El Esquema Nacional de Seguridad y la Certificación de Centros de Procesos de Datos

El Esquema Nacional de Seguridad (ENS) es el mecanismo establecido mediante el Real Decreto 3/2010 del 18 de Enero, según el cual "se determina la política de seguridad en la utilización de medios electrónicos en su ámbito de aplicación, y estará constituido por los principios básicos y requisitos mínimos, que permitan una protección de la información".  (Fuente: https://www.ccn-cert.cni.es/ens.html). 

Pero esto ¿que quiere decir tanto para las Administraciones Públicas como para los proveedores de las mismas? Es un Esquema consistente en 75 medidas de seguridad en tres ámbitos:

1. Organizativo

2. Operacional

3. Medidas de protección

Este Esquema fue de los primeros europeos y en su diseño se tuvieron en cuenta los estándares ya existentes en el momento de su creación tal como las ISO 27001, y la entonces existente LOPD , sustituida recientemente por el Reglamento Europeo de Protección de Datos. 

¿Como se relaciona un Esquema Nacional de Seguridad con los Centros de Procesos de Datos? La propia Guía de Auditoría frente al ENS (CCN-STIC 802) , en su apartado Op.pl.1, hace que se identifiquen los activos más valiosos, sus amenazas más probables (2.2./2.3), así como actividades relacionadas con la documentación de los procesos de seguridad.

En este contexto, parece que tener un CPD diseñado, construido y operado conforme a un estándar de mercado puede ayudar a cumplir con los requisitos de este estándar.

En los últimos pliegos de la Administración Pública se está empezando a exigir que los Centros de Procesos de Datos que soporten sus actividades dispongan de las acreditaciones correspondientes para asegurar la disponibilidad de estas importantes instalaciones, así como su adecuado mantenimiento. 

Sobre este requisito viene en su ayuda el estándar europeo EN 50600, una de cuyas partes ya está ratificada como norma UNE desde Diciembre 2017.

Una vez más, no podemos hablar de Seguridad si no tenemos en cuenta donde radican las operaciones de IT, ya sea propia o externa, y si todos los elementos que garantizan la disponibilidad de estas importantes instalaciones no están integrados en un solo marco de operación. 

Más Tecnología, Más Europa

A medida que la humanidad avanza en el uso de lo que podemos llamar la Economía Digital, se hacen necesarios marcos que de alguna manera regulen el buen uso del enorme potencial que se nos presenta con la interconexión de nuestros múltiples dispositivos a las incontables fuentes a las que tenemos acceso.
Si en su día, Europa cambió y pudo llegar a ser Europa por la existencia de múltiples vías de comunicación que nos acercara de un sitio a otro, ahora el cambio viene por el espacio económico europeo, donde todo es posible.
En este sentido, la aparición de Regulaciones europeas que permitan equiparar las medidas de protección de un Estado a otro son realmente necesarias. Por esto, quiero centrarme en esta ocasión en dos, la norma EN 50600 para Centros de Procesos de Datos, y la norma EN 50518 en su nueva versión publicada definitivamente el pasado mes de Septiembre, que regula las condiciones en las que se debe construir y operar las Centrales Receptoras de Alarma.
Ambas normas se refieren la una a la otra. La primera de ellas, EN 50600, identifica la necesidad de proteger estas infraestructuras con un sistema sólido de alarma que permita la intervención inmediata en caso de un incidente bien natural, humano o de fuerza mayor.
La segunda, la EN 50518, indica las características que deben tener las Centrales Receptoras de Alarma para asegurar la calidad del mensaje de alarma y ofrecer una respuesta inmediata, así como la protección de los datos personales que estas importantes organizaciones almacenan.
Ambas normas son certificables y para ello requieren que la infraestructura esté en funcionamiento por lo que incluyen los procedimientos operativos como parte de la misma.
En las contribuciones posteriores elaboraré una comparación entre ambas por las similitudes y sinergias existentes y la contribución a crear estructuras sólidas, mantenibles y auditables, tal como requieren la mayor parte de leyes que las referencian.
Detrás de estas normas, digamos estructurales, contamos con las normas operativas para garantizar la seguridad de la información (ISO 27001/2), el servicio de IT (ISO 20000) así como la continuidad de negocio.
A la Europa que conocemos la construyeron los peregrinos. Ahora Europa tiene que crear un marco en el que pueda crecer el Peregrino Digital en que nos hemos convertido.

There's no Business like Show Business...

El verano poco a poco va quedando atrás y la actividad laboral volviendo a su normalidad...Sin embargo, para abordar esta última parte del año, quería proponeros un tema que creo puede ser de interés...¿Hay algún sector que quede inmune a una caída masiva de su red eléctrica y por lo tanto de la interrupción de sus Centros de Procesos de Datos?
Esto fue lo que ocurrió el pasado 15 de Julio, en la ciudad de Nueva York, concretamente en Manhattan , por lo que la imagen de Broadway a oscuras, es dificilmente imaginable...Los espectáculos tuvieron que cancelarse y las entradas devolverse causando enormes pérdidas...
El suministro eléctrico de los Centros de Procesos de Datos es uno de los factores críticos para garantizar su disponibilidad, por lo que además de las entradas de la propia red, estas infraestructuras están dotadas de suficientes mecanismos y redundancia para evitar su caída.
Este planteamiento, sin embargo, no puede estar aislado de una estrategia de riesgos orientada a la recuperación frente a desastres.
A la hora de planificar la construcción de un Centro de Proceso de Datos, es por lo tanto importante tener en cuenta algunos factores decisivos tales como:

1.Análisis de riesgos inherentes al sitio donde se va a instalar el Centro de Datos, tales como estadísticas sobre desastres naturales, proximidad de vías de tráfico masivo, posibilidad de ataques aéreos, etc. Es decir, analizar los escenarios posibles de desastres tanto naturales, como de origen humano como atmosféricos.
2. Materiales utilizados para la construcción del CPD, con resistencia suficiente al fuego, a inundaciones o a ataques intencionados.
3.  Asignación de un equipo experto para la gestión del desastre cuando este se produzca. Este equipo debe ser perfectamente conocedor tanto de las medidas preventivas como de las actuaciones en caso de emergencia.
4. Acceso inmediato a cuerpos especializados de seguridad.
5. Respuesta adecuada al desastre, incluyendo una amplia gama de actuaciones, desde el cumplimiento normativo (en este caso procedimiento para la protección del consumidor entre otros) a la comunicación a clientes afectados.
6. Plan de recuperación del servicio, incluyendo medidas de rearranque, existencia de centros de respaldo, etc.

En definitiva, la construcción de un Centro de Proceso de Datos debe tener en cuenta todos aquellos elementos que arriesguen su disponibilidad por lo que un diseño estratégico y que contemple la vida útil de la instalación para los próximos 30 años es decisivo para los negocios que se sustentan sobre estas importantes infraestructuras...Con estos elementos, estamos seguros que el show puede continuar....

(*) Imagen de la noticia https://www.theatlantic.com/technology/archive/2019/07/manhattan-blackout-reveals-infrastructure-risk/594025/

5G, MWC y CPDs

Por si no teníamos suficientes siglas, desde más o menos Noviembre de 2017 estamos hablando del 5G, del que en España tenemos incluso un Plan Nacional de despliegue que cubre una consulta que se hizo en el 2017 hasta 2020, donde se espera que esta tecnología alcance su máxima capacidad real ya con las infraestructuras necesarias desplegadas.
El MWC, es decir, el Mobile World Congress, presenta por supuesto las primeras aplicaciones reales de esta tecnología.
Las características principales del 5G son, conforme a la información ofrecida en el Plan Nacional 5G, para el periodo 2018-2020 las siguientes:

• Banda ancha móvil de muy alta velocidad y capacidad, que permitirá por ejemplo ofrecer contenidos de muy alta definición o experiencias de realidad virtual.
• Comunicaciones ultrafiables y de baja latencia, con aplicación en multitud de sectores como la medicina, el coche autónomo, o la fabricación inteligente.
• Comunicaciones masivas tipo las que se realizan Máquina a Máquina, lo que permitirá la conexión de multitud de dispositivos y la transmisión de enormes cantidades de datos.

Con esta perspectiva, ¿donde están los CPDs, es decir, los Centros de Procesos de Datos?  Sin duda, son el motor de la transformación ya que sin unas estructuras adecuadas, totalmente fiables y disponibles no es posible el uso de esta impactante tecnología, lo que está haciendo aumentar considerablemente las inversiones en este área. 

Por esta razón, la evaluación, auditoría y certificaciones de Centros de Procesos de Datos, desde su aspecto inicial del entorno donde está construido hasta su operativa son ahora más que nunca necesarios para garantizar su total disponibilidad en este mundo tan tecnológicamente exigente.

Más información sobre el impacto de 5G en los Centros de Procesos de Datos lo podéis encontrar en el artículo recientemente publicado de Data Center Frontier https://datacenterfrontier.com/what-5g-will-mean-to-the-data-center-industry/

¿Soportan los CPDs Actuales la Economía Digital?

Este año va a ser esencial para los Centros de Procesos de Datos. La legislación vigente, la normativa europea y la necesidad de nuevas herramientas que blinden la privacidad del usuario y de las organizaciones exigen unas infraestructuras sólidas, fiables, y conforme a la Directiva NIS, ¡auditables!
Sectores como el financiero necesita la capacidad suficiente para el movimiento inmediato de datos relacionados con los millones de transacciones que se realizan a diario, y que además estas transacciones se realicen con el mínimo riesgo de seguridad posible. Este hecho implica, además del movimiento propio del negocio bancario, la presencia de multitud de herramientas preventivas para riesgos tecnológicos y de fraude, lo que incrementa sustancialmente la cantidad de datos que se deben transmitir.
¿Podemos imaginarnos una situación en la que no podamos realizar un pago, no tengamos suministro de agua o se haya roto la cadena de seguridad en un proveedor de alimentos? Estos tres sectores, financiero, agua y alimentación, son sectores considerados como críticos.
Se ha trabajado mucho en la seguridad lógica de la información pero si en un CPD hay un incendio, una inundación o un acceso de personal no permitido, el riesgo es aún mayor porque lo que se interrumpe de verdad es el negocio que sustenta el CPD.
Todos estos hechos, están haciendo que el sector de los Centros de Procesos de Datos se transforme profundamente. De la migración de datos a infraestructuras grandes y alojadas fuera de la empresa, se está llegando a la necesidad de los micro centros de procesos de datos, los Centros de Datos Modulares, el Edge Computing y multitud de soluciones que veremos en los próximos años cuyo fin es la respuesta inmediata a las necesidades de IT.
Por otro lado, las inversiones en estas infraestructuras es una de las mayores de las organizaciones y con una vida aproximada de 30 o 40 años, lo que hace que desde el origen haya que tener en cuenta su uso y principal misión, y por lo tanto los riesgos que le pueden afectar.
Algunos riesgos pueden deberse a su posición geográfica, o a los elementos adyacentes. Otros pueden deberse a una política de accesos no suficientemente vigilada o a unas tareas de mantenimiento insuficientes para garantizar la seguridad del CPD.
Por todas estas razones, es necesario un método claro de evaluación de la propia infraestructura tecnológica que obligue a su revisión periódica. Solo así podremos hablar de verdad de economía digital.