DATA4 revela los 5 principios de la seguridad en los centros de datos
Una de las prioridades estratégicas de
seguridad es buscar la convergencia entre los requisitos internos y las
exigencias de los clientes en términos de disponibilidad, integridad, confidencialidad
y trazabilidad
Se recomienda seguir una estrategia de
seguridad basada en el modelo "SPICA", en el que se promueven y aplican
los principios de segregación, seguridad física, independencia, ciberseguridad
y alineamiento
La seguridad de los datos y de las infraestructuras es una de las
principales preocupaciones de todos los clientes. Desde DATA4 se trabaja
diariamente para mejorar los procedimientos internos y las medidas
organizativas y técnicas implementadas. Una de las prioridades estratégicas de
seguridad es buscar la convergencia entre los requisitos internos y las
exigencias de los clientes en términos de disponibilidad, integridad,
confidencialidad y trazabilidad.
Por ello, DATA4
recomienda seguir una estrategia de seguridad basada en el modelo
"SPICA", de sus siglas en inglés, segregation, physical security,
independence, cybersecurity, alignment, en el que se promueven y aplican dichos
principios.
Segregación
La segregación de
los entornos informáticos y de las infraestructuras específicas de los centros
de datos deben formar parte del ADN de los mismos. Este modelo permite
garantizar la inaccesibilidad a los distintos sistemas de información de los
que el centro de datos es responsable en materia de alojamiento físico.
Esta
compartimentación también se refleja en las funciones y autorizaciones lógicas
y físicas resultantes. "Trabajamos
para detectar los comportamientos denominados anormales, como el de una persona
cuyo papel como informático o técnico de mantenimiento no justificaría los
accesos o rutas operados en nuestros centros de datos, salas de alojamiento o
salas técnicas", comenta Stéphane Lemée, director de seguridad de los
servicios informaticos (CISSO) del Grupo DATA4.
Seguridad
física
La seguridad física
es la primera línea de defensa en la protección de los centros de datos. Los
diferentes sistemas de videovigilancia y control de acceso están bajo la
autoridad de un Director de Seguridad. Las medidas pueden llegar a prohibir la
introducción de objetos metálicos en el recinto de una sala de control. También
es posible implementar, a petición del cliente, seguridad física mediante
dispositivo biométricos.
“En DATA4 también utilizamos socios de reconocido
prestigio para velar por la seguridad física que nos ayuda a reforzar la
impermeabilización de nuestros perímetros físicos y nuestras capacidades
organizativas y técnicas para detectar intentos de intrusión”, añade Stéphane Lemée.
Independencia
La organización
interna del grupo también tiene como objetivo garantizar la independencia de
los organismos encargados de promulgar las normas, aplicarlas y controlarlas.
El modelo adoptado es el del grupo CISO adscrito a la Secretaría General, que
garantiza el cumplimiento de las orientaciones estratégicas adoptadas por la
dirección y los accionistas, pero también de las distintas normas reguladoras,
a través de la obtención y mantenimiento de diversas certificaciones a cumplir.
Al separar la
infraestructura de los servicios se obtiene una mayor protección. Cuando todo
es gestionado por un único proveedor, es decir, en el caso de una fuerte
integración vertical, un incidente de seguridad en uno de los eslabones puede
tener un impacto en toda la cadena y comprometer datos sensibles o un sistema
de información crítico.
Ciberseguridad
Si esta segregación
excluye cualquier posibilidad de análisis del tráfico de la red y de los
intercambios de aplicaciones, el centro de datos puede ayudar en esta función a
través de la lectura, de este modo es capaz de detectar señales como un aumento
injustificado del consumo de energía o de la disipación de calor, lo que puede
sugerir el despliegue de aplicaciones de "cryptojacking" de alto
consumo energético en las infraestructuras de los clientes.
Alineación
La orientación
estratégica de la seguridad debe pasar por alinear los requisitos internos en
materia de seguridad lógica y física con las necesidades de los clientes,
impulsada siempre desde la dirección. De este modo se pueden alinear las medidas
de seguridad interna con las que se aplicarían a los clientes como parte de las
obligaciones impuestas por parte de los proveedores de servicios digitales
(DSP) según la definición de la Directiva europea NIS.