Utilizando las mejores practicas
Autor: Miguel Arturo Isaza Villar
Esp. Seguridad Informática
Abstract—The Data centers
handle all kinds of information within an organization, whether public
information, private and / or confidential, these places are highly critical
and complex, it is necessary to use best practices in the design, construction
and operation thereof for reduce the risks to which they are exposed
I. Introduccion
En este documento, nos introduciremos en
el mundo de los data centers, analizaremos los diferentes estándares y mejores prácticas
aplicadas a su diseño, construcción y la implementación de los mismos, así como
los controles necesarios para gestionar de forma segura los recursos de información
que estos almacenan y procesan.
II. DEFINICIONES
A. Data Centers (Centros de computo)
Un Data center, centro de cómputo o
centro de procesamiento de datos, (CDP) es un área donde se almacenan y/o
procesan de forma centralizada los datos de una Organización, estos datos al
interactuar con sistemas y personas generan información.
B. Informacion
La información, es el activo más
importante que tiene una Organización, a esta información se le deben guardar
los principios de integridad, confidencialidad y disponibilidad, los Data
Centers son por lo tanto los activos que procesan y almacenan los activos
intangibles de las empresas, los cuales son por su condición, objeto constante
de ataques.
C. ESTANDAR (Norma)
Son las condiciones mínimas aceptables
que determina una industria para garantizar un adecuado funcionamiento de un
sistema, un estándar puede o no ser obligatorio dependiendo de la regulación
del país donde se implemente.
III. Estandares, normas y mejores practicas aplicados A data centers
Debido a la complejidad que hay en la
creación de un Data Center, se han creado muchos estándares que aplican a las
diferentes fases, estos estándares van desde el diseño, pasando por la
construcción, la implementación y la operación de un Data Center. En este documento
vamos a repasar los principales estándares que podemos aplicar para garantizar
las condiciones mínimas requeridas
utilizando las mejores prácticas.
A continuación los principales estándares
que aplican a los Data centers en sus diferentes etapas dentro del ciclo de
vida.
A. ANSI / BICSI 002
Óptimas prácticas de diseño e implementación
del centro de datos [1]. Esta norma es considerada la norma base para el diseño
de Data Center a nivel mundial, dentro de este estándar se encuentran
recomendaciones como la Evaluación del Sitio donde se va a construir el data
center, en esta fase se dan las especificaciones que se deben tener en cuenta a
la hora de seleccionar el sitio adecuada para iniciar con el pie derecho una
construcción de centros de cómputos, en esta fase se recomienda hacer un
análisis de riesgos no menor a 6 meses para emprender con este tipo de
proyectos.
Los siguientes elementos los podemos
encontrar en este estándar
·
Evaluación de costos
·
Peligros naturales, de entorno
y humanos
·
Acceso y ubicación del sitio
·
Servicios de utilidad
·
Regulación, entre otros
Otros elementos incorporados en este
estándar son:
Planificación de los espacios del Data
center, aspectos arquitectónicos, estructurales, eléctricos, mecánicos,
protección contra incendio, seguridad, administración, infraestructura,
tecnología de la información, entre otros.
En la versión 2014 ha sido ampliada y se
incorporan los siguientes elementos:
·
La
estructura de clase de disponibilidad de BICSI para todos los aspectos
importantes de centros de datos
·
Centros
de datos modulares y de "contenedor"
·
DCIM
y sistemas del edificio
·
Alimentación
de CC
·
Pasillos
calientes y fríos
·
Arquitectura
de centros de datos múltiples y externalización de servicios de centro de datos
·
Eficiencia
energética
B. ISO 27000
Norma publicada por la Organización
Internacional de la Estandarización (ISO), la misma corresponde a las mejores
prácticas utilizadas para la implementación de sistemas de gestión de la
seguridad de la Información (SGSI). Esta norma cuenta con una estructura
completa de estándares, los cuales tienen más de 10 años siendo los referentes
como las buenas prácticas en gestión de seguridad de la información.
Dentro de sus distribuciones encontramos
los siguientes:
·
ISO 27001, es el marco general,
donde se especifican los requisitos que una empresa debe cumplir a la hora de
implementar un sistema de gestión
·
ISO 27002, se especifican los
objetivos de control y los controles que se deben tener en cuenta a la hora de
implementar un sistema de gestión
·
ISO 27003, son las directrices
que se deben seguir en la implementación
·
ISO 27004, son las métricas que
se deben tener en cuenta para la gestión de la seguridad
·
ISO 27005, gestión de riesgos
·
ISO 27006, requisitos para la
acreditación de un SGSI
·
ISO 27007, guía para auditar un
SGSI
·
ISO 27799, guía para
implementar ISO 27002 en la industria de la salud
·
ISO 27035, gestión de
incidentes
Un
data center debe ser un recinto que cumpla con todos los requerimientos de
diseño estructural que revisamos en el estándar BICSI 002, pero la gestión y
operación de este tipo de recintos se debe realizar basados en un estándar como
ISO27k, en este documento bien podríamos hablar de la aplicabilidad de todos y
cada una de las normas anteriormente descritas, sin embargo nos enfocaremos en
los controles de la norma ISO 27002. Esta norma en su última versión tiene 14
dominios y 114 objetivos de control, sin embargo no necesariamente todos los
dominios de esta norma tienen que ser aplicados (todo depende de la declaración
de aplicabilidad), a continuación listaremos los dominios que como mínimo
debiéramos tener incluidos:
·
A.6 Organización de la SI, el
objetivo de este dominio es definir los roles y las responsabilidades, este
dominio podría alinearse fácilmente con BICSI 002-2014
·
A.8 Gestión de activos, en un
data center es muy importante tener una eficiente gestión de los activos, esta
es la base para analizar riesgos asociados y para gestionar los mantenimientos
de los sistemas.
·
A.9 Control de acceso, debe de
haber una política de control de acceso tanto a las áreas físicas del data
center como a los servicios que este presta dentro de la organización
·
A.11 Seguridad física y del
entorno, este es el dominio en el que podemos interactuar con la mayoría de los
estándares que en este documento mencionamos ya que se aplican conceptos de
ANSI 002, en la parte de áreas seguras, TIA 942 en la seguridad del cableado y
suministros, ASHRAE en la parte de refrigeración y NFPA 75, en la parte
controles de incendio.
·
A.12 Seguridad de operaciones,
en un data center hay que hacer gestión de las capacidades de los sistemas,
debe de haber gestión de código malicioso, gestión de ambientes, gestión de
copias, registro y seguimiento, auditoria, entre otras, este punto se puede
complementar con BICSI 002.
·
A.13 Seguridad de redes, es muy
importante tener una correcta gestión de las redes tanto físicas (entrada
salida) como lógicas
·
A.16 Gestión de incidentes de
seguridad, un data center bien operado, debe hacer correcta gestión de
incidentes para reducir las probabilidades de los riesgos asociados
·
A.17 Continuidad del negocio,
es importante que los centros de cómputo tengan adecuados respaldos y un plan a
seguir si se consolida una amenaza, la redundancia en este aspecto es muy
importante, las certificaciones TIER I, II, III y IV, dan unos esquemas de
redundancia de acuerdo a la necesidad de cada negocio
Es muy importante contar con A.5 política
de seguridad y A.18 cumplimiento, sin embargo estas dos son necesarias
obligatoriamente en cualquier sistema de gestión, por lo tanto no la resaltamos
en los dominios anteriores.
C. ANSI / TIA 942
Concebido como una guía para los
diseñadores e instaladores de centros de datos (Data Centers), el estándar TIA942
(2005) proporciona una serie de recomendaciones y directrices (guidelines) para
la instalación de sus infraestructuras [2].
Esta norma incluye los siguientes
elementos:
·
Arquitectura de red
·
Diseño eléctrico
·
Copia y almacenamiento de
archivos
·
Redundancia del sistemas
·
Control de acceso a redes y
seguridad
·
Gestión de bases de datos
·
Web hosting
·
Hosting de aplicaciones
·
Control ambiental
·
Protección contra riesgos
físicos
·
Gestión de la energía
Dentro de la estructura de este estándar
encontramos que la norma clasifica los datas centers en cuatro grupos
denominadas TIER, indicando así su nivel de fiabilidad en función de la
disponibilidad de los mismos, las certificaciones TIER se dan sobre los
siguientes Aspectos:
·
Telecomunicaciones
·
Arquitectónicos
·
Eléctricos
·
Mecánicos
La Tabla 1,
muestra los niveles de disponibilidad por cada TIER
TABLA I
Niveles (Tier)
|
Tipo de Data Center
|
Disponibilidad
|
TIER I
|
Básicos
|
99.671%
|
TIER II
|
Redundantes
|
99.741%
|
TIER III
|
Concurrentes
mantenibles
|
99.982%
|
TIER IV
|
Tolerancia a
fallos
|
99.995%
|
D. ASHRAE
Esta es la sigla en inglés de la sociedad
de Americana de Ingenieros de Calefacción, refrigeración y Aires acondicionados
(Society of Heating, Refrigerating, and Air-Conditioning), esta sociedad con
representación a nivel mundial, se enfoca en el diseño y construcción de
sistemas de enfriamiento y refrigeración.
El estándar ASHRAE TC9.9 indica las
mejores prácticas para la refrigeración de centros de cómputo, esta guía
propone esquemas de refrigeración dedicada, de tal forma que los racks dentro
de un centro de cómputo, reciben el tratamiento adecuado de las corrientes de
aire frio y aire caliente, de esta forma se garantiza la vida útil de los
equipos de telecomunicaciones y los servidores dentro de los centros de
cómputo.
La guía plantea los diferentes tipos de
diseños que deben ser tenidos en cuenta a la hora de mantener bien los flujos
de aire dentro de un centro de cómputo, el uso de entradas de aire frio y
salidas de aire caliente, y/o pasillos de aire frio y pasillos de aire caliente,
los cueles deben ser libres de obstrucciones como lo son el cableado excesivo,
el sobre cargue de los rack, entre otros, todos esto lo que busca es evitar
interrupciones en el servicio que pongan en riesgo la integridad de los equipos
en el data center.
Esta guía plantea tener en cuenta todos
los elementos dentro del data center para diseñar los sistemas de flujo de
aires (frio / caliente)
Este estándar se integra perfectamente
con TIA42 y BICSI 002 en el diseño de data centers con buenas prácticas, además
sirve como complemento a los objetivos de control del dominio A.11 de ISO 27002
E. ITU o UIT
Es el organismo especializado de las
Naciones Unidas para las Tecnologías de la Información y la Comunicación – TIC,
esta organización dentro de sus estándares maneja el L.1300, que son las
mejores prácticas de Green Data Center
La L.1300, se constituye como una serie
de guías a utilizar para construir data centers ambientalmente sostenibles y/o
a mejorar los existentes actualmente, para esto se recomienda utilizar materiales
responsables con el medio ambiente y tecnologías eficientes en el consumo
energético, el objetivo principal es reducir al máximo el impacto ambiental de
la tecnología en el cambio climático
F. NFPA 75 -76
Son las mejores prácticas de protección
contra incendio en instalaciones de Telecomunicaciones y Data Centers
EL objetivo principal de esta norma es
establecer los requisitos mínimos para garantizar la protección de los equipos
de tecnología de la información, los equipos de telecomunicaciones y de las
áreas donde estos operen, de daños ocasionados por fuego, humo, corrosión,
calor y humedad
Esta norma establece los controles que
deben de estar en los data center (NFPA 75) y en los centros de
telecomunicación (NFPA 76) de esta forma se clasifican los siguientes controles
· Detectores de humo
·
Extintores y aspersores
manuales
·
Extintores automáticos
·
Materiales de los pisos
·
Materiales del techo
·
Tipo de pintura
·
Agentes químicos utilizados por
los extintores
Este estándar al igual ASHRAE, lo podemos
integrar con TIA 942 y BICSI como complemento a esas mejores prácticas y se
puede engranar con los objetivos de control del dominio A.11 de ISO 27002
IV. CONCLUSION
Uno de los objetivos principales de un
data center, es garantizar la disponibilidad de los servicios que este soporta,
en esa medida se hace necesario que utilicemos como métrica de disponibilidad
el esquema TIER (I, II, III y IV) propuesto por TIA 942, al mismo tiempo es muy
importante que a la hora de diseñar data centers, nos basemos en las
recomendaciones y guías que nos proporciona BICSI, el análisis de riesgos
actualizado es muy importante para dirigir los esfuerzos en las áreas más
importantes de acuerdo a la necesidad de la organización, para eso es muy
recomendable utilizar ISO 27005 o ISO 31000, dentro de la fase de diseño es muy
importante incluir todas las variables de entorno que rodearan la construcción
y la operación del data center.
Es muy importante también hacer una buena
selección de la ubicación del sitio donde quedara alojado el centro de cómputo,
de acuerdo a las recomendaciones de BICSI y TIA 942 sobre todo si se quiere
alcanzar alguna certificación TIER.
En la etapa de diseño es muy importante
dimensionar los controles de flujos de aire que debe tener el data center, ya
que de esto, dependerá la vida útil que tengan los equipos soportadas y en
operación.
Un buen diseño debe obligatoriamente
incluir los controles de extinción de incendio y controles de inundación y
humedad, ya que los mismos podrían ser usados para evitar que se consolide alguna
amenaza ambiental o de entorno, que pueda traer consecuencias negativas para la
organización en términos de dinero, imagen, operación, capacidad,
competitividad, entre otros.
Los centros de datos generalmente son
recintos que por las características de su operación, tienden a consumir
grandes cantidades de energía, lo que se traduce en altos costos de operación y
no es un uso responsable de los recursos naturales, estos comportamientos
aportan grandemente al calentamiento global, por lo que se hace necesario
cambiar la forma como se está consumiendo la tecnología y para esto nos puede
ser muy útil ITU L.1300 en la construcción y diseño de data centers
responsables con el medio ambiente.
Todas las buenas prácticas y aplicación
de controles e inversiones que le hagamos a una infraestructura tecnológica, en
este caso un data center, deberá ser administrada por un sistema de gestión,
que nos permita medir constantemente, que los objetivos de la seguridad
(integridad, confidencialidad y disponibilidad) se estén cumpliendo de acuerdo
a lo planeado y los mismos estén alineados con los objetivos del negocio, y es
ahí donde cobra valor un SGSI, utilizando la norma ISO 27000, la cual es capaz
de integrarse perfectamente con todos los estándares y buenas prácticas de
diseño, construcción y operación de data centers a nivel mundial
No hay comentarios:
Publicar un comentario