La creciente importancia de la seguridad física en el centro de datos

Si bien la mayoría de las discusiones sobre seguridad de TI se centran en controles lógicos, la protección de la infraestructura física del centro de datos es cada vez más importante. El Reglamento General de Protección de Datos (RGPD) de la Unión Europea (UE), que entrará en vigor el próximo mes de mayo, ilustra este punto.
El GDPR es una nueva ley estricta que rige la seguridad y privacidad de los datos personales de cualquier persona que viva en la UE. Aunque está diseñado para estandarizar la legislación de privacidad de datos en toda Europa, tiene implicaciones importantes para las empresas de todo el mundo. Se aplica a cualquier organización, independientemente de su tamaño o ubicación, que recopile y almacene los datos de los residentes de la UE.

El reglamento exige que todas las organizaciones sepan exactamente dónde se encuentra cada instancia de la información personal de alguien e “implementen las medidas técnicas y organizativas adecuadas” para garantizar la protección de esos datos. Entre las medidas organizativas mínimas está garantizar la seguridad física de las instalaciones donde se almacenan los datos.
El RGPD no es la única regulación que exige la seguridad del centro de datos físico. Por ejemplo, el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) requiere que las organizaciones restrinjan y controlen el acceso a cualquier instalación que albergue sistemas utilizados para almacenar, procesar o transmitir datos de titulares de tarjetas. HIPAA prescribe "medidas físicas, políticas y procedimientos para proteger los sistemas de información electrónica de una entidad cubierta y los edificios y equipos relacionados, de los peligros naturales y ambientales y la intrusión no autorizada".

La mayoría de los centros de datos han implementado medidas de seguridad física, como cerraduras de puertas electromecánicas, tarjetas inteligentes o controles de acceso biométricos y sistemas de videovigilancia. Sin embargo, al igual que con todos los problemas de seguridad de TI, los humanos son el eslabón más débil. Los ladrones de datos pueden ingresar “siguiendo” detrás de los empleados o haciéndose pasar por personal de mantenimiento de edificios. Los infiltrados maliciosos que tienen la libertad de recorrer todas las partes de la instalación pueden obtener acceso casi ilimitado a los sistemas de TI.

El personal del centro de datos debe recibir información sobre los riesgos de seguir de cerca, compartir tarjetas de acceso y permitir el ingreso de extraños a las instalaciones. Los visitantes deben ser escoltados en todo momento y se debe registrar su actividad. Si es posible, el equipo de TI debe alojarse en habitaciones interiores, lejos de las ventanas. Las puertas de emergencia no deben tener manijas exteriores y las alarmas deben activarse cuando se usan estas puertas.

Cada miembro del personal debe estar obligado a ingresar a la instalación por separado, utilizando su propia tarjeta de acceso. Los controles de acceso físico y las credenciales deben administrarse correctamente y actualizarse con frecuencia a medida que cambian los roles de personal y de trabajo. Todas las políticas y procedimientos de seguridad física deben documentarse y revisarse periódicamente.
Además de los controles de acceso, otra área crítica de la seguridad de los datos son los estrictos controles sobre los medios extraíbles que ingresan y salen del centro de datos. Por lo general, las áreas altamente seguras prohíben que cualquier personal retire cualquier medio extraíble del área (jaula, sala de datos, etc.). El resultado final para los medios extraíbles es que tiene que ser un viaje de ida si ingresa a un centro de datos.

Cerrar los gabinetes puede servir como última línea de defensa en caso de que un intruso ingrese a las instalaciones del centro de datos. Los recintos de cápsulas equipados con cerraduras en las puertas también pueden proporcionar una medida adicional de protección. Estas herramientas son especialmente importantes cuando los equipos de TI se alojan en una oficina, depósito, almacén u otra área donde los controles de acceso estrictos no son prácticos.

Cuando se trata de seguridad y cumplimiento normativo, las organizaciones están legítimamente preocupadas por los firewalls, los sistemas de prevención de intrusiones y otros controles lógicos. Sin embargo, las herramientas de seguridad más sofisticadas son inútiles si los ciberdelincuentes pueden ingresar a las instalaciones del centro de datos y acceder o manipular el equipo. A medida que las organizaciones se preparan para el cumplimiento del RGPD, deben analizar detenidamente sus estrategias e infraestructura de seguridad física e implementar políticas y procedimientos para mantener a los intrusos alejados de los datos confidenciales.