La certificación y la seguridad

¿Puede un ayuntamiento dejar sin servicios a sus ciudadanos por una subida de tensión en uno de sus servidores? ¿Puede un proveedor como OVH dejar de funcionar por sendas anomalías físicas y lógicas contra sus centros de procesos de datos?
En estos últimos tiempos, recibimos continuamente noticias sobre ciberataques, de tal manera que se han convertido en un tema habitual de conversación. Sin embargo, hay una infraestructura física detrás que es necesario proteger y planificar de tal manera que se identifiquen aquellos puntos únicos de fallo que pueden poner en riesgo la instalación.
Esta preocupación es común con otras infraestructuras críticas en las que es necesario tener en cuenta elementos como:

• Entorno donde se construye la instalación valorando previamente el tipo de suelo y posibles riesgos debidos al entorno (i.e. posibilidad de desastres naturales, capa freática, resistencia del propio suelo, vías de acceso, etc.).
• Material utilizado para su construcción, con exigencias específicas para ciertas infraestructuras como las centrales receptoras de alarmas.
• Suministro eléctrico, para garantizar la continuidad del servicio, lo que parece que ha sido el caso del Ayuntamiento de Alcorcón y de OVH.
• Políticas de prevención de incendios.
• Control de accesos y video vigilancia, para evitar posibles casos de sabotaje.
• Cableado estructurado y no accesible para evitar su ataque intencionado o su desenchufe accidental.
• Medidas organizativas suficientes para asegurar la respuesta frente a estos incidentes cuando ocurran.
• Procedimientos documentales para respaldar la operativa. 

Aunque es cierto que hoy día hay muchas organizaciones profesionales capaces de garantizar dichas instalaciones, la certificación adquiere un valor especial en estos momentos ya que un tercero verifica que los riesgos se han minimizado y a su vez ofrece recomendaciones prácticas para mejorar y aminorar estos riesgos en caso de que se produzcan.

La seguridad total no existe, pero sí la capacidad que siempre ha demostrado el ser humano (no solo en estos últimos años en temas digitales) de preveer situaciones críticas y sobre todo poder resolverlas. 

Infraestructuras y Estrategia Digital

Vivimos tiempos convulsos en todos los órdenes, incluido el metereológico, con las noticias devastadoras de los últimos que han tenido lugar en el Caribe..Sin embargo las construcciones sólidas como los Centros de Procesos de Datos, han sido capaces no solo de continuar con el servicio, de por ejemplo, Internet, cada vez más esencial en situaciones de desastre, si no de en algún caso albergar personas necesitadas de un cobijo puntual.

El pasado 30 de Septiembre, se completó la consulta pública sobre la Estrategia Digital para Una España Inteligente, que dedica un apartado (el apartado 4) a la Infraestructura Tecnológica. El objetivo último es dotar a la sociedad española de la mayor cantidad de servicios digitales posibles. Ahora bien, llama la atención que la base de esta sociedad digital está siendo la posibilidad de dotar a empresas y particulares de comunicaciones de banda ancha ultra rápida, para lo que están previstas unas ayudas a la inversión de 100 millones de Euros, incremento del 58% respecto al pasado año. Efectivamente, sin unas comunicaciones de calidad, no parece posible la construcción de servicios digitales sostenibles. Sin embargo, llama la atención que estas inversiones en telecomunicaciones no lleven aparejadas la necesidad de renovar las infraestructuras tecnológicas, empezando por el Centro de Datos.
La solidez de estas áreas de la organización son clave para el funcionamiento de servicios críticos, como hemos visto estos días. En el caso además europeo, hay una serie de normativa entrelazada como son la obligatoriedad  de seguimiento de la norma europea para campos como los Centros Receptores de Alarmas, las recomendaciones del estándar EN 50600 en el ámbito de cableado y eficiencia energética entre otros.
Según todo esto, no puede existir una estrategia digital verdadera sin prestar atención durante un momento a como nos funciona el corazón, es decir el CPD...

Confianza Europea, Excelencia Española

Arrancamos un nuevo curso; el verano nos ha dejado dias de desolación y luto por los atentados de Barcelona; técnicamente rico en experiencias y después del "terremoto eiDAS"...Los proveedores de servicios de confianza europeas (TSPs)  tenían la obligación de presentar sus servicios bajo una certificación de eiDAS emitida por una entidad de certificación acreditada antes del 1 de Julio....
Ha habido muchas lecciones aprendidas durante este tiempo, como la amplitud de oferta de TSPs en España, siendo uno de los países con un mayor número de proveedores cualificados.
A pesar de ser una iniciativa europea que obligaba a todos los países a renovar su lista a 1 de Julio, no hay estadísticas públicas de la evolución en cada uno de los países. Sin embargo, en España, aplicamos la regulación tal como se nos solicitaba, presentando a 1 de Julio una lista actualizada, e incluso dejando fuera en ese momento a instituciones importantes.
¿Por qué el celo español en este tema? La respuesta la he tenido esta semana con la publicación del informe State of Interoperability in Europe, publicado el pasado 20 de Julio. En todas las áreas analizadas estamos muy por encima de la media, y con medidas concretas que han supuesto durante estos años la renovación real de la Administración Pública española, una administración veterana que ha tenido y sabido adaptarse a los nuevos requerimientos técnicos y sociales.
Los Proveedores de Servicios de Confianza españoles han contribuido de manera significativa a este éxito, abordando la tarea y el coste de la certificación, en una situación con muy pocas entidades acreditadas y expertas para emitir dicha certificación, y  por tanto una amplia carga de trabajo. Este posicionamiento español en un mundo complejo como el de la interoperabilidad digital es el que hemos conseguido con trabajo, preparación y miradas a lo alto. Ojala sigamos en esta línea. ¡Feliz regreso!

Qué sostiene la Empresa Digital

¿Qué tienen en común Amazon, Alibaba, y Google, entre otros? Por supuesto el servicio que ofrecen ya que entre los tres no creo que haya servicio o producto que no pueda comprarse por esta vía...Sin embargo, hay un elemento sin el cual ninguno de estos servicios es posible...Esto es el Centro de Proceso de Datos que sin duda es la espina dorsal de todas las organizaciones, siendo una de las áreas que está atrayendo en estos momentos un buen pellizco de los presupuestos para la inversión en las organizaciones.

Pero, ¿que pasaría si los a últimos virus informáticos que han puesto en jaque a la economía mundial se atacara la infraestructura en si? Por esta razón, es necesario revisar todas aquellas áreas que pueden suponer un riesgo para el CPD tales como:

1. El entorno, donde está ubicado el CPD, que vias de acceso tiene y si estas suponen un riesgo..
2. La construcción, como está construido que materiales se han utilizad, etc.
3. Política de prevención de incendios, como se gestiona, que medidas se utilizan, que sistemas de prevención están en uso, etc. 
4. Seguridad física del CPD. Es muy importante asegurar que las medidas físicas implantadas, tales como el control de accesos, gestión de alarmas, etc., están operativas y responden a su fin. 
5. Cableado...¡¡No más organizaciones tipo spaghetti, por favor!! A esto sin duda va a ayudar la tendencia de los Centros de Datos modulares o prefabricados, en los que una parte importante está ya implantada de la manera adecuada. 
6. Que tipo de energía utiliza, que uso se hace de ella, puede optimizarse, preguntas importantes porque el CPD es una de las áreas menos eficientes respecto al uso de energia que existen. 
7. Ventilación y refrigeración. Creo que ya hemos avanzado mucho pero me contaban recientemente el impacto (desastroso) al tapar las rejillas para acometer unas pequeñas obras...El CPD quedó totalmente achicharrado...
8. Organización. Este es un elemento esencial para prevenir errores humanos en la operación, accesos no deseados, gestión de las alarmas generadas, y comunicación con las fuerzas del orden si así lo requiere.  Una adecuada organización es la garantía de la operación y mantenimiento correctos del Centro de Procesos de Datos.
9. Documentación. Ciertamente el área de IT no es de las más proclives a documentar sus trabajos y procedimientos, aunque esto es una tendencia que ha ido cambiando en los últimos años. Todos los procedimientos, contratos, información sobre todos los elementos del Centro de Proceso de Datos, deben de estar correctamente documentados y almacenados. 

Solo un adecuado control de estos elementos puede garantizar la disponibilidad del CPD y su fiabilidad ante posibles desastres naturales o provocados. El riesgo 0 no existe pero la prevención lo minimiza. 

¿Por qué es importante la Acreditación en la Construcción de CPDs?

El próximo 9 de Junio se celebra el día Mundial de la Acreditación, dirigida esta vez a la construcción y urbanismo...¿Puede tener sentido contemplar los proyectos de construcción de CPDs a la luz de las ventajas y beneficios de la acreditación para el sector de construcción? Bajo mi punto de vista, si...
Los CPDs son entornos de misión crítica sin los cuales los servicios esenciales no podrían llevarse a cabo...Tenemos reciente el pasado ataque cibernético propiciado por el virus Wannacry..Un ataque lógico a puesto en jaque a los hospitales y trenes en por ejemplo, Reino Unido.
No quiero pensar en lo que sería si sufriéramos un ataque físico, como ha pasado en otras instalaciones..La acreditación, en este caso de los Centros de Procesos de Datos, por entidades independientes, a su vez reconocidas por los organismos competentes comparte con el sector construcción y urbanismo los siguientes beneficios:

1. Control del riesgo: Cuando se sigue un esquema establecido se controlan y se vigilan ciertas áreas que pueden suponer un área de vulnerabilidad, tales como el entorno, las fuentes de alimentación, los materiales y políticas utilizadas de prevención de incendios, el cableado, así como la operativa a seguir en caso de que se produzca un incidente.
2. Impulsar la eficiencia. Los CPDs son las áreas de la organización que consumen más recursos energéticos, razón por la que planificar en su construcción e incorporar medidas de vigilancia y optimización de recursos energéticos puede permitir un uso más eficiente de los mismos.
3. Demostración de cumplimiento normativo. Es cierto que el área de CPDs no tiene una estricta regulación todavía. Sin embargo si están empezando a establecerse estándares como el EN 50600, así como a requerir certificados comunes a otras construcciones, como los relacionados con Calidad (ISO 9000), Medio Ambiente (ISO 14000) y Eficiencia Energética (ISO 50001). 

ENAC ha publicado un interesante folleto, descargable en su Web que os invito a considerar frente a la construcción de una de las estructuras más estratégicas de las organizaciones hoy día...Es cierto que migramos a la "nube", pero la "nube" necesita del emplazamiento físico para poder existir...

El CPD ya es una commodity

Provocativo, ¿no? Esta infraestructura, considerada el "corazón" de las organizaciones por ser la última responsable de sostener los procesos empresariales y que requiere una inversión considerable, se está convirtiendo en una "commodity", es decir, en un activo que se da por supuesto que debe de estar presente y que se lleva una parte importante del presupuesto...
Ahora bien, si esto es así, ¿como se puede aunar la necesidad de una infraestructura crítica con unos altos niveles de seguridad y eficiencia con una reducción (o por lo menos previsión) de costes? En la pasada edición de Data Center Dynamics la respuesta estaba en las diferentes propuestas de las empresas participantes en ofrecer Centros de Procesos de Datos modulares; es decir infraestructuras manejables que contienen ya todo lo necesario para su funcionamiento.
Esta especie de "Lego" permite una respuesta inmediata a las necesidades tecnológicas de las empresas y a crecer adecuadamente, evitando uno de los "agujeros negros" tradicionales de esta infraestructura, como es el prepararla con la inversión correspondiente para un crecimiento que no siempre tiene lugar.
Si durante los 80 y los 90 fue la época de expansión de los componentes tecnológicos, podemos decir que ahora estamos en el momento del replanteamiento de los Centros de Procesos de Datos, a hacer de ellos una infraestructura segura y rentable.

El valor competitivo del CPD

En los próximo días tendrá lugar en Madrid el evento de Data Center Dynamics bajo el título de "El Congreso de Infraestructura Digital" y Cloud, donde uno de nuestros partners, GESAB, presentará su experiencia en el diseño del data Center de la empresa de video juegos GAME siguiendo nuestro esquema de certificación Trusted Site Infrastructure de la empresa alemana TÜViT, perteneciente al grupo alemán TÜV NORD.
Sin duda, nuestro Esquema de Certificación es sobre todo un planteamiento práctico que permite a un diseñador de Centros de Procesos de Datos como GESAB ofrecer un servicio cuidado y de calidad.
Los Centros de Procesos de Datos se han convertido en la base de los negocios digitales ya que deben cumplir con la exigencia de estar operativos 24x7x365.
El Estándar TSI se introdujo en el mercado en 2002, habiéndose convertido desde entonces en un standard ampliamente aceptado y respetado por la amplitud de su ámbito de aplicación contando en la actualidad con más de 350 referencias.  Incuye además los requisitos del estándar europeo EN 50600, habiendo contribuido nuestros expertos a su redacción.
Aglutina además requisitos de otros estándares utilizados como los de Uptime Institute, BICSI, TIA, ASHRAE, etc.
La evaluación independiente de los Centros de Procesos de Datos tiene entre otros beneficios una mejora en la calificación del valor de la Compañía y de la prima de riesgo ya que se prueba de manera objetiva que se han tenido en cuenta todos aquellos aspectos que hacen de éste área de la organización su verdadero corazón.

¿Puede haber Empresa Digital sin un CPD?

¡Feliz Año Nuevo!

Estrenamos año, y estrenamos estrategias digitalizantes en las empresas...

Estamos en una etapa en la que no hay evento, tertulia o publicación que no hable de la empresa digital, de sus beneficios para el negocio y de la comodidad para los usarios, además por supuesto del otro tema estrella, la ciberseguridad.
Sin embargo, al investigar un poco, escuchar con atención y hasta hacer eso tan olvidado en la actualidad como es la maravillosa actividad de leer, se habla de todo esto sin mencionar apenas la infraestructura real que lo tiene que sustentar..Es decir, el Centro de Proceso de Datos, o como decimos en España , ¡el CPD!
Las aplicaciones pueden estar en la nube o no, pueden estar virtualizadas (recomendable) o no, puede contratarse lo que se quiera por meses, por horas y hasta por minutos pero si se inunda la infraestructura que lo sustenta, y no hay un centro de respaldo capaz de recoger la actividad, nos quedamos sin servicio por importante que sea.
He localizado recientemente un articulo publicado por McKinsey hace ya unos años, pero de plena actualidad hoy, con los negocios pendientes de un hilo virtual...En este, propone una serie de preguntas para plantear al Consejo la construcción o remodelación del Centro de Proceso de Datos.
Estas preguntas están directamente ligadas al negocio tales como:

1. Qué dependencia tiene nuestro negocio de la infraestructura IT.
2. Cual es la capacidad máxima (de negocio) que podemos conseguir de nuestras instalaciones actuales.
3. Qué previsión tenemos de uso en el futuro sobre nuestro Centro de Proceso de Datos. ¿Estamos preparados para virtualizar la infraestructura?
4. ¿Hay un programa estructurado interno en la organización para medir la capacidad de nuestro Centro de Proceso de Datos? ¿Está previsto un programa de certificación de CPDs?
5. ¿Puede tener sentido en nuestra organización la utilización de Centros de Procesos de Datos modulares?
6. ¿Qué decisiones, respecto al diseño del Centro de Proceso de Datos puede tener impacto financiero?

• Redundancia de los componentes eléctricos o mecánicos.
• Diseño de la planta del Centro de Proceso de Datos.
• Tecnología utilizada para la refrigeración.
• Compartimiento de instalaciones entre distintos módulos.
• Nivel de resilencia frente a desastres (i.e. terremotos, tormentas, inundaciones, etc.). 

Según todo esto, el tener una infraestructura sólida y preparada para incidentes físicos parece ser el primer paso que garantice la digitalización de las organizaciones.