Seguridad y Control de Acceso al Data Center

Seguridad y Control de Acceso al Data Center: Seguridad Lógica y Seguridad Física.

Seguridad Lógica

Se refiere a la forma como ha de ser accedida, transmitida, compartida y almacenada la información que se encuentra en formato digital en el Data Center, esto incluye la que se encuentra en los discos de los servidores y/o redes de almacenamiento (SAN o NAS) y la que se encuentra en los medios de respaldo (cintas, discos u otros).

Con base en los requerimientos más amplios de calidad, fiduciarios y de seguridad, se definieron los siguientes siete criterios de información:

•       La efectividad tiene que ver con que la información sea relevante y pertinente a los procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y utilizable.

•       La eficiencia consiste en que la información sea generada con el óptimo (más productivo y económico) uso de los recursos.

•       La confidencialidad se refiere a la protección de información sensitiva contra revelación no autorizada.

·         La integridad está relacionada con la precisión y completitud de la información, así como con su validez de acuerdo a los valores y expectativas del negocio.

•       La disponibilidad se refiere a que la información esté disponible cuando sea requerida por los procesos del negocio en cualquier momento. También concierne a la protección de los recursos y las capacidades necesarias asociadas.

•       El cumplimiento tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, así como políticas internas.

•       La confiabilidad se refiere a proporcionar la información apropiada para que la gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de gobierno.

Garantizar cada uno de los puntos anteriores es crucial para la operatividad de la empresa, es por ello que se debe diseñar, planificar, ejecutar y mantener una política de control lógico que minimice los riesgos de perdida, extravió y fuga de información crítica para las funciones del negocio. Está tarea no es exclusiva del Departamento de Seguridad, tampoco lo es del Departamento de TI, sino más bien de todos, desde la alta gerencia hasta los niveles operativos se debe estar consciente del riesgo que encara tener un débil sistema de seguridad.

Como se puede alcanzar tal nivel protección, la respuesta depende de la organización en la que se vaya a implementar, pero ISACA sugiere aplicar La Seguridad de la Información bajo la perspectiva del Modelo de Negocio (BMIS), viéndola desde un enfoque sistémico en el que La Organización, Las Personas, La Tecnología y Los Procesos están interconectados para lograr de la mejor manera el logro de los objetivos.

Seguridad Física

Se establece para garantizar quien, cómo, cuándo y porque una persona accede o no al interior del Data Center, para ello se establece una política que rige y norma el acceso y control, basada en estándares ampliamente reconocidos.

¿Quién debe acceder al Data Center?

Evidentemente no todo el personal de una empresa debe tener acceso al Data Center, ni siquiera la mayoría de la personas del Departamento de TI, podrán ingresar alguna vez en su vida a este lugar. Sólo quien este designado por la autoridad competente y porque así lo disponen las funciones inherentes a su cargo podrá acceder al Centro de Datos.

• Algunos de los roles a los que debe garantizárseles la entrada son:
• ·         Administrador de la red
• ·         Administrador de seguridad de TI
• ·         Administrador de Telecomunicaciones
• ·         Administrador de Respaldo
• ·         Técnico Especialista Externo ()
• ·         Auditor de TI

¿Cómo se debe acceder?

En una organización donde están bien definidos los roles y funciones, y a su vez estos son ocupados por diferentes personas,  es necesario controlar con que equipos o dispositivos entran al Data Center, sobre todo para aquellos a los que se les otorgan accesos temporales como el personal externo a la organización. Cada empresa fijará entonces, cuales son los dispositivos y equipos que podrán ingresar y determinará acciones tendientes a garantizar que no se comentan infracciones a las normas y políticas,  que atenten contra el desempeño de la empresa.

¿Cuándo se debe acceder?

Por ser un área extremadamente crítica, se deben fijar estrictos controles que garanticen la continuidad de las operaciones, para ello se deben fijar horarios de entrada los cuales podrán ser de permanente o eventual dependiendo de la labor a realizar.

Acceso permanente

Se otorga al personal que administra el centro de datos: Es un acceso que permite la entrada las 24 horas del día, los 7 días de la semana, los 365 días del año, se le otorga al equipo encargado de mantener operativa todas la funciones del negocios soportadas por las Tecnologías de Información y Comunicación, este acceso se mantendrá hasta tanto no cambie la norma. Cada ingreso debe quedar plenamente identificado mediante el registro de una bitácora diseñada para tal fin. El personal de seguridad y el supervisor de TI deberán tener conocimiento de cada visita que se realice, y los motivos que la ameritaron. 

Eventual:

• •       Programado: Generalmente se produce cuando se va a realizar un procedimiento de mantenimiento preventivo o perfectivo de los equipos de procesamiento de información,

• •       No programado: Ocurre cuando se detecta una falla o alguna situación no prevista que requiere la atención inmediata para evitar que se convierta en un problema de mayor magnitud.

¿Por qué se debe acceder?

La razón principal para entrar en el Data Center es para realizar labores de mantenimiento, monitoreo y control, aun cuando la mayoría de dispositivos puede ser administrado y monitoreado de forma remota, existen procesos manuales que requieren la presencia humana para que se lleven a cabo, el caso más común es el cambio y traslado de los medios de almacenamiento permanente (cintas).