Si su organización tiene uno o más centros de datos, debe asegurarse de que son resilientes ante situaciones que podrían amenazar su operación continua.
Hoy, los centros de datos son alojados en cualquier parte, desde almacenes reconstituidos y pisos en edificios de oficinas, hasta edificios reforzados, diseñados para soportar terremotos, huracanes, tornados y otros eventos.
Si bien cada una de estas opciones de sitios pueden soportar un centro de datos, se debe determinar si un tipo específico de edificio podría hacerle frente de manera eficaz a las amenazas potenciales a su centro de datos. En este artículo, le brindaremos consejos para ayudarle a asegurar que sus centros de datos son resilientes y recuperables.
Al comienzo de una evaluación de resiliencia para su centro de datos, realice las siguientes actividades básicas:
1. Determine si su centro de datos está físicamente localizado en una área de riesgo baja a moderada, como una zona con baja probabilidad de desastres naturales (terremotos y climas extremos); si tiene acceso a una o más redes eléctricas para contar con fuentes redundantes de energía; si está ubicado en terrenos altos para minimizar la amenaza de inundación; y si no está cerca de carreteras principales, ferrocarriles o ríos.
2. Si la sede de su centro de datos no está ubicada en un área que tiene uno o más de los criterios arriba mencionados, podría sufrir de otro tipo de riesgos, así que debe conducir una evaluación de riesgo que:
* Identifique de qué maneras el centro de datos podría no ser resiliente y capaz de sobrevivir.
* Identifique y analice amenazas a las operaciones continuas del centro de datos, tales como desastres naturales, acciones humanas –como robo y vandalismo–, brechas de seguridad física, y amenazas ambientales, como derrames químicos.
* Identifique la presencia de los controles de gestión, operativos y técnicos que se ocupan de estos temas.
Las siguientes tablas examinan estas cuestiones con más detenimiento y ofrecen consejos para hacer frente a cada área de preocupación:
Tabla 1 - Controles de gestión, operativos y técnicos
Tabla 2 – Amenazas naturales
Tabla 3 – Amenazas humanas y de seguridad
Tabla 4 – Amenazas ambientales
Control |
Cuestiones que abordar |
Consejos para enfrentar el tema |
Evaluaciones de riesgo y amenazas |
¿Se ha realizado recientemente evaluaciones de riesgo y amenazas? |
-
Programar y llevar a cabo una evaluación anual de riesgos y amenazas que examine tanto las amenazas internas, como las externas.
-
Actualizar los planes de emergencia del centro de datos, basados en los resultados de la evaluación de riesgos.
|
Seguros |
¿Se ha obtenido algún seguro para hacer frente a posibles interrupciones del centro de datos? |
|
Acuerdos de nivel de servicio |
|
|
Seguridad del sitio |
|
-
Prepare un plan de seguridad del sitio, y pruébelo al menos una vez al año.
-
Asegúrese de que los sistemas de seguridad, como cámaras en circuito cerrado o sistemas de control de acceso, son examinados regularmente.
|
Documentación |
|
-
Asegúrese de que los procedimientos operativos del centro de datos están documentados y son revisados anualmente.
-
Asegúrese de que los procedimientos de emergencia del centro de datos están documentados y se revisan anualmente.
|
Hardware y software de respaldo |
-
¿Están respaldados los dispositivos críticos de hardware, como servidores?
-
¿Están respaldados los sistemas de almacenamiento de datos, incluyendo las SAN?
-
¿Hay copias de respaldo de las aplicaciones críticas que puedan ser usadas como recuperación?
-
¿Hay disponibles dispositivos de respaldo de red, como routers, switches, firewalls?
|
-
Asegúrese de que hay sistemas y componentes de respaldo donde sea posible.
-
Almacénelos en ubicaciones seguras con ambiente climatizado.
-
Mantenga un inventario actualizado de todos los activos de respaldo.
|
Procedimientos de emergencia |
-
¿Hay procedimientos de respuesta a incidentes?
-
¿Hay procedimientos de evacuación?
-
¿Hay procedimientos para accesos no autorizados?
-
¿Hay procedimientos para terrorismo o eventos similares?
-
¿Hay procedimientos para robo o vandalismo?
-
¿Hay procedimientos si hay alguien disparando con un arma?
-
¿Hay planes de recuperación de desastres de tecnología?
|
-
Asegúrese de que hay procedimientos establecidos para responder a incidentes que pueden amenazar al centro de datos.
-
Asegúrese de que todos los procedimientos están documentados.
-
Asegúrese de que todos los procedimientos de emergencia son probados regularmente.
|
Opciones para un centro de datos alternativo |
|
-
Desarrollar un plan de recuperación para el centro de datos.
-
Identificar otros sitios de la compañía que podrían ser configuradas para respaldar al centro de datos.
-
Si no hay una opción disponible para un centro de datos alternativo, considere una opción de operaciones para centro de datos de terceros o basada en nube.
|
Amenaza |
Cuestiones que abordar |
Consejos para enfrentar el tema |
Terremoto |
¿Puede el centro de datos soportar el impacto de las vibraciones producidas por un terremoto o un movimiento telúrico? |
-
Determine qué tan listo está el edificio para soportar terremotos.
-
Asegúrese de que los empleados pueden evacuar de manera segura, si es necesario.
-
Asegúrese de que se desarrolla y evalúa los procedimientos de emergencia.
|
Inundación |
¿Está protegido el centro de datos por una capacidad de desviar o resistir las inundaciones? |
-
Prepare bolsas de arena para las inundaciones.
-
Asegúrese de tener disponibles equipo de bombeo.
-
Asegúrese de que los empleados pueden evacuar de manera segura.
-
Asegúrese de desarrollar y probar procedimientos de emergencia para inundaciones.
|
Caída de rayos |
¿Puede el centro de datos soportar el impacto de la caída de un rayo? |
-
Revise la condición de los sistemas de protección contra rayos de manera regular.
-
Asegúrese de la disponibilidad de equipos de protección contra sobretensiones para los alimentadores de energía críticos.
-
Pruebe y verifique la construcción de tierra.
|
Vientos fuertes de tormentas, tornados |
¿Puede el centro de datos resistir vientos fuertes y escombros voladores? |
-
Determine la disposición del edificio para soportar fuertes vientos.
-
Asegúrese de que los empleados pueden evacuar de manera segura si es necesario.
-
Asegúrese del desarrollo y evaluación de procedimientos de emergencia para vientos fuertes.
|
Frío/calor severos |
¿Puede el centro de datos mantener un entorno operativo habitable con sus sistemas de climatización? |
|
Amenaza |
Cuestiones que abordar |
Consejos para enfrentar el tema |
Desorden civil, terrorismo, vandalismo, acceso no autorizado |
-
¿Está el centro de datos asegurado contra accesos no autorizados?
-
¿Puede evacuar el personal de manera segura en un evento así?
|
-
Asegúrese de que los sistemas de seguridad del edificio están operativos.
-
Asegúrese de que los empleados pueden evacuar de manera segura si es necesario.
-
Asegúrese de desarrollar y probar procedimientos de emergencia para la seguridad del edificio.
-
Asegúrese de desarrollar y probar procedimientos de emergencia para desórdenes civiles y eventos relacionados.
-
Asegúrese de que los guardias de seguridad están disponibles en las entradas del edificio.
-
Asegúrese de que las cámaras de seguridad pueden grabar eventos dentro y fuera del edificio.
|
Amenaza |
Cuestiones que abordar |
Consejos para enfrentar el tema |
Falla de energía |
-
Pérdida de energía comercial.
-
Sistemas de protección de energía, como supresores de picos.
-
Sistemas de energía de respaldo.
-
Suministro de combustible para generadores de diesel o gas natural.
|
-
Trabaje con las compañías locales de energía para evaluar opciones de fuentes de energía.
-
Conecte dispositivos de protección de energía en todo el centro de datos para proteger los sistemas.
-
Asegúrese de que las fallas de energía activan alarmas de notificación.
-
Invierta en sistemas de energía de respaldo, como generadores y dispositivos UPS.
-
Prueba regularmente los sistemas de energía de respaldo.
-
Rellene regularmente los depósitos de combustible; tenga al menos dos proveedores disponibles.
|
Falla en las comunicaciones |
|
-
Asegúrese de que los servicios de acceso local son entregados en un conducto seguro desde la calle.
-
Considere alimentaciones alternativas hacia el centro de datos para tener redundancia.
-
Asegúrese de que el acceso a internet está protegido y es redundante.
-
Pruebe regularmente los servicios de red para asegurar su disponibilidad.
|
Falla en los sistemas de climatización |
Pérdida de A/C, calefacción, sistemas de filtración de aire. |
-
Asegúrese de que los sistemas de climatización están operativos y se prueban regularmente.
-
Asegúrese de la disponibilidad de los sistemas de energía de respaldo para los sistemas de climatización.
-
Considere sistemas redundantes de climatización.
-
Asegúrese de que las fallas en climatización activan alarmas de notificación.
|
Incendios |
¿Puede el centro de datos responder a fuegos internos y externos? |
-
Asegúrese de que los sistemas de extinción de incendios funcionan y son probados regularmente.
-
Instalar “interruptores asesinos” para detener una descarga accidental en el sistema.
-
Asegúrese de que hay un número suficiente de extinguidores.
-
Asegúrese de que los empleados pueden evacuar de manera segura si es necesario.
-
Asegúrese de desarrollar y probar procedimientos de emergencia para incendios.
|
Temas en la calidad del agua, por ejemplo contaminación |
-
¿Hay procedimientos para monitorear la calidad del agua?
-
¿Hay sistemas de filtración de agua?
-
¿La tubería interna está ubicada lejos de los sistemas críticos para prevenir el daño por agua?
-
¿Están disponibles fuentes y suministros de agua alternativos?
|
-
Trabaje con el propietario del edificio para coordinar el monitoreo del suministro primario de agua y los procedimientos de emergencia.
-
Trabaje con el propietario del edificio para coordinar fuentes de agua de respaldo.
|
Incidentes con materiales peligrosos |
|
-
Coordine procedimientos para tratar con materiales peligrosos con las organizaciones locales de gestión ambiental.
-
Establecer procedimientos de emergencia para hacer frente a condiciones con materiales peligrosos.
|
Resumen
Como puede ver, hay muchas cuestiones que abordar en la construcción de la resiliencia de un centro de datos. Ya sea que esté edificando un nuevo centro de datos, que esté mudando el centro de datos a un sitio diferente, o actualizando una instalación existente, asegúrese de abordar estos temas como parte del diseño general del edificio y/o construirlo para proteger su inversión de centro de datos.
Sobre el autor: Paul Kirvan, CISA, FBCI, trabaja como consultor y auditor independiente de continuidad de negocios, y es secretario del Capítulo de Estados Unidos del Instituto de Continuidad de Negocios, y miembro del BCI Global Membership Council. Puede encontrarlo en [email protected].