En la actualidad los centros de procesamiento de datos se han vuelto instalaciones críticas para cualquier empresa sin importar su tamaño o actividad económica, la necesidad para poder manejar grandes volúmenes de información ha hecho que todos incursionemos en el uso de los sistemas informáticos para poder llevar a cabo tareas administrativas al interior de nuestras oficinas y corporativos.
Dichas necesidades se han atendido primero en nuestras propias instalaciones y en la actualidad incursionando con sistemas “en la Nube” que permiten el acceso a la información y datos en cualquier lugar donde nos encontremos.
Escribo estas líneas desde el café “La Parroquia” en la ciudad de Xalapa de Enríquez del bellísimo estado de Veracruz, disfrutando de su ya famoso “Café Lechero”, que consiste llanamente en un ‘shot’ de café mezclado con leche caliente en un vaso de cristal, muy recomendable para quien visite el estado por placer; lo que me permite tener un momento de relajación y esparcimiento después de una larga jornada de trabajo. Esto me resulta posible, ya que el café como parte del servicio incluye la posibilidad de conectarse por medio de wifi al Internet, teniendo así la posibilidad de consultar información fuente para mi escrito y revisar inclusive algunos temas de la oficina al tener actualmente toda la operación “en la Nube”.
Esto es la modernidad y nuestra realidad, ambientes distribuidos con accesos ilimitados por medio de una conexión a Internet que nos habilitan a trabajar en cualquier parte del mundo mientras tengamos la oportunidad de conectar la computadora a la corriente eléctrica y obtener un acceso inalámbrico a Internet.
Sin embargo, estas comodidades modernas nos traen una serie de inconvenientes inherentes a la facilidad con la que podemos acceder a nuestra información, lo que se resume en la posibilidad de que otros también tengan acceso a nuestros datos e información por medios más o menos sencillos, el hecho de no estar en una oficina o de no “conocer” personalmente al equipo de trabajo me expone a una serie de riesgos que de otra manera no tendría que contemplar ni ver como parte de mi estrategia de protección y seguridad.
Sin importar mucho cómo sea tu proceso de información, en dónde se encuentre ubicado y los servicios que tengas a disposición es muy importante revisar desde varias perspectivas la seguridad del núcleo de procesamiento inclusive si el mismo se encuentra como un servicio a tu disposición por una renta mensual; es importante cuidar que tengas habilitadas el mayor número de medidas de seguridad que estén a disposición de tu proveedor para obtener un nivel al menos recomendable de seguridad para tu información, la de tus colaboradores y la de tus proveedores y clientes.
CONSIDERACIONES PREVIAS Y PLANEACIÓN
Hablar de seguridad en cualesquiera de sus modalidades nos implica ser conscientes de que jamás obtendremos un 100% bajo ninguna circunstancia, si bien en seguridad física podemos prometer valores tan altos como un 80% o más el aventurarnos por encima de un 60% al hablar de procesamiento de información suena fuera de lugar pudiendo bajo ciertas circunstancias especiales llegar hasta un 75% como máximo desde mi propia perspectiva.
Teniendo esto en mente es que debemos hacer un examen a conciencia de la información que estamos manejando, de qué manera se está almacenando y procesando incluyendo su transmisión a otras entidades cuando sea necesario, para poder tomar decisiones sobre cuánto es que debemos realmente protegerla. Recordemos que siempre un mayor nivel de protección implicará necesariamente un menor nivel de “usabilidad”, y no se trata de tener lo mejor en seguridad para garantizar que nada de la información sufrirá algún tipo de problema, con la consecuencia de inhabilitar al negocio para poder operar y realizar las tareas que le son indispensables.
Hay que tener cuidado de no buscar situaciones hipotéticas demasiado “fuera de la realidad” al hacer el análisis de riesgos; si bien una invasión extraterrestre es un riesgo que podría ser considerado factible, el hecho de que algo así ocurriera preocuparía más desde la perspectiva de la propia existencia que de la seguridad de nuestros datos o información, por lo que simplemente dejemos de lado cualquier situación que pueda poner en riesgo la existencia inclusive del país o la ciudad y centrémonos en lo que realmente puede resultar un impacto negativo hacia la empresa o la información procesada por alguna falla en nuestro esquema de protección.
Una vez que hemos logrado identificar los posibles riesgos a los que estamos sujetando los datos, la información, el equipo de procesamiento, el equipo de almacenamiento, las comunicaciones y los servicios adicionales de los que dependemos para la operación de nuestro negocio debemos proceder a clasificarlos para atender cada uno de ellos de acuerdo con la especialidad que se requiera ya sea internamente o por medio de un proveedor que nos apoye con su solución, transferencia o mitigación.
En lo particular, el centro de procesamiento de datos es un punto en la infraestructura de la empresa en que dos o más especialidades se cruzarán, ya que requerirá el acuerdo y experiencia del personal que se dedique a seguridad física combinada con las de aquellos dedicados a la seguridad de Tecnología de la Información (TI) o el departamento de procesamiento de información sea cual fuere su nombre en la empresa en particular.
En lo personal recomiendo segmentar la estrategia de seguridad en tres clasificaciones que permitan asignar especialistas en cada uno de los temas, debiendo trabajar en equipo para combinar las estrategias individuales en generar un plan integral que permita proteger adecuadamente el centro de datos, la cuestión aquí es que hay situaciones que requieren de un enfoque muy técnico respecto a las medidas e implementación, pero que al final resultan tener algún punto de contacto con otras de las medidas de protección que se tendrán para atender otro de los segmentos.
Mi sugerencia es utilizar Protección Física como primer segmento que se encarga de diseñar e implementar la estrategia a nivel de protección física y acceso al sitio físico, Protección Tecnológica en el segundo segmento que permitirá diseñar e implementar una estrategia tecnológica a nivel de procesamiento de datos para la protección tecnológica y acceso a la información y datos, y por último los Protección de Servicios que permitirá diseñar e implementar una estrategia correspondiente a contar con los servicios adicionales provistos por terceros para poder utilizar nuestra infraestructura de procesamiento de datos.
PROTECCIÓN FÍSICA
Los empresarios somos definitivamente curiosos cuando se trata de invertir dinero en recursos de proceso de datos, en ocasiones olvidamos que éstos son activos delicados que requieren de la protección y cuidado por su situación e importancia para la operación de la empresa representan, exponiéndolos por medio de paredes de cristal o inclusive haciendo del centro de procesamiento cualquier persona que se encuentre al interior en caso de ser disparados. Siempre utilice una alarma de disparo que combine elementos visuales con auditivos, de modo que cualquier persona por muy distraída que se encuentre haciendo su trabajo o con demasiada concentración pueda percatarse que el sistema de extinción se habilitará y debe salir de inmediato de la habitación.
Mantenga al personal que utiliza la habitación, trabaja en su interior o es responsable de la misma constantemente capacitados y con recordatorios frecuentes del cómo disparar, habilitar, deshabilitar e inclusive suspender el sistema o su disparo para que puedan llevar a cabo las funciones sin intervención de otros y atender de inmediato cualquier situación que pueda surgir para posteriormente reportar fallas y que sean revisadas y corregidas por el departamento que corresponda.
Asegúrese que ninguna tubería de otros servicios como por ejemplo el agua, gas, energía o drenaje pase cerca o por encima del cuarto de datos, es indispensable que cualesquier otra infraestructura de la instalación en la que se encuentre ubicado no altere o intervenga en la operación de la habitación o terminarán como en alguna ocasión me tocó en un Sábado de Gloria extrayendo agua del cuarto de sistemas porque la boquilla de desagüe del sistema contra incendio a base de agua se encontraba ubicada en la bóveda de almacenamiento de cintas de respaldo, lo que hará que comprendan que no se trataba de una empresa pequeña, sino de un corporativo bastante grande.
El suministro de energía eléctrica es una función que también debemos considerar en nuestra estrategia de seguridad del centro de datos, y no solamente cuando el mismo falle, sino en situación normal que la energía sea adecuada para los equipos instalados en el interior de la habitación para evitar daños a los mismos.
El personal responsable de dichos equipos deberá tener la información de especificaciones eléctricas de los equipos y puede proporcionarlas para que los responsables de la instalación eléctrica puedan revisar los contactos, el suministro y la instalación de equipos como reguladores y supresores de picos que permitan obtener un suministro parejo y estable de energía disminuyendo tanto el riesgo de incendio como el de daño por un suministro irregular de la energía; también es importante considerar la tecnología de la clavija que el equipo requiere para su conexión, ya que en algunos equipos medianos y grandes las especificaciones cambian e inclusive el voltaje puede no ser el común para las instalaciones eléctricas convencionales.
El último punto a considerar dentro de la protección física del centro de datos es el control de temperatura, independientemente de la recomendación del fabricante en caso de mencionar una mayor temperatura, mi experiencia me hace recomendar el mantener la temperatura constante a no más de 18 (dieciocho) grados centígrados tratando que sea de preferencia cercana a los 16 (dieciséis) grados centígrados y supervisada de manera automática por el equipo de enfriamiento. En caso de utilizar plafón o piso falsos deberá inyectar el aire frío por la parte superior y recuperar el aire caliente por la parte inferior; la persona encargada de tecnología podrá darle mayor información sobre el diseño de pasillos o zonas frías y calientes de acuerdo con la ingeniería realizada del mismo cuarto por dicha persona.
PROTECCIÓN TECNOLÓGICA
Del mismo modo en que se utilizan diferentes “capas” para proteger la seguridad física del cuarto, la tecnología nos permite crear mecanismos que dificulten o entorpezcan el acceso de personas que no deseemos ingresen a nuestra información por medio de diferentes mecanismos, que pueden ir desde muy básicos hasta unos muy sofisticados que dependerán de la información que deseamos proteger.
Podemos iniciar con las contraseñas de acceso, y en particular las de aquellos usuarios que tengan mayores privilegios para poder administrar los equipos y la infraestructura que albergan los datos e información de la empresa, además de su procesamiento y configuración.
La recomendación es que utilicen contraseñas de por lo menos ocho caracteres, con una combinación de números y letras tanto en mayúsculas como minúsculas y algún carácter especial como signos de puntuación o aritméticos y no utilizar palabras que se puedan obtener de un diccionario.
Una buena práctica es cambiar dichas contraseñas cuando menos cada tres meses de modo que se tenga mayor seguridad con las mismas, de ser posible recortar en el caso de cuentas de administrador a un mes y sin utilizar contraseñas que sean consecutivas o que solamente cambien en uno o dos caracteres, lo mejor es utilizar una contraseña nueva cada ocasión que sea completamente diferente de la anterior.
Es importante conservar un sobre cerrado con todas las contraseñas resguardado en una caja de seguridad, de modo que si por algún motivo se requiere el acceso debido a que la persona se enferme o tenga alguna complicación, exista una forma de poder ingresar y hacer las operaciones que se requieran sin tener que depender de un solo colaborador.
Lo siguiente a tener en cuenta es la protección perimetral de la red, el conectar a la empresa al Internet se ha vuelto una necesidad más que un lujo en la actualidad, para poder comunicarse con clientes y proveedores o tener la facilidad de implementar estrategias de mercadotecnia y venta que permitan una comunicación de mayor fluidez con los prospectos y clientes. Dicha conexión genera riesgos al abrir la puerta a personas fuera de la organización a nuestros equipos de procesamiento de datos, que debe ser protegida utilizando un ‘firewall’ para evitar que personas que no deban tener acceso ingresen a nuestros equipos tecnológicos.
Los “cortafuegos”, como suelen llamarse, presentan un buen nivel de protección para el perímetro de nuestra red, sobre todo si pueden combinarse con un antivirus y protección de correo spam ya que evitan el ingreso de programas maliciosos además de habilitar funcionalidades como la conectividad en remoto por medio de una Red Privada Virtual (Virtual Private Network o VPN, en inglés) que muchos ya incorporan dentro de las funcionalidades ofrecidas, este tipo de conectividad establece un canal de comunicación asegurado por medio de encriptación entre el colaborador y la empresa que tanta falta nos hace en tiempos como los que vivimos en los que trabajamos desde casa.
Se debe considerar del mismo modo implementar dos niveles de protección con este tipo de tecnología, el primero, que sea de hardware para habilitar funcionalidades adicionales como el antivirus o la VPN, y el segundo en forma de software instalado en los equipos de procesamiento de información de la empresa de modo que se habilite la conectividad a los mismos por medio de validaciones como la dirección de origen o el dispositivo que se está utilizando para conectarse al mismo.
Otra cuestión que debemos utilizar es el uso de herramientas que puedan detectar y evitar la instalación o propagación del llamado ‘malware’ que en la actualidad ya no sólo se trata de virus informáticos, sino que también incluye otro tipo de programas que alteran la funcionalidad del equipo y los programas, permitiendo el acceso de personas no deseadas a nuestra información.
Es necesario cuidar que estas aplicaciones se tengan en los equipos de toda la empresa y se mantengan actualizados de manera automática, para contar siempre con la protección más reciente ya que cada día se agregan nuevas validaciones para código malicioso, el mejor antivirus sin estar actualizado no tendrá mucha utilidad.
Lo último a considerar en este sentido es mantener actualizadas las aplicaciones que se utilizan para el proceso de información tanto en los servidores como en las estaciones de trabajo de los colaboradores, lo anterior con la finalidad de obtener correcciones de errores o mejoras de seguridad del fabricante de cada uno de ellos en las aplicaciones que utilicemos. Esto debe incluir tanto los sistemas operativos, como cualquier otro programa que nos permita llevar a cabo el trabajo y el proceso de datos en información, o inclusive para almacenar los datos e información.
PROTECCIÓN DE SERVICIOS
Mi última recomendación respecto del plan de seguridad que se debe implementar para proteger un centro de datos es tener mitigado el riesgo de interrupción en los servicios que lo alimentan, estos cuartos requieren de energía eléctrica continua, enfriamiento hasta un nivel determinado y canales de comunicación hacia el exterior para poder funcionar de manera óptima. Si bien pudiera parecer un costo alto el tener estos riesgos cubiertos, no es sino cuando tenemos un evento que afecte alguno de ellos, que nos damos cuenta de la importancia de dicha inversión y los beneficios que brinda.
Hablando de la energía eléctrica requerimos regular el suministro además de retirar los picos de voltaje que pudieran llegar a ocurrir en el suministro, se recomienda la instalación de un regulador con un supresor de picos independiente, que puedan complementarse y lograr la función esperada, debido a que el regulador se encarga de mantener el voltaje constante y los supresores de picos evitarán cambios en el amperaje o aumentos elevados del mismo evitando así daños en los equipos y posibles incendios en el cableado eléctrico.
Adicional a controlar la cantidad de energía suministrada debemos contemplar una posible interrupción del suministro de la misma, aquí el uso de una fuente ininterrumpida de energía (UPS, por sus siglas en inglés) es lo óptimo ya que éstas funcionan de inmediato evitando que se apaguen los equipos, adicional al mismo debemos contemplar una planta de generación de energía que pueda mantener el suministro a largo plazo. La planta toma algunos segundos pudiendo llegar a minutos en restablecer el suministro, el combinarla con una fuente ininterrumpida de energía permitirá otorgar la continuidad en el suministro que requieren los equipos, además de garantizar el suministro por varias horas en caso de ser necesario. Para los sistemas de enfriamiento no hay otra alternativa que instalar dos equipos idénticos en el cuarto, de modo que si uno de ellos falla, podamos encender el segundo y dar continuidad al enfriamiento del cuarto, lo recomendable es mantener ambos funcionando de manera alternada para evitar daños ocasionados por su falta de uso. Una buena práctica es utilizar el primero durante un mes, apagarlo y encender el segundo durante otro mes para alternarlos de esta manera, permitiendo así que ambos equipos se mantengan en funcionamiento y verificada su capacidad de enfriamiento para que en caso de alguna falla se tenga la confianza que el otro podrá entrar en lugar del dañado.
Por último, debemos considerar los servicios de conectividad que el cuarto requiere tanto al interior de la instalación donde se encuentre ubicado como con el mundo exterior (clientes, proveedores, colaboradores y otros) los interesados en tener acceso a los datos o información que procesa dicho cuarto.
En este rubro tampoco hay mucha ciencia que aplicar, debido a que en realidad no podemos hacer mucho más que aplicar el mismo concepto de redundancia que nos permita contar con dos alternativas para suplir el servicio requerido, con la salvedad de que para el caso de servicios de conexión al exterior o Internet debemos contemplar el uso de dos o más proveedores para que al fallar uno pueda tomar el otro la comunicación necesaria.
Aquí resulta un poco más simple justificar la inversión, ya que los equipos de comunicación nos permiten aprovechar ambos canales distribuyendo la carga de trabajo de modo que se utilicen de manera simultánea las dos alternativas para mejorar la velocidad, en caso de fallar uno de ellos la carga se dirige al que continúe prestando el servicio y, aunque a menor velocidad de respuesta, nos permitirá seguir prestando el servicio requerido.
Es importante también evaluar la posibilidad de que dichas conexiones se realicen con tecnologías diferentes, por ejemplo si nuestros canales de datos con el primer proveedor se encuentran entregados por medio de cable de cobre o fibra óptica, el segundo proveedor debería utilizar una tecnología inalámbrica por mencionar alguna para evitar que si la falla es daño en el cableado afecte a ambos proveedores a la vez.
Si bien es posible que esta protección sea la más onerosa de implementarse, debemos considerar la factibilidad de distribuir la carga entre ambos proveedores como factor para justificarla además del uso de diferentes tecnologías de transmisión para proteger la continuidad del servicio, si además podemos agregar un aumento de velocidad dinámico en ambos proveedores darle continuidad al negocio estará al alcance de una llamada telefónica y el tiempo que la modificación de velocidad tarde para poder volver a la normalidad del servicio requerido.
CONCLUSIONES
Generar un plan de seguridad para un cuarto de datos debe ser contemplado desde un enfoque de diferentes disciplinas interactuando cada una en su especialidad para poder contar con la protección integral que el mismo requiere, de modo que no se trate de planes aislados, sino de un enfoque holístico que permita encontrar los puntos de contacto entre cada una de las especialidades y la forma en que se puedan complementar cada una de ellas con el afán de brindar mayor seguridad a la operación, habilitando siempre una mejor usabilidad de los recursos que se instalen en dichos cuartos.
Recordemos que las inversiones en equipo de procesamiento de datos suelen ser las mayores en cuanto a herramientas de trabajo se refieren, y deben ser cuidadosamente planeadas para evitar gastos innecesarios o exagerados en tecnologías que realmente no brinden un beneficio tangible al negocio, habilitando siempre un aprovechamiento al máximo de los beneficios que podamos entregar inclusive del esquema de seguridad que decidamos aplicar al mismo.
Si bien el uso de la tecnología al interior de las empresas ya se ha demostrado que no es un lujo, sino una necesidad con fundamentos bien estructurados, los tiempos que estamos viviendo actualmente nos enseñaron que adicionalmente debemos poder habilitar de manera muy expedita la conectividad desde cualquier lugar para los colaboradores de modo que no se vean interrumpidas las operaciones y podamos dar continuidad al negocio y nuestros trabajos, evitando afectar así las fuentes de empleo e ingresos que se nos dan.
Mucho de la adaptabilidad de las empresas ante eventos como la pandemia actual proviene de la tecnología con la que equipemos y habilitemos los servicios que los cuartos de datos proveen, entre mejor planeada se encuentre nuestra estrategia de seguridad para dichas instalaciones mayores beneficios podremos obtener de la misma, justificando así no sólo la inversión que ha de realizarse, sino también la continuidad del negocio en tiempos de crisis y la posibilidad de continuar operando en situaciones inesperadas como la que estamos viviendo actualmente.
Mi forma de pensar siempre ha sido con un doble enfoque respecto de la seguridad y protección tanto de los activos como de las personas, y este caso no es la excepción, ya que debemos centrar nuestras estrategias tanto en proteger los activos y la inversión de la empresa en los equipos de proceso de datos, la propia información y los datos que contienen, así como ser facilitadores para las actividades de negocio que pudieran requerirse en caso de algún evento que pueda afectar o modificar la forma en que debamos llevar a cabo las operaciones como resultó en esta pandemia.