es la primera capa de protección. Pero después, ¿el edificio real está equipado con cerraduras seguras, cámaras, detectores de movimiento y alarmas que identificarán y detendrán a la mayoría de los intrusos?

Si eso no es suficiente y no se detiene al intruso, ¿la sala de computadoras está equipada con puertas sólidas, paredes y cerraduras junto con sistemas de acceso para que sea casi imposible ingresar sin ser pillado?

El último nivel de protección es la jaula privada dentro de la sala de computadoras, así como la instalación de candados digitales seguros en los racks.

Stafford_GREEN_Pixabay_camera-712122_1920.original.jpg
A veces, la seguridad puede verse bien sobre el papel, pero la realidad puede ser muy diferente – Stafford Green, Pixabay

Como puede ver, la seguridad física debe construirse en capas en las que cada capa sirva para cumplir su propósito de seguridad. Lo comparamos con pelar una cebolla, en Suecia lo llamamos "principio de defensa profunda" y lo utilizan los gobiernos, el ejército y la policía para proteger activos importantes como las plantas nucleares.

Cableado perimetral

Ahora que tiene una cerca que rodea el perímetro de su centro de datos, agregue una capa adicional de protección envolviendo una capa de alambre alrededor de la parte superior. La bobina vibratoria y el alambre de púas son perfectos para el trabajo: una alarma se disparará si los sensores detectan movimiento o presión.

Además, recibirá una notificación de exactamente qué parte del cable se interrumpió, para que pueda desviar su respuesta en consecuencia a la ubicación correcta. Además, la implementación de cables eléctricos en la parte inferior de la cerca tendrá un efecto disuasorio sobre un intruso.

Monitoreo de circuito cerrado de televisión

Este es probablemente uno de los aspectos más importantes de la seguridad del centro de datos.

Al limitar el número de puntos de entrada y combinar una variedad de cámaras de videovigilancia, aumentará significativamente su seguridad física. Las cámaras de poca luz, los dispositivos de detección de movimiento y zoom disuadirán a los intrusos y documentarán a aquellos que intenten violar las instalaciones, almacenando digitalmente la evidencia fuera del sitio y poniéndola a disposición cuando ocurran incidentes.

Sistemas de control de acceso

Esto debe construirse en varias capas, comenzando con una lista de acceso controlada por usted, el cliente, con cada persona aprobada solo con acceso a áreas específicas de la instalación, según su función.

El acceso real al centro de datos está diseñado utilizando una tarjeta/etiqueta personal, un código personal combinado con biometría y reconocimiento facial, así como una "trampa" custodiada por personal de seguridad. Todos los datos, por supuesto, deben almacenarse con fines de cumplimiento, así como para su uso futuro en caso de que ocurran incidentes, lo que facilita determinar quién accedió a la instalación y cuándo.

Los sistemas de entrada biométricos mejoran significativamente la autenticación y la gestión de identidades en los centros de datos; no depende de la posesión de algún elemento físico, como una tarjeta de acceso, que se puede prestar o perder. Además, es increíblemente difícil duplicar las características biológicas y de comportamiento, lo que significa una posibilidad muy baja de manipulación o engaño.

Oficial de seguridad

Se podría argumentar que esto es un punto de inflexión, pero los oficiales de seguridad física siguen siendo el estándar en la industria y se espera en las RFP.

Por un lado, podría argumentar que se trata de una capa adicional de seguridad, pero por otro lado, podría argumentar que la introducción de un ser humano en la combinación de seguridad también podría elevar el riesgo, ya que una persona puede ser amenazada o sobornada, mientras que las medidas tecnológicas y los guardias remotos no pueden. Es difícil concluir cuál es la mejor solución, pero a menudo se reduce a los requisitos del cliente después de evaluar la seguridad real en el sitio.

Sin embargo, por complejo que sea su sistema de seguridad, asegúrese de que el operador de su centro de datos lo pruebe constantemente para asegurarse de que todos los componentes funcionen como deberían. Además, todo el personal contratado por este motivo debe recibir formación periódica sobre cumplimiento y procesos.

La mayoría de los datos, si no todos, son valiosos para un tercero no autorizado. Las violaciones de datos son increíblemente perjudiciales para las organizaciones, especialmente en una era de divulgación obligatoria, y tienen consecuencias financieras extremas, así que asegúrese de que su empresa implemente múltiples capas de seguridad para reducir su riesgo, y no subestime la importancia de una buena seguridad física.