Nuevo desafío: Seguridad física de los centros de datos

En la medida en que avanza la transformación digital y los centros de datos se convierten en elementos más críticos para los negocios, se vuelve más importante que su diseño y operación contemple los principales riesgos a los que podría enfrentarse y los caminos de solución posible: desde desastres naturales hasta errores humanos, pasando por defectos en las instalaciones, equipos o software, sabotajes o ciberataques.

“Las empresas latinoamericanas deben considerar, además, cuestiones propias de su coyuntura o su cultura, como los ciclos de convulsión social que exponen a los centros de datos a intrusiones, o el incremento de la automatización para ganar eficiencia y disminuir los tiempos de respuesta. Esto implica también la apertura a que el programa que se desarrolla tenga un error que afecte la operatoria, o que se abra una vulnerabilidad para que un atacante tome control remoto de las instalaciones”, detalló Juan José Calderón, Data Center, Cloud & Security Business Manager de Lumen, durante el panel ¿A qué riesgos se enfrenta un edificio de misión crítica y cómo afrontarlos? celebrado en el reciente evento virtual DCD>Data Centers Under Attack 2022 LATAM.

El experto distingue cuatro tipos de instalaciones, cada una de las cuales presenta sus propios desafíos. Los data center corporativos, por ejemplo, corren el riesgo de instalarse en espacios inadecuados. “Vemos que muchas veces comparten territorio con oficinas o almacenes, lo que los pone en riesgo de potenciales problemas ajenos a la operación regular. “Hemos visto el caso de un centro de datos ubicado en un sótano porque contaba con el espacio suficiente y no circulaba gente, hasta que una rotura de ducto de agua generó una inundación”, destacó Calderón.

En la segunda categoría se encuentran los cada vez más comunes centros de datos de borde, que suelen instalarse en fábricas o entornos agrestes (cerca de una antena, en un campo de operaciones, por ejemplo), que deben ser sometidos a un estricto análisis del ambiente para evitar desastres naturales. En tercer término, los centros de datos de proveedores de servicios, que en general se ubican en zonas urbanas, deben evaluar el nivel de crecimiento de la ciudad y su situación social para, por ejemplo, anticipar futuros cortes de energía o situaciones anómalos como atentados. Por último, los llamados “mega data center” son aquellos que, por sus características, deben protegerse fundamentalmente de los ciberatacantes, ya que son más atractivos para ser vulnerados de manera remota que física.

Las características para lograr instalaciones seguras incluyen, en primer término, un diseño holístico, incluyendo un BCP (business continuity plan, plan de continuidad de negocios) lo más abarcativo posible y que no asuma nada como supuesto. “Muchas veces, el BCP estima que llegará personal al centro de datos para resolver un problema, pero en el caso de un terremoto o una inundación puede ser que las vías de comunicación queden afectadas, sea imposible llegar o incluso que los responsables, naturalmente, privilegien proteger a sus familias”, dijo Calderón. Del mismo modo, resulta clave destinar recursos (generación de energía, combustible) por si el predio quedara aislado durante un período largo de tiempo. “Cuanta más autonomía se logre, mayor probabilidad de que continúe operando”, definió Calderón.

El ejecutivo también destacó el factor humano. “Si bien nos enfocamos cada vez más en la automatización, disponer de talento capacitado y que comprenda las situaciones es crucial, en especial cuando aparece una situación imprevista que la automatización no tenía contemplada”, dijo.

Entre las nuevas tecnologías, Calderón señaló los sensores de temperatura, humedad o presencia para prevenir inconvenientes. También sistemas de detección de intrusiones que garanticen que solo las personas autorizadas tienen acceso tanto físico como remoto. “La estrategia de ciberseguridad es otro pilar. Históricamente, la tecnología se manejó en islas dentro de las organizaciones y hoy estas áreas -desarrollo de aplicaciones, gestión de software, gestión de infraestructura- deben conversar porque tienen un desafío en común y transversal a todas: la seguridad”, explicó Calderón.

Mediante la aplicación de mejores prácticas operativas de seguridad, gestión de riesgos y gestión del conocimiento, Lumen desarrolló un programa general para garantizar la seguridad, la privacidad y el cumplimiento, centrado en automatización, gestión del riesgo de proveedores y personal remoto y un programa maduro de amenazas internas, todo con el compromiso de promover la resiliencia y la capacidad de supervivencia del negocio durante un incidente o disrupción del negocio. El programa corporativo de BCM (business continuity management, gestión de continuidad del negocio) respalda un entorno de prevención, colaboración, comunicación, respuesta y recuperación que garantiza la capacidad de la empresa para servir a clientes, accionistas y empleados ante eventos disruptivos.