Data Centre Design Awareness (DCDA) Sesión Técnica 12 ...para el desarrollo de productos y/o prestación de servicios por parte de las organizaciones. Por tanto, es esencial en el

Data Centre Design Awareness (DCDA)

Sesión Técnica 12:

Sistemas de seguridad

Training Workbook

Issue 1.0 Data Center Design Awareness – Sesión Técnica 12 - Training Workbook 2

Every effort has been made to ensure that the information contained in this document is true and correct at the time of going to press. However, the technology, systems, products, processes, specifications and content in general described in this document are subject to continuous development and DCProfessional is entitled to change them at any time and to expand on them. DCProfessional cannot accept liability for any loss or damage of any nature whatsoever arising or resulting from the use of or reliance on information or particulars in this document.

All names and other data used in examples are fictitious.

The information contained in this document is of a general nature.

No part of this document may be reproduced by any means, other than with the express written permission of the copyright holder.

© Copyright 2016 by DCProfessional Development All rights reserved. No part of this manual may be used, reproduced, or transmitted in any form or by any means, electronic mechanical, including photocopying, recording, or by any information storage and retrieval system, without the prior agreement and written permission of the publisher, except for the inclusion of brief quotations in a review. The contents of this manual are subject to ongoing revision without notice due to continuing developments in standards, regulations, methodology, design, and manufacturing. This manual forms part of the DCProfessional Development curriculum, and is presented without warranty of any kind, including but not limited to implied warranties, for the manual’s quality or fitness for any particular purpose. DC Professional Development shall not be liable to the purchaser or any other entity with respect to any liability, loss or damage caused directly or indirectly by this manual. All brand names and trademarks are the property of their respective owners. DCProfessional Development 28 Scrutton Street London EC2A 4RP United Kingdom

www.dc-professional.com

ACKNOWLEDGEMENTS DCProfessional Development is indebted to the following organisations and individuals for their invaluable support in the preparation of this manual: Organizations: DCD Group, DCD Focus Magazine, DCD Intelligence, Individuals: Agustín López Neira (Training Project Developer), Hugo Marcelo Bertini (Content Producer Manager)


Relación de contenidos

# Página

Objetivos 05

Introducción 06

Evolución 07

Actuales Referencias 09

Necesidades actuales 12

Soluciones 13

Tendencias 26

Referencias / Saber más 28

Uso apropiado del Workbook

Este workbook ha sido diseñado para un uso conjunto en las sesiones presenciales, casos de estudio y workshops del módulo de formación, de modo que los asistentes puedan adquirir conocimientos de aplicación práctica en un entorno de la industria de los Data Center.

El curso está estructurado para que el Tutor exponga funcionalidades y ejemplos de casos prácticos con el apoyo del material del Tutor (proyecciones, videos, simulaciones, técnicas de aprendizaje acelerado). Siempre que sea posible, los asistentes deben participar de forma activa individual o en grupos reducidos para desarrollar y completar ejercicios orientados a consolidar su aprendizaje Se ha dispuesto de un entorno de aprendizaje adecuado para que pueda actuar de modo seguro.

El objetivo del workbook es ser un documento de trabajo orientado al refuerzo de la información presentada por el Tutor. Cada asistente debe disponer de una copia digital o en papel de este workbook con antelación al curso de modo que pueda ayudar a la preparación previa del curso, especialmente en los casos de aquellos asistentes menos familiarizados con algunas temáticas del curso, además de servir durante y después de la formación como documento de consulta.

No está diseñado en cualquier caso para proporcionar de modo detallado todos los aspectos teóricos ni fundamentos de una tecnología o aplicación, sino específicamente aquellos especialmente relevantes para el desarrollo del curso y los objetivos concretos de aprendizaje.

Cualquier consulta, aclaración o incidencia sobre DCProfessional training courses puede dirigirla a:

[email protected]


Anexo de Figuras

# Página

Figura 1 – Defensa en capas 29

Figura 2 – Pilares del plan de seguridad 30

Figura 3 – Diseño del edificio - Ambiental 31

Figura 4 – Diseño del edificio - Orientación 32

Figura 5 – Materiales de construcción 33

Figura 6 – Diseño del edificio – Paisajismo 34

Figura 7 – Disposición interna 35

Figura 8 – Elementos relacionados con la seguridad 36

Figura 9 – Accesos 37

Figura 10 – Vallas y barreras 38

Figura 11 – Guardias de seguridad 39

Figura 12 – Señalización / identificaciones 40

Figura 13 – Lectores 41

Figura 14 – Sensores de movimiento 42

Figura 15 – Vigilancia 43

Figura 16 – Cumplimiento de la TIA 942 44

Figura 17 – Iluminación 45

Figura 18 – Iluminación –Nivel de Lux- 46

Casos Prácticos

# Página

Caso Práctico 1 - Auditoría de seguridad 47


Objetivos

Sistemas de seguridad

Esta sección técnica tiene como objetivo principal identificar los componentes principales y sus funciones dentro los sistemas de control de loa accesos en el entorno de los data center.

Al finalizar este módulo de protección contra incendio el alumno será capaz de:

• Identificar las necesidades fundamentales en la seguridad en los accesos para un data center

• Conocer los posibles medidas a aplicar y beneficios asociados en términos de: disuasión, detección, retardo y detención

También dispone de la oportunidad de:

- Compartir sus conocimientos y opiniones

- Exponer casos reales y problemáticas en experiencias vividas o conocidas

- Escuchar atentamente las opiniones del resto de los asistentes

- Aportar comentarios de manera activa, respetando el enfoque del resto de participantes en la aplicación de soluciones o puntos de vista concretos, incluso cuando sean opuestos a sus propias valoraciones y entendimiento como base del enriquecimiento del grupo


Introducción

La seguridad en los accesos al centro de datos es una de las bases requeridas para garantizar la confidencialidad, la integridad y la disponibilidad de los servicios y la infraestructura crítica en las que se apoya la continuidad operativa.

Debido a la evolución de las tecnologías, de los servicios y de los entornos empresariales en general, la información se ha convertido en un activo esencial para el funcionamiento de las empresas.

Consecuentemente, la seguridad debe aportar los elementos de protección adecuados y correspondientes al nivel de riesgos al que está expuesto el negocio pero sin interferir de manera significativa a la operativa regular del negocio: un sistema inoperativo por la aplicación de un nivel de seguridad excesivo aunque esté justificado es claramente inadmisible desde las consideraciones de negocio.

El diseño de la seguridad del centro de datos no debe ser una medida aislada, debe estar en sintonía con el plan de negocio, por eso es tan importante delinearlo en la fase de planificación junto con el resto de los componentes.

La integración de los aspectos relevantes a la seguridad y desde el inicio del diseño del data center permite en este sentido evitar situaciones de riesgo reduciendo al mínimo los elementos requeridos, a la vez que permite integrar aquellos finalmente necesarios y de una manera lo más transparente y ágil posible a los usuarios de las instalaciones en diversos aspectos.

Los sistemas de seguridad no se remiten únicamente a las barreras físicas y se componen de un conjunto de políticas y procedimientos definidos con carácter preventivo y operativo que aportan sentido a los programas, sistemas, equipos de seguridad y protección y a las actuaciones del personal calificado.

El objetivo de las medidas de seguridad es cubrir acciones en un nivel considerado desde la propia organización como suficiente para disuadir, neutralizar, minimizar y controlar los efectos de actos ilícitos o situaciones de emergencia que pongan en riesgo de afectación a las personas y/o los bienes de la empresa.


Evolución

La información tiene una implicación directa sobre el modo en que se desarrollan actividades y procesos para el desarrollo de productos y/o prestación de servicios por parte de las organizaciones. Por tanto, es esencial en el éxito y objetivos de las organizaciones, independientemente de su tamaño (pequeña, mediana o gran empresa), sector de actividad (sector público privado), objetivos (lucrativos o sin ánimo de lucro) o actividad industrial.

Siempre ha supuesto un activo crítico en cualquiera de sus formas: oral, escrita en formato papel o digital, visual, táctil y/o en el conocimiento de las personas. Especialmente, aquella información clasificada como sensible o crítica que ha sido confiada por parte de los clientes, suministradores o partes interesadas (p.ej. empleados, accionistas) y cuya exposición a problemas en su disponibilidad, confidencialidad o integridad tiene asociado un impacto directo en las actividades de las organizaciones.

La seguridad de la información, tan presente y en peligro en la era informática, no es en cualquier caso una cuestión ni mucho menos reciente.

Las alusiones en la historia a la protección de la información son muy numerosas. En la antigüedad surgen las bibliotecas, lugares donde se podía resguardar la información para trasmitirla por una parte y para evitar que otros la obtuvieran al mismo tiempo, dando así algunas delas primeras muestras de protección de la información.

“El arte de la guerra” (siglo II A.C.) libro sobre tácticas y estrategias militares escrito por Sun Tzu (famoso estratega militar chino) o Nicolás Maquiavelo en “El Príncipe” (1513) señalan la importancia de la información sobre los adversarios y el cabal conocimiento de sus propósitos para la toma de decisiones.

Julio César (Sigo I A.C.) aplicaba el “cifrado por desplazamiento” en la comunicación con sus generales, una de las técnicas de cifrado más simples y más usadas en el que una letra en el texto original es reemplazada por otra letra que se encuentra un número fijo de posiciones más adelante en el alfabeto.

Casos más recientes como la 'máquina enigma' en la II Guerra mundial o la defensa de archivos estatales en cualquier país han formado parte de los precedentes a la protección de la propiedad intelectual de las organizaciones de un modo mucho más amplio al militar especialmente durante el pasado siglo XX.

En 1980, James P. Anderson escribe un documento titulado 'Computer Security Threat Monitoring and Surveillance'. Lo más interesante de este documento es que James Anderson da una definición de los principales agentes de las amenazas informáticas y entre sus definiciones se encuentran términos base de la seguridad informática como "ataque" o "vulnerabilidad".

En la definición de "vulnerabilidad" hace referencia a "una falla conocida o su sospecha, tanto en hardware como en el diseño de software, o la operación de un sistema que se expone a la penetración de su información con exposición accidental". El documento relaciona estos términos en un contexto informático y de transmisión de datos y establece algunos de los pilares para lo que hoy conocemos como seguridad informática.

En 1982, surge uno de los primeros ataques en aspectos de infraestructuras críticas. Atribuido al expresidente Ronald Reagan, supuestamente el software de control industrial para tuberías de gas que controlaba las bombas, turbinas y válvulas se programó para descomponer las velocidades de las bombas y ajustes de las válvulas con el objetivo de producir presiones muy superiores a las aceptadas por las juntas de tuberías y soldaduras. El resultado fue la afectación a la construcción del gaseoducto con explosiones e incendios que se pudieron observar desde el espacio.

Más recientemente, “Stuxnet” fue descubierto en Junio de 2010 por VirusBlokAda (empresa de seguridad radicada en Bielorrusia) como el primer gusano conocido que espía y reprograma sistemas industriales, en concreto sistemas SCADA de control y monitorización de procesos, pudiendo afectar a infraestructuras críticas como centrales nucleares, entre muchos otros sectores industriales en los que se incluyen los data center.


Un informe de 2008 desvela el incidente de un virus que llegó hasta los ordenadores de la Estación Espacial Internacional (ISS) con el potencial riesgo que supone para el desarrollo de los experimentos y al funcionamiento de las instalaciones junto a la vida de los astronautas si alcanza los sistemas más críticos.

El complejo espacial no está conectado a Internet precisamente para evitar contagios y espionaje, así que este el perfecto ejemplo de cómo una falta de protección en el acceso a los sistemas es el primer paso para la exposición a riesgos tecnológicos: el malware llegó a la Estación a través de una memoria USB de uno de los astronautas, y se extendió por el resto de equipos portátiles.


Actuales referencias

Uno de los aspectos más importantes del módulo de sistemas de seguridad es la creación del plan de seguridad.

Las acciones necesarias serán determinadas por el tipo de riesgo, y el plan de seguridad del centro de datos incluye las siguientes áreas que debemos contemplar:

Como la mayoría de las decisiones que tomamos desde la fase de planificación del nuevo centro de datos no son sencillas y siempre deben tener el balance correcto de otras variables, en este caso debemos equilibrar el diseño del edificio y su contribución al medio ambiente con las políticas corporativas, los procesos y procedimientos y el control físico y electrónico del acceso al centro de datos.

El edificio y el entorno ambiental que lo rodea son factores claves; imaginemos por ejemplo la construcción del centro de datos como una bóveda en la que los activos críticos están protegidos. La arquitectura de los edificios, materiales, y sus alrededores todos deben respetar las condiciones de seguridad que el edificio requiere.

El control de acceso domina la seguridad del centro de datos. Queremos que sólo las personas que pertenecen tengan acceso, y cuando están dentro del edificio, queremos que únicamente accedan a lo que necesiten acceder, ya sea para operar el centro de datos como para realizar tareas de mantenimiento.

Las políticas, procesos y procedimientos son un eslabón muy crítico dentro de la cadena de seguridad y forman parte de nuestra ecuación de equilibrio. A menudo se pasa por alto, a menudo no se comunica con claridad, y con frecuencia estas normas, procesos o procedimientos son violados por el comportamiento humano que tiende siempre a relajarse o minimizar los impactos, a confiarse en demasía hasta un evento críticos, donde vuelven a aparecer los controles, se endurecen las posturas y es entonces donde el proceso comienza nuevamente y con el correr del tiempo se vuelve a controles laxos que hacen relajar los controles hasta el nuevo incidente y así sucesivamente.

Objetivos del plan de seguridad

• Asegurar el establecimiento de políticas, estándares, procedimientos y guías de seguridad para el Centro de Cómputo que reduzcan los riesgos potenciales de modificación destrucción o revelación de datos y programas, y/o destrucción de equipos, que resultan del acceso no autorizado a instalaciones, equipos, archivos y programas.

• Asegurar que se restrinja el acceso al centro de cómputos, racks, datos, archivos y a los programas de utilerías en función de la responsabilidad y nivel de autoridad del empleado.

• Asegurar que se prueben y documenten los planes de contingencia, tales como el plan de respaldo, el plan de recuperación y el plan de emergencia como vimos en módulos anteriores dentro de la fase de planificación, para permitir que la organización continué operando.

• Asegurar la existencia y adecuado funcionamiento de un programa de retención de registros vitales así como que exista un seguro que cubra la protección de la organización en caso de incendios u otros desastres naturales.

Un buen sistema de seguridad física en el centro de cómputos debe proteger tanto al personal como a los datos, al software y a los equipos de cómputos.

Para ello una de las primeras tareas del plan es evaluar en qué entorno estará construido mi centro de cómputo. El nivel de seguridad desplegado está determinado por varios factores:

• Tipo de instalación: Gubernamental, militar, banca, telecomunicaciones, etc.

• Importancia de las instalaciones: Instalaciones de procesamiento principales, importancia estratégica

• Localización de las instalaciones: Área de alto riesgo, cerca de objetivos potenciales


Una instalación en el ámbito de gobierno tiene diferentes pautas de seguridad que una empresa típica en otra industria. Los centros de datos de servicios financieros tienen características de seguridad exigidas por las normas y directrices de cumplimiento relacionadas por lo general con los bancos estatales o banco central de cada país. El tipo de negocio va a definir una serie de requisitos fundamentales y que debemos definir en la fase de planificación, junto con la selección del sitio y otras cuestiones de índole estratégico.

El nivel de importancia debe atender a si es una única instalación o si es una instalación espejo activa, pasiva de recuperación o alternativa.

Finalmente, la seguridad desde el punto de vista de la ubicación de una instalación y la influencia en el perfil de riesgo del negocio en relación a riesgos ambientales, riesgos naturales, o la proximidad a las amenazas hechas por el hombre, traerá otros factores en el diseño del marco de seguridad.

Evaluación de riesgos y amenazas

Dentro de la planificación de riesgos y amenazas debemos tener en cuenta:

• Identificar posibles riesgos

• Determinar las probabilidades de materialización de las amenazas

• Calcular el impacto en relación a:

– las personas (personal, contratistas, visitantes, clientes)

– la información (datos en formato electrónico y en papel)

– los activos físicos (edificios, equipos, materiales sensibles)

– los procesos (procedimientos y/o sistemas críticos)

Antes de la formación de un plan de seguridad, debemos hacer una evaluación completa de riesgos de seguridad las cuales deben ser emprendidas para identificar y dar prioridad a la probabilidad y el impacto de las amenazas.

*Figura 1*

En línea con lo expuesto debemos darle prioridad a la:

• Confidencialidad.- La información debe ser vista y manipulada principalmente por quienes tienen el derecho o la autoridad de hacerlo.

• Integridad.- La información debe ser consistente, fiable y no propensa a alteraciones no deseadas.

• Disponibilidad.- La información debe estar en el momento que el usuario requiera de ella.

Otros aspectos relacionados con la trazabilidad, la accesibilidad o el no repudio pueden añadirse a estos tres aspectos fundamentales.

Políticas y procedimientos

Las políticas y procedimientos son cruciales para garantizar que el nivel de seguridad del diseño se mantenga de acuerdo a las políticas definidas en la fase de planificación.

El plan de seguridad, incluidas las políticas y procedimientos, deberían revisarse:

• Al menos una vez al año

• Después de cualquier incidente de seguridad, tanto interno como externo

• Después de cualquier obra significativa de construcción o remodelación

• Tras producirse cualquier cambio externo que pueda afectar al negocio

El desarrollo de políticas y procedimientos de seguridad es crucial para asegurar que el nivel de diseño de seguridad se mantiene a lo largo de la vida útil de la instalación pese a los cambios de tecnologías, modificaciones a las estructuras edilicias, cambios de personal, cambios en los aspectos ajenos a la empresa, aparición de nuevas reglamentaciones y cambios en el negocio.


Como mencionamos en la fase de planificación debe estar formado por la “C” de la empresa, es decir los que forman parte del comité de toma de decisión corporativa (Finanzas, operaciones mantenimiento, recursos humanos, sistemas, etc.)

Las políticas y procedimientos de seguridad deben tener en cuenta los componentes principales que deben protegerse y hacer frente a cada uno de acuerdo a la evaluación de riesgos. Y deben estar de acuerdo y en total sintonía con la criticidad del negocio.

Deben elaborarse políticas para proteger:

• Personal

• Activos físicos

• Datos

Políticas independientes:

• Controlar el acceso: De personal, visitantes, contratistas, el momento del acceso, los requisitos de identificación

• Vigilancia: Audio, vídeo, calidad de las imágenes, almacenamiento de los datos de vigilancia

• Control de los equipos: Etiquetado físico de los activos, retirada de los equipos, configuración de los equipos

• Personal: Contratación, comprobación curricular, formación, acciones relevantes a la finalización de la relación laboral

*Figura 2*


Necesidades actuales

Cuando la seguridad supone un reto de integración, se asume como un gasto sin un retorno de la inversión asociado a los objetivos de la organización y/o se considera siempre con posterioridad al desarrollo e implantación de nuevos procesos en la organización, significa entonces, que es considerado un “añadido” que trata de proporcionar protección a los procesos e información de manera independiente.

Este modelo de gestión de la seguridad es muy costoso y poco eficaz ya que se basa en aplicar medidas fundamentalmente de carácter tecnológico dentro de la organización y sin una adecuada actualización simultánea de las políticas internas en relación a los nuevos medios técnicos de acceso a la información implantados.

La introducción de soluciones rápidas tecnológicas que garanticen la recuperación y continuidad de negocio en éstas condiciones supone, con mayor frecuencia de la esperada, desequilibrios en las previsiones económicas que se deben compensar internamente y en el aspecto técnico, entornos complejos donde la integración de sistemas resultan a medio plazo difíciles de gestionar y mantener.

Por el contrario, la seguridad de la información es gestionada de modo integrado cuando es considerada permanentemente dentro del conjunto de actividades y decisiones de la organización para el desarrollo y mantenimiento de los procesos de la organización.

Las medidas implantadas a modo de controles se aplican y extienden habitualmente a más de un proceso o función de diversas áreas y la gestión integrada habilita un modelo de inversión establecido y evaluable en coste/beneficio que es acometido junto al resto de cuestiones económicas de primer orden por parte de los órganos de dirección.

Mediante políticas que cuentan con el apoyo de la dirección y efectivamente aplicadas a lo largo de toda la organización, la seguridad es adaptada del mejor modo a la dinámica del cambio continuo interno y del entorno y se aprovecha del modo más eficiente posible en relación a las inversiones realizadas.

Las organizaciones que consideran seriamente la seguridad de su información conocen las limitaciones de los controles independientes de carácter exclusivamente técnico y la necesidad fundamental de la acción combinada de las personas junto a la implantación racional de controles relacionados a procesos e información claves dentro de la organización.

Considerando que los presupuestos dedicados a la seguridad deben ser racionalmente limitados pero las necesidades en implantación de medidas preventivas y controles tienden a aumentar, se hace necesario dirigir las inversiones allí donde la protección demuestre ser más necesaria en cada momento.

Las evidencias para éste propósito se logran mediante un proceso comprensible y reproducible de análisis de riesgos en el que aquellas amenazas y vulnerabilidades que puedan afectar a los activos de información de la organización se analizan y resuelven mediante la implantación y reconfiguración de unos controles de seguridad viables, efectivos y sostenibles por los presupuestos dedicados a lo largo del tiempo.

La evaluación de las medidas de seguridad debe confirmar a la empresa unas necesidades concretas de gestión y la importancia de cada una de ellas en el tiempo, que sirva finalmente para determinar la inversión final derivada que debemos considerar en la organización.

De este modo no queda ninguna duda posible: la efectividad de los costes en seguridad se origina mediante la consecución de aquellas medidas de seguridad en el grado que demuestran ser realmente imprescindibles para la empresa.

En este aspecto, podemos dividir las necesidades a cubrir en el proceso de diseño de centros de datos en aspectos administrativos y aspectos técnicos como base para la presentación de las medidas directamente relacionadas.


Soluciones

En los aspectos administrativos destaca la planificación necesaria para articular las políticas de seguridad física y lógica de la empresa y la organización de los recursos disponibles.

Serán considerados, antes de aplicar los aspectos técnicos, las necesidades del correcto análisis de los riesgos tanto para las personas, como para los datos y los activos de la compañía.

Es muy importante tener en cuenta la correlación de los eventos de seguridad para poder concatenar con anticipación cualquier problema que pudiera producirse y dentro de una estrategia preventiva que pueda evitar la materialización de las amenazas e impactos en los activos y actividades de negocio asociadas.

Aspectos administrativos

Los aspectos administrativos son los relacionados con la planificación de procesos y procedimientos para las actividades de construcción y operación del data center.

Dentro de los aspectos técnicos tenemos:

• Planificación y control

• Políticas de seguridad en un centro de cómputo

• Seguridad física y contra incendios

• Organización y división de las responsabilidades

• Seguros.

La seguridad debe ser considerada desde la fase planificación del centro de datos y llevada a cabo en la fase de diseño como parte integral de las instalaciones y en relación a los diversos sistemas como la seguridad del sistema eléctrico, la seguridad de los equipos de TI, la seguridad de los sistemas de información, la seguridad de los sistemas de acceso, la seguridad de las personas, etc.

Las políticas de seguridad deben ser definidas por los funcionarios de alto nivel, los cuales deben ser motivados de manera que tengan un rol preponderante y sin perjuicio que los responsables sean todos los que participan en el sistema. Las políticas de seguridad siempre deben ser revisadas y periódicamente actualizadas.

Un aspecto importante es establecer una línea de comunicación clara y precisa sobre las políticas de seguridad de la empresa: Todo el personal debe conocer donde puede obtener consejos sobre los temas de seguridad, ya sea física o sobre los datos y activos de la compañía,

Es necesario que la institución defina políticas de seguridad, en las cuales se deben tener en cuenta que:

• Deben ser definidas desde la fase de planificación

• Deben estar en línea con los requerimientos del negocio.

• Deben ser lideradas por los funcionarios de alto nivel, los cuales deben ser motivados de manera que tengan un rol importante.


Un punto importante en el diseño de los sistemas de seguridad, son el análisis de riesgo y la correlación de eventos:

Efectuar un análisis de riesgos

Este debería ser el primer paso a realizarse cuando se plantea la seguridad en un centro de datos o en cualquier sistema. La idea es muy sencilla: identificar todos los elementos que conforman nuestro sistema (hardware, instalaciones, software, datos, RRHH, personas) y observar cuales involucran más o menos riesgo.

Esto desembocara en un plan de seguridad cuyo objetivo es disminuir el riesgo total del sistema, que se puede modelar en forma sencilla como la suma de los riesgos de sus componentes:

RIESGO TOTAL = RIESGO (componente 1) + RIESGO (componente 2) …

El riesgo de cada componente está en función directa a las pérdidas que ocasionara dicho componente que deje de operar, así como también de cuan vulnerable es dicho componente en este momento.

El riesgo no es siempre fácil de cuantificar permaneciendo generalmente aspectos de estimación subjetiva que deben definirse claramente para establecer un criterio de referencia en las valoraciones. A modo de ejemplo podríamos plantear una formula como la que sigue:

RIESGO (componente) = Probabilidad * Impacto

Donde:

o P = Probabilidad, es la manera de determinar la frecuencia de materialización de una amenaza aprovechando las vulnerabilidades de un activo o un sistema. Puede determinarse en atención a información histórica y/o estimaciones potenciales en relación a la experiencia de otras empresas o instalaciones de centros de datos similares.

o I = Impacto, es la perdida (generalmente estimada en términos económicos) en base al propio valor del activo pero también en relación a las implicaciones de la inoperatividad del componente hasta su reparación,

La fórmula del "riesgo" propuesta no es la única y existen numerosas metodologías y herramientas para un análisis de riesgos que permita determinar las estrategias de reducción, transferencia, aceptación o eliminación de los riesgos más adecuadas en coste/beneficio.

En cualquier caso, hay que considerar que la seguridad al 100% no existe permaneciendo cierto nivel de riesgo residual por muy bajo que éste sea. En otros casos, no es sencillo disminuir el riesgo en atención a dificultades económicas, de espacio disponible, de disponibilidad de proveedores adecuados, de la complejidad de los propios sistemas, etc. que puedan reducir de manera efectiva los factores considerados en el riesgo.

Correlación de eventos

El otro aspecto importante a tener en cuenta es la correlación de eventos y que nos debería permitir anticiparnos a un suceso y/o atajar la cadena de eventos que tiene asociado un incidente concreto.

También nos permite valorar adecuadamente la importancia de ciertos eventos para evitar dedicar recursos o disparar alarmas en situaciones de poco impacto real. Por ejemplo un sistema de aire acondicionado que entra en modalidad mantenimiento muy probablemente emitirá una alarma de “apagado” en nuestro NOC que no debería disparar ninguna acción; este ejemplo expone la importancia de la planificación de los mantenimientos y la determinación de ventanas de actuación.

Por otro lado podemos decir que si se alarma más de un nodo o componente en nuestro sistema de monitoreo lo importante es identificar cuál es la causa raíz de dicho incidente y no salir corriendo hacia todos los sistemas generando caos, confusión y más problemas por falta de coordinación en las acciones.

Un marco de actuación útil y ampliamente aplicado para la organización en las actuaciones del personal y orientado a la gestión de activos de las infraestructuras es ITIL.

Iniciado como una guía para el gobierno de UK, ITIL es la Biblioteca de Infraestructura de Tecnologías de la Información (ITIL®) inicialmente desarrollada a finales de 1980 y que se ha


convertido en el marco de referencia en buenas prácticas a nivel mundial para la gestión de servicios TI que depended de activos TI, de componentes de telecomunicaciones y de los elementos relacionados con su configuración.

La correlación consiste precisamente en dimensionar la importancia del evento en consideración a los elementos individuales pero también a las interdependencias entre ellos, estableciendo conexiones con otros eventos relacionados para ahorrar tiempo en la toma de decisiones.

La importancia y significado del evento en sí mismo depende de los siguientes factores:

• Número de eventos similares registrados con anterioridad. • Número de elementos de configuración que generan eventos similares. • Si existe alguna acción asociada al evento. • Si el evento representa una excepción. • Comparación de la cantidad de información utilizada en el evento respecto a un estándar. • Si se requieren datos adicionales para investigar el evento con posterioridad o incluso

datos procedentes de otros sistemas de información. • Categorización asignada al evento. • Nivel de prioridad asignado al evento.

Los servicios de correlación de eventos deben descubrir activos, detección de vulnerabilidades, monitoreo de comportamiento, detección de amenazas y contextualización de la seguridad. Todo correlacionado para ofrecer capacidades ya integradas de seguridad, proporcionando una visibilidad de la infraestructura tecnológica a nivel de seguridad.

Aspectos técnicos

El otro aspecto importante en nuestro sistema de seguridad son los aspectos técnicos que están relacionados a los aspectos físicos en sí.

Podemos mencionar como alguno de ellos a:

• Desastres naturales: Inundaciones, terremotos, huracanes, relámpagos, etc.

• Amenazas tecnológicas: Cortes en el suministro de energía, fallos catastróficos en los sistemas, incendios, etc.

• Amenazas humanas: Sabotaje, infecciones virales, robo de datos, etc.

Como aspectos técnicos tenemos como aspectos principales

• El diseño del edificio

• La distribución interna

*Figura 3*

Diseño del edificio

La seguridad general del centro de datos puede mejorarse mucho si se considera desde el comienzo del proceso, es decir desde las primeras fases de planificación y diseño.

En la fase de planificación, además de la selección del sitio, otros elementos de construcción deberán ser considerados, los mismos incluyen:

Orientación del edificio

La orientación del edificio debe estar regida o condicionada por aspectos de seguridad en conjunto con cuestiones de climatización o medioambientales. Por este motivo, las decisiones en el diseño deben pasar los distintos responsables de las áreas (mantenimiento, recursos humanos, ingeniería, sistemas, ventas, marketing, finanzas etc.) para evitar afectaciones a ciertas áreas concretas y sin conocimiento previo, La participación de todos los actores garantizará el éxito del proyecto y en este caso el plan de seguridad.


Algunos puntos a tener en cuenta son:

• Edificaciones adyacentes

• Muelle de carga

• Vecinos peligrosos

• Control de acceso en lugares públicos

*Figura 4*

La posición del edificio en relación con vallas fronterizas y las propiedades adyacentes debe ser considerada como parte de la evaluación de riesgos de seguridad y una observación sobre cómo posibles cambios en la orientación del edificio y/o la disposición de los espacios podría ayudar a mejorar esta situación.

Materiales de construcción

La selección y el uso de los materiales de construcción adecuados pueden tener un impacto significativo en la seguridad de las instalaciones.

El uso de ladrillo o de hormigón en la construcción de las paredes periféricas se sumará a la seguridad y también podría mejorar por ejemplo a las temperaturas internas optimizando los aspectos de eficiencia energética. De esta manera construcciones con:

• Ladrillo o cemento

– Difícil de entrar

– Mejora la temperatura interna

– Más resistente a desastres naturales

• Con Vidrio templado o laminado

– Todas las aberturas incluidas las ventanas suponen un riesgo potencial

– Por más que sea vistoso no es aconsejable desde el punto de vista de seguridad

– Empeora la eficiencia energética

*Figura 5*

Paisajismo

Como parte de la planificación de seguridad debe estar incluido el paisajismo que permita armonizar aspectos de seguridad con la estética disimulando y desalentando la posible percepción que genera un centro de datos y sus actividades mediante el uso:

• Piedras, bolardos

• Árboles, arbustos cerca de los caminos públicos

• Eliminar la señalización

• Recintos cerrados para los vehículos

*Figura 6*

El uso del paisajismo debe proporcionar seguridad adicional que en muchos casos puede ser muy eficaz para la disuasión o los descuidos inadvertidos. Por ejemplo, barreras fijas creadas mediante la colocación de rocas que prohíban a los vehículos situarse en las proximidades de las paredes periféricas del centro de datos.

La reducción en la visibilidad del interior del centro de datos desde el exterior se puede lograr mediante el uso de árboles y arbustos, teniendo en cuenta que los arbustos no deben ubicarse, en contrapartida, cerca de las paredes del centro de datos de modo que faciliten ocultar elementos de espionaje o intrusos así como entorpecer la visión desde las cámaras de seguridad (CCTV).


Como recomendación general, es aconsejable no identificar públicamente el centro de datos mediante la colocación de grandes carteles o logotipos en el edificio. La discreción puede ser beneficiosa ante posibles actos vandálicos o de protesta contra la organización o del objetivo de robo de componentes de tecnología.

La ubicación de aparcamientos diferenciados entre visitantes y personal, en ambos casos en superficie y en zonas exteriores del edificio principal.

La llegada al centro de datos por carretera podría estar precedida por amplias rotondas que obliguen a conductores de vehículos, especialmente los más pesados, a reducir al mínimo la velocidad y que se conviertan en posibles lanzaderas por fallos humanos, mecánicos o de actos de terrorismo contra los edificios.

Esclusas de acceso sincronizadas en dos pasos a los vehículos para poder ingresar al recinto y puertas del tipo giratorio y acceso individual ayudan a controlar los espacios permitidos de transito además de retardar el ingreso y salida de personas y vehículos.

Disposición interna

Hemos visto en el diseño conceptual la importancia de tener distintas salas auxiliares a la sala de TI pero las mismas deben contar con una disposición segura a fin de evitar daños futuros en los centros de datos ya sea por desastres naturales, actos de vandalismo o accidentes.

Por lo tanto la disposición interna es otro aspecto importante dentro de los aspectos técnicos a los que hay que prestar atención en la fase de diseño de detalle. Algunas de las consideraciones de la disposición interna de las salas son:

• Dirigir el tránsito de personas lejos de las áreas protegidas

• Limitar el acceso de las personas solo a las necesidades concretas

• Limitar las áreas con paredes contra fuego

• Retardar los accesos a las áreas más vulnerables

• Impedir el acceso a personas no autorizadas a cada sector

• Monitorear todas las áreas con sistemas de CCTV (circuito cerrado de televisión)

*Figura 7*

El diseño interior del centro de datos debe tener en cuenta la ubicación los pasillos internos, la circulación de proveedores, las áreas de apoyo, etc. a fin de evitar el tráfico de personal no autorizado directamente a las principales áreas protegidas.

El movimiento de personas debería limitarse a los requisitos de acceso de personal definidos en los planes de seguridad, tanto para contratistas, visitantes o como para el propio personal de la empresa. Por ejemplo, si el visitante es un técnico de mantenimiento de los generadores por ejemplo, no debe haber un camino de entrada a la planta generadora que necesite pasar por la sala de informática.

Todos los pasillos y accesos que conducen a las áreas protegidas deben ser controlados y monitoreados por CCTV. Por este motivo, las puertas de acceso deben reducirse al mínimo posible con el objeto de no multiplicar los esfuerzos en monitorización y gestión asociados.

La seguridad física incluye elementos como:

• Vallas

• Barreras, terraplenes. bolardos

• Personal de seguridad

• Puertas y bloqueos de seguridad

• Ventanas, periferia del edificio

• Señalización

• Tarjetas identificativas


Según el elemento utilizado, su función ira asociada a proporcionar una o todas de las siguientes objetivos:

• Disuadir

• Demorar

• Detectar

• Detener

*Figura 8*

La idea de disuadir es tomar acción para convencer (con argumentos, carteles, indicaciones o en algunos casos podría ser por la fuerza de los hechos) a una persona para que cambie su manera de actuar, pensar o sentir frente a un posible ataque o hecho vandálico.

Con respecto a demorar nos referimos a que se debe emplear algún dispositivo que posponga por un tiempo determinado o utilice más tiempo del previsto para que se efectúe por ejemplo un ingreso no autorizado al edificio.

Por detectar nos referimos a captar o identificar la presencia de una persona o un hecho no autorizado o no previsto que genere la acción inmediata de detención del individuo o verificación del posible hecho delictivo.

Finalmente si ninguno de los estadios previos logró disuadir o demorar la acción delictiva, y una vez detectado el intruso se procederá a su detención.

Elementos de Acceso

Entre los aspectos destacables se encuentran:

• Controles de Acceso/Salida de alta seguridad

• Bi-direccional

• Anti trampeo/paso en grupo

• Sistemas de detección de acceso de dos personas

• Cerraduras biométricas

• Control de explosivos

• Detectores de armas

*Figura 9*

Deben retardar el ingreso al edificio, la idea es que una y sólo una persona ingrese a la vez y pueda pasar a través de la puerta. Algunos dispositivos incluso pesan la persona para verificar la identidad y además para detectar si ingresa o egresa con materiales no autorizados.

Puertas

De manera general se debe contemplar:

• Deben contar con alarmas y monitorizarse mediante un circuito cerrado de televisión

• Deben abrirse hacia afuera para favorecer la evacuación en caso de incendio abriendo hacia afuera y aumentar la seguridad

• Deben tener el espacio suficiente para no provocar daños y poder maniobrar los equipos (especialmente los mecánicos) sin inconvenientes

• Todas las puertas exteriores deben ser de acero o acero revestido

• Las puertas deben ser diseñadas y construidas solo las necesarias y ser la menor cantidad posible (sujeto a las normas de construcción).

• En algunos casos es aconsejable no tener la manija externa

• Revisar aspectos de regulación local, típicamente aspectos de seguridad laboral como liberación de apertura automática en caso de fallo de suministro eléctrico


Ventanas

Su adopción depende habitualmente de la habitabilidad del personal de operación o de otras actividades de personal en convivencia con las propias del data center.

• En forma ideal no deberían tener ninguna ventana con aberturas, ni al exterior ni al interior

• Solo se permitirían ventanas que no puedan abrirse

• Si las hubiera deberían ser de vidrio templado o laminado

• Marcos de ventanas con anclajes a las paredes

Lo ideal es que no queremos ventanas en nuestro centro de datos. En el vestíbulo de recepción está bien, pero si no, no es una buena idea.

Vallas y barreras

Las vallas y/o barreras de protección deben estar colocadas:

• Deben ser lo suficientemente altas como para requerir un esfuerzo significativo para ser escaladas

• Tener alambre de púas o de espino, lo mismo que las vallas electrificadas sólo puede ser utilizadas dentro de las restricciones de los códigos locales de planificación

• Siempre que sea posible, las cercas no deben instalarse de tal manera que llamen la atención sobre la instalación del centro de datos

• Las barreras para el control del tráfico rodado deben ser manipuladas y/o supervisados por circuitos cerrados de televisión

*Figura 10*

Guardias de seguridad

Un aspecto importante en la seguridad es el personal responsable de la vigilancia que en muchas ocasiones no forman parte del elenco estable de las empresas y son servicios tercerizados. En cualquier caso deben desplegarse:

• Acorde con el nivel de riesgo

• Con competencias en función de la criticidad y la industria

• Conocer los bienes en custodia

• Entrenados para disuadir, detener, detectar y atrapar intrusos

• Contar con la indumentaria y materiales necesarios para el buen desempeño de sus funciones

• Conocer los reglamentos y procedimientos internos

• Conocer y formar parte de los planes de evacuación

*Figura 11*

El despliegue de guardias de seguridad debe estar en consonancia con el nivel y el tipo de riesgo de la instalación diseñado en la fase de planificación del proyecto.

Los guardias de seguridad deben estar totalmente familiarizados con la criticidad de la instalación y familiarizarse con todas las alarmas del sistema y los protocolos de seguridad. Ellos deben tener una comprensión de los negocios y la industria en la que opera la empresa, en la medida en que puedan apreciar la exposición al riesgo que se pueden manejar y tomar las decisiones apropiadas.

Las comunicaciones externas con el guardia de seguridad deben formar parte del plan de seguridad y todas las instancias de la activación de alarma también deben controlarse externamente.


Señalización / identificaciones

Las señalizaciones e identificaciones deben ser claras, en el idioma local, sin doble sentido, preferentemente con íconos gráficos y letras.

En los casos donde se manejen empleados que requieran dos o más idiomas deberán contemplar la cantidad de lenguajes que sean necesarios para evitar confusión o malos entendidos, especialmente para los momentos de producirse un incidente.

Las señalizaciones deberían entre otras:

• Identificar las zonas protegidas

• Informar de las zonas peligrosas

• Claramente visibles

• Las identificaciones deben mostrar con claridad el nivel de acceso

• Se debería mantener un estricto control de la emisión y, lo que es igual de importante, la devolución de esas identificaciones

*Figura 12*

Señalización interna (en varios idiomas, si es necesario) se debe utilizar para identificar claramente las áreas protegidas y colocarse en lugares muy visibles.

Tarjetas de identificación deben expedirse y renovarse periódicamente para identificar claramente personal, visitantes y contratistas y sus respectivos niveles de acceso.

Un control estricto debe mantenerse sobre la emisión y, no menos importante, el regreso de tarjetas de identificación.

Código de colores para cartelería

La función de los colores y las señales de seguridad es atraer la atención sobre lugares, objetos o situaciones que puedan provocar accidentes u originar riesgos a la salud, así como indicar la ubicación de dispositivos o equipos que tengan importancia desde el punto de vista de la seguridad.

La normalización de señales y colores de seguridad sirve para evitar, en la medida de lo posible, el uso de palabras en la señalización de seguridad. Estos es necesario debido al comercio internacional así como a la aparición de grupos de trabajo que no tienen un lenguaje en común o que se trasladan de un establecimiento a otro.

• Color de seguridad: A los fines de la seguridad color de características específicas al que se le asigna un significado definido.

• Símbolo de seguridad: Representación gráfica que se utiliza en las señales de seguridad.

• Señal de seguridad: Aquella que, mediante la combinación de una forma geométrica, de un color y de un símbolo, da una indicación concreta relacionada con la seguridad. La señal de seguridad puede incluir un texto (palabras, letras o cifras) destinado a aclarar sus significado y alcance.

• Señal suplementaria: Aquella que tiene solamente un texto, destinado a completar, si fuese necesario, la información suministrada por una señal de seguridad.

La aplicación de los colores de seguridad se hace directamente sobre los objetos, partes de edificios, elementos de máquinas, equipos o dispositivos, los colores aplicables son los siguientes:

Rojo

El color rojo denota parada o prohibición e identifica además los elementos contra incendio. Se usa para indicar dispositivos de parada de emergencia o dispositivos relacionados con la seguridad cuyo uso está prohibido en circunstancias normales, por ejemplo:


• Botones de alarma.

• Botones, pulsador o palancas de parada de emergencia.

• Botones o palanca que accionen sistema de seguridad contra incendio (rociadores, inyección de gas extintor, etc.).

• También se usa para señalar la ubicación de equipos contra incendio como por ejemplo:

� Matafuegos.

� Baldes o recipientes para arena o polvo extintor.

� Nichos, hidrantes o soportes de mangas.

� Cajas de frazadas.

Amarillo

Se usará solo o combinado con bandas de color negro, de igual ancho, inclinadas 45º respecto de la horizontal para indicar precaución o advertir sobre riesgos en:

• Partes de máquinas que puedan golpear, cortar, electrocutar o dañar de cualquier otro modo; además se usará para enfatizar dichos riesgos en caso de quitarse las protecciones o tapas y también para indicar los límites de carrera de partes móviles.

• Interior o bordes de puertas o tapas que deben permanecer habitualmente cerradas, por ejemplo de: tapas de cajas de llaves, fusibles o conexiones eléctricas, contacto del marco de las puertas cerradas (puerta de la caja de escalera y de la antecámara del ascensor contra incendio), de tapas de piso o de inspección.

• Desniveles que puedan originar caídas, por ejemplo: primer y último tramo de escalera, bordes de plataformas, fosas, etc.

• Barreras o vallas, barandas, pilares, postes, partes salientes de instalaciones o artefacto que se prolonguen dentro de las áreas de pasajes normales y que puedan ser chocados o golpeados.

• Partes salientes de equipos de construcciones o movimiento de materiales (paragolpes, plumas), de topadoras, tractores, grúas, zorras autoelevadores, etc.).

Verde

El color verde denota condición segura. Se usa en elementos de seguridad general, excepto incendio, por ejemplo en:

• Puertas de acceso a salas de primeros auxilios.

• Puertas o salidas de emergencia.

• Botiquines.

• Armarios con elementos de seguridad.

• Armarios con elementos de protección personal.

• Camillas.

• Duchas de seguridad.

• Lavaojos, etc.

Azul

El color azul denota obligación.

Se aplica sobre aquellas partes de artefactos cuya remoción o accionamiento implique la obligación de proceder con precaución, por ejemplo:


• Tapas de tableros eléctricos.

• Tapas de cajas de engranajes.

• Cajas de comando de aparejos y máquinas.

• Utilización de equipos de protección personal, etc.

Seguridad electrónica

El propósito de un sistema de control de acceso electrónico (EAC) es controlar el acceso a la totalidad o parte de la instalación de centro de datos.

Los sistemas de control electrónico de control de los dispositivos de acceso, detectores de intrusión, sistemas de vigilancia y de iluminación.

• Control electrónico de acceso (EAC)

• Detección de intrusos

• Vigilancia

• Iluminación

Control electrónico del acceso

• Validación de credenciales

• Registro del intento de acceso

• Pone la puerta en funcionamiento

Los principales componentes incluyen:

• Dispositivo de reconocimiento o lector

• controlador de puerta

• liberación magnética

• Botón de apertura de la puerta

• Sensor de puerta

Lectores

En los últimos años han avanzado mucho los lectores y sistemas biométricos. Las huellas dactilares, la retina, el iris, los patrones faciales, de venas de la mano o la geometría de la palma de la mano, representan ejemplos de características físicas (estáticas), mientras que entre los ejemplos de características del comportamiento se incluye la firma, el paso y el tecleo (dinámicas).

La voz se considera una mezcla de características físicas y del comportamiento, pero todos los rasgos biométricos comparten aspectos físicos y del comportamiento. Todos esos elementos por separado o en distintas combinaciones hacen a mejorar los sistemas de acceso a cualquier recinto que contenga información sensible al negocio, elementos de valor o simplemente lugares que requieren una seguridad extrema.

Algunos dispositivos de reconocimiento o lector pueden ser:

• Algo que se sabe (un código)

• Algo que se tiene (tarjeta, llaves)

• Algo propio (huella digital)

*Figura 13*


Dispositivo de reconocimiento o reader es un dispositivo que acepta credenciales, tales como un número de PIN, tarjeta magnética, huellas dactilares, escaneo mano, o escáner de retina.

• Llave

• Detector de proximidad

• Tarjeta codificada

• Biométrico

• Dedos / impresión del pulgar

• Geometría de la mano

• Escaneo del iris

• Reconocimiento facial

Las credenciales presentadas son una única o múltiple de algo que usted sabe (como una contraseña o PIN), algo que tiene (como una tarjeta magnética o ficha), o algo que usted es (sus datos biométricos).

La técnica en estos sensores biométricos digital consiste en colocar el dedo sobre una superficie típicamente de cristal que registra en base a diferentes técnicas según las propiedades del propio dispositivo información de la huella para su comparación en los accesos.

Sensores de movimiento

Un sensor de presencia es un dispositivo electrónico equipado de sensores que responden a un movimiento físico.

El sistema puede estar compuesto, simplemente, por una cámara de vigilancia conectada a un ordenador que se encarga de generar una señal de alarma o poner el sistema en estado de alerta cuando algo se mueve delante del dispositivo. Aunque, para mejorar el sistema se suele utilizar más de un dispositivo, cámaras, multiplexores y grabadores digitales.

Este último permite maximiza el espacio de grabación, grabando solamente cuando se detecta movimiento. Hay varios tipos de sensores:

• Sensores activos. Este tipo de sensores inyectan luz, microondas o sonido en el medio ambiente y detectan si existe algún cambio en él.

• Sensores pasivos. Muchas alarmas y sensores utilizados usan la detección de ondas infrarrojas. Estos sensores son conocidos como PIR (pasivos infrarrojos). Para que uno de estos sensores detecte a los seres humanos se debe de ajustar la sensibilidad del sensor para que detecte la temperatura del cuerpo humano.

En atención a la esencia del movimiento se pueden aplicar distintas técnicas en relación a:

• Cambio de estado

• Traspaso de límites

• Cambio de peso

• La detección de infrarrojos pasivo

• Imágenes térmicas

• Detector de haz

• Indicador de nivel de ruido

• Detector de rotura de circuito eléctrico

• Detector de rotura de cristales


• Detector de vibraciones

• Detección de cambios de capacitancia

*Figura 14*

Vigilancia

La utilización de circuito cerrado de televisión se ha incrementado dramáticamente en los últimos años como la tecnología ha mejorado y los sistemas se han vuelto más flexibles.

Situado correctamente, las cámaras no sólo registran las imágenes según sea necesario, pero son en sí mismas, un elemento de disuasión visual muy eficaz.

• CCTV

• Registro en vídeo de la actividad

• Elemento disuasorio visual

• Registra la evidencia de la actividad

• Las imágenes grabadas deben ser visibles

• Almacenamiento digital del vídeo

• Un mínimo de 20 fotogramas por segundo

• En cada sala de comunicaciones, en las filas de gabinetes, puertas

La instalación del sistema de circuito cerrado de televisión está destinada a proporcionar evidencia de la actividad, ya sea permitida o penal.

Es imperativo que las imágenes capturadas sean de una calidad adecuada como para ser de utilidad, si es necesario en una fecha posterior. Para ello se recomienda que el equipo de grabación sea digital y capaz de grabar a una velocidad mínima de 20 fotogramas / segundo.

En las instalaciones críticas, se instalarán cámaras para ver todas las puertas sala de comunicaciones de acceso y en los extremos y el centro de las filas para ver todas las puertas de acceso de la cabina / gabinete.

• Situarse en puntos de difícil acceso

• Instalarse sobre un objeto sólido y fijo

• Protegerse de los elementos

• Si es necesario, deben disponer de una unidad de limpiaparabrisas y calefactor

• Mantenimiento regular

• Cumplir las leyes locales e ir acompañadas de avisos públicos allí donde sea preciso

Las cámaras deben instalarse en un lugar protegido:

• Situado fuera del alcance de la mano

• Instalado en un objeto fijo sólido, siempre que sea posible

• Protegido de la intemperie y tienen una unidad de calefacción y limpiaparabrisas, si es necesario

• Probado con regularidad para asegurarse de que cubren su zona prevista de interés

En cumplimiento de las leyes locales y acompañada de avisos públicos donde se requiera. Esto es muy importante sobre todo si el vídeo capturado jamás sería utilizado en las investigaciones criminales.

La video vigilancia con dispositivos “IP” combina los beneficios analógicos de los tradicionales CCTV (Circuito Cerrado de Televisión) con las ventajas digitales de las redes de comunicación IP (Internet Protocol), permitiendo la supervisión local y/o remota de imágenes y audio así como el tratamiento digital de las imágenes, para aplicaciones como el reconocimiento de matrículas o reconocimiento facial, entre otras.


La instalación de un sistema de video vigilancia IP es más sencillo y económico que un sistema de CCTV, puesto que aprovecha la red informática, es decir, utiliza el mismo cableado que se emplea para la comunicación de datos, acceso a Internet o correo electrónico, sin necesidad de desplegar una infraestructura de cableado coaxial específica para nuestra red de video vigilancia.

Además es posible utilizar conmutadores PoE que permiten la alimentación a través del cableado Ethernet (“Power over Ethernet, PoE”) de la infraestructura LAN estándar.

De esta manera se elimina la necesidad de utilizar tomas de corriente en las ubicaciones del dispositivo alimentado y permite una aplicación más sencilla de los sistemas de alimentación ininterrumpida (SAI) para garantizar un funcionamiento las 24 horas del día, 7 días a la semana.

La mayoría de las instalaciones más modernas están abandonando la tecnología analógica en favor de sistemas IP, dada su versatilidad, funcionalidad, sencillez y optimización de las infraestructuras existentes en la compañía.

Entre los avances más destacados de los últimos años, además de las capacidades inalámbricas que eliminan el tendido de cables, se encuentran la alta resolución de imagen que ofrecen las cámaras megapixel, la inclusión de sistemas de inteligencia para el tratamiento de video y la gestión de eventos o contadores digitales.

Es posible capturar vídeo y almacenarlo a diversas calidades de imagen o activar la grabación sólo en determinadas circunstancias en base a la detección de movimientos en una zona determinada o por franjas horarias.

La mejora de la resolución va acompañada de elevadas tasas de compresión para evitar altos consumos de ancho de banda y espacio de almacenamiento, con estándares como H.264, que simplifican significativamente el almacenamiento en los NVR (“Network Video Recorders”) o servidores de vídeo respecto a otros formatos como vídeo Motion JPEG, MPEG-4.

*Figura 15*

De acuerdo al cumplimiento de la TIA 942 y sus diferentes niveles de Rating encontramos recomendaciones relevantes en este aspecto.

*Figura 16*

Iluminación

La iluminación es un componente muy importante del sistema de seguridad. Permite a diversos elementos del sistema operar correctamente y a los guardias de seguridad observar con claridad suficiente todos los aspectos relevantes de manera directa visual además del circuito cerrado de televisión habilitado. Para esta visualización y grabación de imágenes reconocibles es necesario atender a:

• Iluminación del sujeto

• Evitar el encandilamiento

*Figura 17*

También es importante colocar las cámaras en el lugar adecuado y montadas externamente en el lugar que deseamos controlar. Hay que tener en cuenta la hora del día y la época del año considerado la posición del sol. La cámara debe ser capaz de ver su sujeto en las sombras de alto contraste, con luz directa del sol, sombra o si el sol brilla directamente hacia la lente de la cámara (justamente cuidando que esto no ocurra al momento de hacer el diseño de detalle).

Aquí están las recomendaciones estándar de nivel de iluminación para las cámaras de seguridad según BICSI 002:

*Figura 18*


Tendencias

La intrusión física en los data center es una amenaza creciente tanto para las empresas como para proveedores de servicios de centros de datos.

Además del control en las áreas de acceso, el equipamiento del centro de datos y el almacenamiento de datos se segmenta en múltiples bloques dentro de una instalación de centro de datos para el que es necesario realizar el seguimiento en el acceso que realizan todas las personas.

Hay una serie de medidas y soluciones que están siendo adquiridos por los proveedores de servicios de centro de datos para evitar la intrusión física en las instalaciones atendiendo al perímetro de seguridad, soluciones de protección de las instalaciones, soluciones de seguridad para la sala TI y soluciones de seguridad a nivel de rack pero hay que considerar que no hay ingresos generados asociados a estos servicios permaneciendo en el ámbito del “gasto” desde la perspectiva del negocio.

La creciente importancia de la continuidad del negocio en los centros de datos impulsa la necesidad de integración de los sistemas desde el diseño inicial. Podemos observar esta integración en los diseños más actuales asociando los sistemas desde el momento del CAPEX.

En paralelo, la aplicación de sistemas biométricos como tercer nivel de verificación de la identidad y la necesidad de gestión de los accesos impulsan al mercado de la seguridad y diversos proveedores a ofrecer soluciones de seguridad completas e integradas con el resto de los sistemas de gestión del data center idealmente.


Referencias / Saber más

- ISO/IEC 27001: Publicada el 15 de Octubre de 2005, revisada el 25 de Septiembre de 2013. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la norma ISO 27002, para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados.

- ISO/IEC 27002: Actualmente, la última edición de 2013 este estándar ha sido actualizada a un total de 14 Dominios, 35 Objetivos de Control y 114 Controles relacionados con la seguridad de la información.

- ANSI/BICSI 002 recopila las mejores prácticas tanto en implantación como en diseño de Data Centre. El inicio del desarrollo del documento parte en 2004 desde la propia necesidad de la industria de disponer de un documento comprensible y racional que cubriera los factores fundamentales para la implantación como el diseño de los Data Centre.

- TIA 942: Telecommunications Industry Association (TIA) fundada en 1988 ha desarrollado el estándar ANSI/TIA 942 que detalla en sus contenidos las mejores prácticas específicas para infraestructuras de Data Centre.

- ISA99 - ISA Security Compliance Institute: ISA99 es el comité "Industrial Automation and Control System Security Committee" de la asociación International Society for Automation (ISA). El comité está desarrollando una serie de varios capítulos de normas e informes técnicos sobre en éste área, varios de los cuales han sido publicados como documentos ANSI (American National Standards Institute).

- North American Electric Reliability Corporation - NERC 1300 se denomina CIP-002-1 dentro de CIP-009-2 (CIP = Protección de Infraestructura Crítica). Estas normas se utilizan para proteger sistemas eléctricos principales aunque NERC ha creado estándares en otras áreas.

- NIST 800-12: ofrece un amplio panorama de la seguridad informática y de las áreas de control. También hace hincapié en la importancia de los controles de seguridad y la forma de aplicarlos. Inicialmente, este documento estaba dirigido al gobierno federal a pesar de que la mayoría de las prácticas en este documento pueden aplicarse al sector privado. Concretamente fue escrito para aquellas personas en el gobierno federal responsable de manejar los sistemas sensibles.

- RFC 2196: memorando publicado por el Internet Engineering Task Force para el desarrollo de políticas y procedimientos de seguridad de los sistemas informáticos conectados a Internet.

- Cobit: El IT Governance Institute fue establecido por ISACA (Information Systems Audit and Control Association) en 1998 para aclarar y orientar en cuestiones actuales y futuras relativas a la administración, seguridad y aseguramiento TI. Como consecuencia de su rápida difusión internacional, ambas instituciones disponen de una amplia gama de publicaciones y productos diseñados para apoyar una gestión efectiva de las TI en el ámbito de la empresa.

- COSO-Enterprise Risk Management / SOX: El Committee of Sponsoring Organizations of Treadway Commission (COSO) es una iniciativa del sector privado estadounidense formada en 1985. Su objetivo principal es identificar los factores que causan informes financieros fraudulentos y hacer recomendaciones para reducir su incidencia. COSO ha establecido una definición común de controles internos, normas y criterios contra los cuales las empresas y organizaciones pueden evaluar sus sistemas de control. Uno de sus documentos más conocidos, referencia a nivel mundial, es CobiT (Objetivos de control para tecnologías de la información y similares).

- “IT Infrastructure Library” (ITIL) es un conjunto de publicaciones para las mejores prácticas en la gestión de servicios TI e incluye opciones que pueden ser adoptadas y adaptadas según necesidades, circunstancias y experiencia de cada proveedor de servicios


- ISO 31000: Risk Management - Principles and Guidelines on Implementation: tiene por objeto proporcionar un paradigma universalmente reconocido por los profesionales y las empresas que emplean procesos de gestión de riesgos para sustituir a la miríada de las actuales normas, métodos y paradigmas que difieren entre industrias, temas y regiones

- IEC 31010:2009 Risk Management - Risk Assessment Techniques

- ISO 22301: Cada vez resulta más importante para las empresas el disponer de planes de continuidad de negocio que minimicen la inactividad de la organización en caso de cualquier tipo de interrupción.

- ANSI/TIA-862-A: en relación al cableado y la construcción de sistemas de automatización incluyendo cámaras IP, sistemas de seguridad y vigilancia de los sistemas de infraestructura eléctrica y mecánica para el centro de datos.

- GB 50348-2004 Technical Code for Engineering of Security & Protection System

- Anderson, James P. “Computer Security Threat Monitoring and Surveillance”, 15 April 1980 http://seclab.cs.ucdavis.edu/projects/history/papers/ande80.pdf


ANEXO FIGURAS – Figura 1

Defensa en capas



Pilares del plan de seguridad



Diseño del edificio - Ambiental



Diseño del edificio - Orientación



Materiales de construcción



Diseño del edificio - Paisajismo



Disposición interna



Elementos relacionados con la seguridad



Accesos



Vallas y barreras



Guardias de seguridad



Señalización / identificaciones



Lectores



Sensores de movimiento



Vigilancia



Cumplimiento de la TIA 942 en relación a los Rating:



Iluminación



Iluminación – Nivel de Lux


Caso Práctico 1:

Auditoría de seguridad

Objetivo: Identificar los elementos relacionados con la seguridad en las instalaciones

Metodología En atención a la visita virtual a un Data Center:

- Identifique elementos revisados durante el módulo - Indique dos aspectos que deberían/podrían ser mejorados en aspectos de seguridad - Indique dos aspectos de mejora general

Documents

Data Centre Design Awareness (DCDA) Sesión Técnica 12 ...para el desarrollo de productos y/o prestación de servicios por parte de las organizaciones. Por tanto, es esencial en el