FLEXENCLOSURE REFLEXIONS

La Tecnología no es la Respuesta Final para una Seguridad Óptima en el Centro de Datos

18 junio 2018

Por , Regional Sales Engineering Director LATAM, Flexenclosure

En los últimos meses, la seguridad de la información y en particular los datos de las personas, ha sido un tema candente.  El nuevo Reglamento General de Protección de Datos (GDPR por sus siglas en inglés) de la Unión Europea, el escándalo de Cambridge Analytica, o las revelaciones semanales de instituciones financieras y proveedores de servicios de consumo cuyas bases de datos han sido hackeadas; son ejemplos que todos conocemos.

Igual de importante, aunque menos discutido como la seguridad de nuestra información, es la seguridad de los centros de datos que la contienen.  En primera instancia el identificar, revisar y priorizar todos los elementos que un centro de datos debe tener en términos de seguridad parecería un tema muy complicado que depende de múltiples variables tales como el tamaño de la instalación, tipo de organización, compromisos de servicio, complejidad del sistema, requerimientos de los clientes, etc.

Aun considerando todas las variables mencionadas arriba y en mi opinión, la seguridad del centro de datos se concentra en dos áreas:  la seguridad física y la seguridad operativa.  Aunque ambas dependen ampliamente en la tecnología, el elemento más importante es la creación de políticas, procesos operativos y procedimientos apropiados; y por supuesto, de su correcto seguimiento.

Desafortunadamente a lo largo de los años he visto muchos ejemplos de seguridad tanto física como operativa ser comprometidos debido a la falta de procesos de seguridad y procedimientos claramente definidos.  Irónicamente, lo he visto en centros de datos que cuentan con equipo de seguridad de última tecnología.

For Ultimate Data Centre Security, Technology is Not the Answer

Por ejemplo, el implementar los sistemas más recientes y sofisticados de acceso biométrico no asegura por sí mismo que las áreas supuestamente seguras serán seguras y que el acceso será totalmente controlado.  Al contrario, he sido testigo de personal no autorizado y no supervisado rondando a voluntad en las áreas “seguras”.  En este caso, la falla no se debe a la falta de funcionamiento del equipo de acceso y control, sino a protocolos adecuados de seguridad que no se están implementando o manteniendo.

En cuanto a la seguridad operativa, un requisito normal para cualquier centro de datos moderno es contar con capacidad de redundancia totalmente integrada con el fin de asegurar operaciones continuas aún en caso de desastre.  Para muchos clientes de los operadores de centros de datos esto no es negociable, debido a la dependencia que tienen de los sistemas de misión crítica que albergan los centros de datos.

Sin embargo, así como con la seguridad física, el implementar sistemas para una operación completamente redundante de las instalaciones no significa únicamente instalar equipo de última tecnología.  Asegurar la redundancia de un centro de datos es una tarea sumamente compleja.  El diseño inicial es muy importante, así como la correcta instalación y enlace de los sistemas redundantes para potencia, enfriamiento, monitoreo o comunicaciones.  Pero lo más importante es que los protocolos y procedimientos deben ser implementados y observados con el fin de asegurarse que la redundancia realmente se accione en caso de requerirse.

Sin importar si el centro de datos en cuestión es de gran escala o si es pequeño, el mantener los procesos adecuados y las personas correctas siguiéndolos es lo que hace la diferencia entre el mantenimiento exitoso de la seguridad del centro de datos y fallas desastrosas.

Aunque se asegure el más técnico de los ambientes, la tecnología es sólo una parte de la respuesta.  Sin una aplicación disciplinada de políticas y procesos asociados, no se puede garantizar el éxito.  Después de todo, las mejores herramientas en la caja de herramientas no tendrán valor sin el conocimiento adecuado y la experiencia para utilizarlas correctamente.