martes, 19 de mayo de 2020

Certificación de Centros de Procesos de Datos en situaciones de Emergencia

A medida que se van reincorporando las actividades en distintos países tras estos meses de epidemia mundial, vamos sacando conclusiones de lo que nos ha dejado este tiempo de reclusión y aislamiento.
La primera de ellas es que hemos podido hacer muchas actividades cotidianas nuestras con la simple ayuda de un ordenador portátil presente en muchas casas, y de un teléfono móvil. Sin embargo, detrás de estos dispositivos tiene necesariamente que existir un Centro de Proceso de Datos capaz de recibir, transformar y enviar información a multitud de usuarios.
En esta situación, disponer de infraestructuras con una garantía de diseño y con procedimientos de operación y mantenimiento integrados y conocidos por todos son desde luego la mejor forma de responder cuando se presente una avería o una situación que requiera una intervención en el menor tiempo posible y que permita restituir la operación de manera casi inmediata.
En esta situación, los programas de certificación de Centros de Procesos de Datos son una gran ayuda para conseguir un marco fiable y objetivo que aúne los procedimientos de seguridad en el diseño, construcción, operación y mantenimiento y que protejan este "corazón digital" del que depende la supervivencia de las sociedades actuales.

lunes, 27 de abril de 2020

¿Hay alguna relación entre la falta de Investigación y el Número de Fallecidos por COVid-19?

La positividad de la vida incluso en las más difíciles circunstancias está en el sentido de eternidad y trascendencia. Por lo tanto, en este sentido, no podemos simplemente hablar de "fallecidos por el Coronavirus" si no entrar de lleno en la causa de estos fallecimientos.  Es muy alarmante que España cuente con el mayor número de fallecidos por población y que los Centros de Investigación estén siendo infrautilizados. Os invito a escuchar a Mariano Barbacid, eminencia española quien muestra su extrañeza, y que nosotros como españoles debemos escuchar y por supuesto, los responsables responder.
Video de Mariano Barbacid en Noticias de ABC

martes, 21 de abril de 2020

Webs fiables y Webs oficiales

Este virus es contagioso, letal y muy, pero que muy obediente...Valga consultar el mapa de la enfermedad que publica y mantiene la Universidad John Hopkins para darse cuenta que los contagios empiezan justo el día que el país empieza a tomar medidas...
Con toda la profusión de noticias que nos llegan a diario, me he propuesto hacer una lista de sitios web fiables y que pueda ayudarnos en estos tiempos oscuros, y por supuesto, nada sospechosos...Se limitan a mostrar la realidad y esta supongo que vendrá de la información que facilitan los países.
Empezamos la lista:

Recursos Informativos

Universidad de John Hopkins: Esta Web presenta el mapa diario de expansión del Coronavirus, número de contagios y recuperaciones así como número de tests.
Union Europea, muestra la respuesta de los Estados Miembros a la pandemia, con especial énfasis en el uso de aplicaciones móviles (incluye directrices para cumplir con el Reglamento Europeo de Protección de Datos) en los países. Atención, España no está entre los países que han adoptado medidas comunes relacionadas con la utilización de aplicaciones móviles para control del Coronavirus a fecha del 20/4/2020 (https://ec.europa.eu/health/ehealth/key_documents_en#anchor0).
Organización Mundial de la Salud, aunque esta Web está muy consultada últimamente es especialmente interesante la herramienta desarrollada con una Universidad alemana para monitorizar la prevención, seguimiento y atención durante la pandemia. Permite comparar la respuesta de unos países con otros.
McKinsey & Co, informativo y práctico porque ofrece contínuamente recetas prácticas basadas en su experiencia en clientes.

Recuperación Económica

Sin duda, el ser humano "está bien hecho" porque a pesar de las situaciones más dramáticas en las que puede vivir, lleva impreso el sello de la vida. Por esto, ya están empezando a surgir medidas concretas que nos puedan llevar hacia una recuperación económica.  Os adjunto algunos links interesantes, sobre todo porque muestran políticas comunes:

Respuesta de medidas económicas de la Unión Europea a la Pandemia, esto es una nota de prensa del Consejo de Ministros de la Unión Europea. Como a España estas noticias nos llegan filtradas, manejadas y manipuladas, creo que nos puede ayudar leer la noticia entera.
World Economic Forum, no es que yo sea especialmente fan de esta organización, pero es interesante la consideración de la inversión de empresas digitales extranjeras como un generador de negocio y de empleo, que creo nos interesa comparar con lo que se está haciendo en España.
Organización Mundial del Trabajo (ILO) , aunque esta Organización es mucho más política, es interesante ver también (y comparar)  la respuesta de los distintos países.

En estas semanas sucesivas iré ampliando los recursos y los ámbitos. La pandemia ha atacado a una generación que nos hemos creído invencibles, pero en medio del dolor y de las pérdidas humanas que nos ha generado, la vida, como siempre, se abre paso...¡Feliz Pascua de Resurrección!

jueves, 24 de octubre de 2019

El Esquema Nacional de Seguridad y la Certificación de Centros de Procesos de Datos

El Esquema Nacional de Seguridad (ENS) es el mecanismo establecido mediante el Real Decreto 3/2010 del 18 de Enero, según el cual "se determina la política de seguridad en la utilización de medios electrónicos en su ámbito de aplicación, y estará constituido por los principios básicos y requisitos mínimos, que permitan una protección de la información".  (Fuente: https://www.ccn-cert.cni.es/ens.html). 
Pero esto ¿que quiere decir tanto para las Administraciones Públicas como para los proveedores de las mismas? Es un Esquema consistente en 75 medidas de seguridad en tres ámbitos:

1. Organizativo
2. Operacional
3. Medidas de protección

Este Esquema fue de los primeros europeos y en su diseño se tuvieron en cuenta los estándares ya existentes en el momento de su creación tal como las ISO 27001, y la entonces existente LOPD , sustituida recientemente por el Reglamento Europeo de Protección de Datos. 
¿Como se relaciona un Esquema Nacional de Seguridad con los Centros de Procesos de Datos? La propia Guía de Auditoría frente al ENS (CCN-STIC 802) , en su apartado Op.pl.1, hace que se identifiquen los activos más valiosos, sus amenazas más probables (2.2./2.3), así como actividades relacionadas con la documentación de los procesos de seguridad.
En este contexto, parece que tener un CPD diseñado, construido y operado conforme a un estándar de mercado puede ayudar a cumplir con los requisitos de este estándar.
En los últimos pliegos de la Administración Pública se está empezando a exigir que los Centros de Procesos de Datos que soporten sus actividades dispongan de las acreditaciones correspondientes para asegurar la disponibilidad de estas importantes instalaciones, así como su adecuado mantenimiento. 
Sobre este requisito viene en su ayuda el estándar europeo EN 50600, una de cuyas partes ya está ratificada como norma UNE desde Diciembre 2017.
Una vez más, no podemos hablar de Seguridad si no tenemos en cuenta donde radican las operaciones de IT, ya sea propia o externa, y si todos los elementos que garantizan la disponibilidad de estas importantes instalaciones no están integrados en un solo marco de operación. 

miércoles, 2 de octubre de 2019

Más Tecnología, Más Europa

A medida que la humanidad avanza en el uso de lo que podemos llamar la Economía Digital, se hacen necesarios marcos que de alguna manera regulen el buen uso del enorme potencial que se nos presenta con la interconexión de nuestros múltiples dispositivos a las incontables fuentes a las que tenemos acceso.
Si en su día, Europa cambió y pudo llegar a ser Europa por la existencia de múltiples vías de comunicación que nos acercara de un sitio a otro, ahora el cambio viene por el espacio económico europeo, donde todo es posible.
En este sentido, la aparición de Regulaciones europeas que permitan equiparar las medidas de protección de un Estado a otro son realmente necesarias. Por esto, quiero centrarme en esta ocasión en dos, la norma EN 50600 para Centros de Procesos de Datos, y la norma EN 50518 en su nueva versión publicada definitivamente el pasado mes de Septiembre, que regula las condiciones en las que se debe construir y operar las Centrales Receptoras de Alarma.
Ambas normas se refieren la una a la otra. La primera de ellas, EN 50600, identifica la necesidad de proteger estas infraestructuras con un sistema sólido de alarma que permita la intervención inmediata en caso de un incidente bien natural, humano o de fuerza mayor.
La segunda, la EN 50518, indica las características que deben tener las Centrales Receptoras de Alarma para asegurar la calidad del mensaje de alarma y ofrecer una respuesta inmediata, así como la protección de los datos personales que estas importantes organizaciones almacenan.
Ambas normas son certificables y para ello requieren que la infraestructura esté en funcionamiento por lo que incluyen los procedimientos operativos como parte de la misma.
En las contribuciones posteriores elaboraré una comparación entre ambas por las similitudes y sinergias existentes y la contribución a crear estructuras sólidas, mantenibles y auditables, tal como requieren la mayor parte de leyes que las referencian.
Detrás de estas normas, digamos estructurales, contamos con las normas operativas para garantizar la seguridad de la información (ISO 27001/2), el servicio de IT (ISO 20000) así como la continuidad de negocio.
A la Europa que conocemos la construyeron los peregrinos. Ahora Europa tiene que crear un marco en el que pueda crecer el Peregrino Digital en que nos hemos convertido.

jueves, 5 de septiembre de 2019

There's no Business like Show Business...

El verano poco a poco va quedando atrás y la actividad laboral volviendo a su normalidad...Sin embargo, para abordar esta última parte del año, quería proponeros un tema que creo puede ser de interés...¿Hay algún sector que quede inmune a una caída masiva de su red eléctrica y por lo tanto de la interrupción de sus Centros de Procesos de Datos?
Esto fue lo que ocurrió el pasado 15 de Julio, en la ciudad de Nueva York, concretamente en Manhattan , por lo que la imagen de Broadway a oscuras, es dificilmente imaginable...Los espectáculos tuvieron que cancelarse y las entradas devolverse causando enormes pérdidas...
El suministro eléctrico de los Centros de Procesos de Datos es uno de los factores críticos para garantizar su disponibilidad, por lo que además de las entradas de la propia red, estas infraestructuras están dotadas de suficientes mecanismos y redundancia para evitar su caída.
Este planteamiento, sin embargo, no puede estar aislado de una estrategia de riesgos orientada a la recuperación frente a desastres.
A la hora de planificar la construcción de un Centro de Proceso de Datos, es por lo tanto importante tener en cuenta algunos factores decisivos tales como:

1.Análisis de riesgos inherentes al sitio donde se va a instalar el Centro de Datos, tales como estadísticas sobre desastres naturales, proximidad de vías de tráfico masivo, posibilidad de ataques aéreos, etc. Es decir, analizar los escenarios posibles de desastres tanto naturales, como de origen humano como atmosféricos.
2. Materiales utilizados para la construcción del CPD, con resistencia suficiente al fuego, a inundaciones o a ataques intencionados.
3.  Asignación de un equipo experto para la gestión del desastre cuando este se produzca. Este equipo debe ser perfectamente conocedor tanto de las medidas preventivas como de las actuaciones en caso de emergencia.
4. Acceso inmediato a cuerpos especializados de seguridad.
5. Respuesta adecuada al desastre, incluyendo una amplia gama de actuaciones, desde el cumplimiento normativo (en este caso procedimiento para la protección del consumidor entre otros) a la comunicación a clientes afectados.
6. Plan de recuperación del servicio, incluyendo medidas de rearranque, existencia de centros de respaldo, etc.

En definitiva, la construcción de un Centro de Proceso de Datos debe tener en cuenta todos aquellos elementos que arriesguen su disponibilidad por lo que un diseño estratégico y que contemple la vida útil de la instalación para los próximos 30 años es decisivo para los negocios que se sustentan sobre estas importantes infraestructuras...Con estos elementos, estamos seguros que el show puede continuar....

(*) Imagen de la noticia https://www.theatlantic.com/technology/archive/2019/07/manhattan-blackout-reveals-infrastructure-risk/594025/