La importancia de la seguridad de los datos, mediante la aplicación de las medidas de protección a partir de las tecnologías de seguridad electrónica y física.
por Daniela García Vásquez - Stefanía Rotavista*
Los data centers son infraestructuras que deben ser salvaguardadas por la alta afluencia de información que manejan a diario y la cantidad de datos que allí se mueven. La seguridad física debe cumplir con ciertas características, por lo que en este artículo se presentan algunas prácticas de seguridad recomendadas para la seguridad física de estas infraestructuras.
Se puede entonces, definir un data center como la instalación física donde están dispuestos todos los equipos electrónicos necesarios para el procesamiento de la información de una organización (Víctor G.,2013). Estos equipos deben ubicarse en lugares especiales que cuenten con unas medidas de seguridad en procura de evitar la pérdida de la información.
Actualmente según ODATA (2022), Colombia se ha vuelto un foco para la creación de data centers ya que cuenta con una infraestructura tecnológica que lo posiciona como el segundo país de la región con mejor conectividad, transmisión y estabilidad. Además, por su potencial de expansión a las nuevas tecnologías aún emergentes, es el tercer mercado más importante en la región latinoamericana. Sin embargo, este crecimiento conlleva a su vez una gama de riesgos de diversa índole, entre estos: naturales (huracanes, terremotos, tornados, incendios, etc) o por acciones humanas: el robo y sabotaje, entre otros; dada la criticidad asociada a la información almacenada.
En este punto emerge la importancia de la seguridad de los datos, mediante la aplicación de las medidas de protección; a partir del control de los accesos físicos frente a amenazas que pueden propiciar el robo de hardware, ataques maliciosos, espionaje corporativo y el acceso no autorizado a equipos sensibles. (Anixter, s.f).
Todo lo anterior implica que, las filtraciones a los datos no son exclusivamente realizadas por un hacker o por medios tecnológicos, puesto que si una persona sin autorización ingresa a un data center vulnerando la seguridad, podría acceder a un servidor, subir un virus, cortar un cable o generar una desconexión de estos. De este modo, la seguridad y el personal deben gozar de protocolos de seguridad que armonicen el funcionamiento de las medidas físicas y humanas en pro de la mitigación de los riesgos.
Dentro de las principales recomendaciones de uno de los data center más grandes es la implementación de un modelo para la gestión del riesgo, a partir de tres puntos claves (Anixter, s.f.):
• Crear un plan de batalla: Establecer procedimientos para defenderse de amenazas.
• Invertir tiempo y estar informado: Estar conectado con el mundo de la Seguridad de los data center es una prioridad para las organizaciones ya que mediante estas se comparten las últimas amenazas detectadas y las posibles formas de enfrentarlas.
• Compromiso organizacional total: Una organización debe participar activamente y comprometerse al nivel de seguridad que se requiere.
Por otro lado, la pandemia del COVID 19 potenció la necesidad de realizar múltiples actividades remotas, fomentando la utilización de medios tecnológicos y la creciente movilización de datos, lo que generó que las empresas invirtieran aún más en estos data center. Esto era ya un presagio en el cual Colombia se posicionaba como un buen lugar para invertir en estas infraestructuras y sus servicios conexos, por su ubicación estratégica y por la relevancia dada a nivel gubernamental a la revolución digital.
Aunque es bien sabido que en Colombia la industria de los data centers es representativa y creciente por las cualidades ya mencionadas, es importante aclarar que la ubicación de muchos de estos es confidencial, como primer principio de seguridad. En cuanto a los clientes de este tipo de servicios, estos demandan la existencia de medidas pertinentes de seguridad, para garantizar que la confiabilidad, disponibilidad e integridad, prevalezcan adecuadamente.
De otro lado, desde la planificación de la seguridad se debe tener presente la ubicación geográfica adecuada para evitar las amenazas propias de la región, así como las condiciones energéticas necesarias para el funcionamiento adecuado de los equipos allí contenidos. De la misma manera, las condiciones ambientales deben mantener los equipos en óptimo estado, con la refrigeración adecuada y por último la conectividad de banda ancha que ofrece debe permitir operar correctamente. (Pacio, 2014)
Medidas de seguridad física
Ahora bien, en cuanto a las medidas de seguridad física, se deben aplicar los diferentes principios de seguridad, tales como confidencialidad, detección, retardo, respuesta, identificación, validación y registro. La confidencialidad hace referencia a la menor información pública expuesta sobre su ubicación; la detección refiere a sistemas de alarmas para la identificación de posibles intrusos; el retardo hace alusión a las medidas pasivas que deben ser implementadas para demorar la acción criminal.
En cuanto a la respuesta, se deben disponer de adecuados mecanismos y coordinación con autoridades o seguridad privada para neutralizar posibles acciones delictivas; mientras que la identificación, validación y registro, alude a los principios que los controles de acceso deben tener en su diseño y aplicación.
Según Anixter (s.f) dentro de los principales sistemas que se deben considerar para la seguridad de los data center, se encuentran:
• Control de acceso: Estos deben contar con un sistema de apertura segura y sensores en las puertas, así como el registro de los empleados (según sus perfiles) en el sistema para garantizar la identidad con tarjetas de acceso y datos biométricos. Con respecto a los visitantes solo podrán ingresar las personas previamente autorizadas, cumpliendo con la identificación positiva y el control en profundidad dentro de las instalaciones.
• Sistema de video vigilancia: Es recomendable, que este sistema, disponga de las cámaras en el interior e inmediaciones de las instalaciones, garantizando la grabación de imágenes en los tiempos necesarios e informando a las personas de esta actividad.
• Seguridad en el acceso a los racks de los servidores: Puede ser mediante cerraduras con llave o lectores de control de acceso en las puertas, que permitan cumplir con los dos principios vistos previamente: el retardo y la identificación, es decir que, los sistemas deben tener la posibilidad de identificar los usuarios que tienen avalado el ingreso y en caso de sabotaje disponer de la dureza necesaria para demorar la acción criminal.
• Sistema de detección y extinción de incendios: La instalación debe contar con un sistema de detección de humo por aspiración o ASD y un sistema de extinción automático de incendios.
• Personal de seguridad: Es importante contar con personal de seguridad capacitado, cuya presencia y actividad sea las 24 horas del día, tanto en el control de acceso como en el interior y exterior de las instalaciones.
• Medidas administrativas: Todo lo anterior, debe gozar de una adecuada planificación, administración, procedimientos y responsabilidades asignadas claras con el fin de evitar que los mismos sistemas de seguridad, sean la principal vulnerabilidad del sistema. En este punto es importante la auditoría como mecanismo de mejora continua.
Para concluir, Colombia cuenta con lugares dedicados al almacenamiento de información como son los data centers, esta industria presenta un auge y diversificación de los servicios y funcionalidades para prestar servicio de calidad a sus usuarios. La gestión de la seguridad física de los data center, deben ser adecuadamente planificadas, implementadas y auditadas dentro de las operaciones que allí se realizan, de manera tal que la mitigación de los riesgos sea efectiva. Para esto, las medidas adoptadas deben considerar los principios de la seguridad física explicados, de manera tal que la armonía en el funcionamiento de los sistemas, se adecúe a los riesgos propios de este importante sector.
* Trabajo de Grado de Daniela García Vásquez y Stefanía Rotavista, de la carrera de Administración de la Seguridad y Salud Ocupacional de la Universidad Militar Nueva Granada.
Bibliografía
1. Pérez, H. (2022, 25 febrero). Data Center: Infraestructura crítica para los negocios. ODATA - Colocation. https://odatacolocation.com/es/blog/data-center-aprenda-todo-sobre-esta-infraestructura-critica-para-los-negocios/
2. Galván, V. G. (2013). DATACENTER UNA MIRADA POR DENTRO (01 ed.). Ediciones Índigo.
3. Pacio, G. (2014). Data centers hoy - protección y administración de datos en la empresa (1.a ed.). Alfaomega Grupo Editor.
4. Anixter (s.f). Las mejores prácticas para la gestión del riesgo. DCD Intelligence https://www.anixter.com/content/dam/anixter/resources/white-paper/anixter-buenas-practicas-gestion-riesgo-data-center.pdf
5. Orts, J. (s.f). La seguridad en los Centros de Datos. GESAB. https://gesab.com/noticias/seguridad-centros-de-datos/
6. Lanfear, T., Berry, D. (2022). Instalaciones de Azure, entornos locales y seguridad física. Azure. https://docs.microsoft.com/es-es/azure/security/fundamentals/physical-security
Deje su comentario