zohir - Fotolia

Lo básico Póngase al día con nuestro contenido introductorio.

Los centros de datos deben darle igual atención a las amenazas cibernéticas y físicas

Los operadores de los centros de datos suelen hablar las medidas de seguridad física que tienen instaladas, pero ¿están en riesgo de pasar por alto las amenazas informáticas?

Los centros de datos se construyen desde el principio para mantener a la gente fuera y asegurar que los valiosos datos alojados en el interior de sus paredes están bien protegidos.

Con este fin, no es infrecuente que las instalaciones se encuentren dentro de edificios sin gracia, a prueba de bombas, que están equipados con vidrio a prueba de balas y rodeado de enormes vallas.

Si alguien logra romper estas defensas, las salas de datos estarán protegidas por sistemas de seguridad biométrica, trampas y otros protocolos de seguridad, lo que significa que el acceso a los servidores no está garantizado de ninguna manera.

La seguridad física es claramente de suma importancia para los operadores de centros de datos, pero los observadores de la industria han transmitido anteriormente su preocupación acerca de si la seguridad cibernética de sus sitios está sujeta al mismo nivel de cuidado y atención.

Esto es de particular interés, ya que los centros de datos representan un objetivo sumamente lucrativo para los hackers, que ven un gran potencial en hacerse con el control de los activos digitales que almacenan.

De acuerdo con el informe Anuario de Ciberamenazas 2015 de Cyren, los ataques cibernéticos exitosos centrados en la empresa –incluyendo aquellos contra los centros de datos– se han incrementado en un 144% en los últimos cuatro años. Mientras tanto, la Agencia Nacional de Seguridad (NSA) de Estados Unidos afirma que los ataques pueden costar a las víctimas hasta 40,000 dólares por hora, por lo que es evidente que hay una necesidad de contar con procedimientos de seguridad apropiados.

En un comunicado de prensa, publicado en mayo de 2016, el CEO del proveedor de ubicación conjunta Aegis Data, Greg McCulloch, arrojó algo de luz sobre por qué los operadores parecen tan preocupados por la seguridad física de sus sitios.

"Mientras que la seguridad cibernética es de suma importancia cuando se trata de centros de datos, la mayoría de esta protección es invisible, oculta en las líneas de código y firewalls. Se puede destacar al cliente las múltiples capas de seguridad cibernética, pero todo esto es intangible", dice.

"Las características de seguridad físicas, sin embargo, son mucho más propensos a impresionar y tranquilizar a los clientes actuales y potenciales de que sus datos están seguros”.

"Cuantas más capas puede proporcionar un centro entre el individuo y la sala de datos, mayor es la probabilidad de reducir el riesgo de una brecha física", añade McCulloch.

Tener alrededor ocho capas de seguridad física es lo ideal, afirma él, y debe asegurarse de que el operador está haciendo todo lo posible para mantener fuera a los chicos malos.

"Por lo general, ocho capas o más es ideal, con una combinación de barreras de personal como puestos de vigilancia, barreras físicas tales como puertas con llave que requieren exámenes biométricos, y barreras de seguridad como trampas en el caso de una brecha", continúa McCulloch.

"Todo ello debe ser instalado en y alrededor de la sala de datos. Para los proveedores de co-ubicación que almacenan los datos de varios clientes, cada servidor debe estar bloqueado y el acceso a éstos se facilitará solamente al personal autorizado".

Igualdad de facturación

Sin embargo, a medida que el movimiento hacia la nube continúa a buen ritmo en la empresa, y el número de dispositivos conectados a internet que entrarán en funcionamiento se eleva, el nivel de amenaza a la seguridad cibernética para los centros de datos se elevará en consecuencia, dice Talal Rajab, jefe de seguridad cibernética y nacional en el organismo de comercio TechUK.

"Los centros de datos contienen datos críticos que contienen activos e información críticos, incluyendo datos de clientes y propiedad intelectual", dice.

"Con la tendencia emergente de big data y el advenimiento de la internet de las cosas [IoT], las diversas amenazas a los centros de datos solo aumentarán, lo que significa que la seguridad se convertirá en una prioridad cada vez mayor para sus clientes".

Por esta razón, Rajab dice que ya es tiempo que los operadores de centro de datos les dén el mismo nivel de cuidado y atención a la seguridad cibernética y la física.

"Los procedimientos de seguridad informática en los centros de datos deben tener la misma prioridad que los procedimientos de seguridad física, de la misma manera que el acceso físico a un sitio está restringido a las personas con acceso especial", dice.

"Un centro de datos cuenta con vigilancia las veinticuatro horas del día, con personal de seguridad permanente, y un centro de datos realmente seguro debe tener una estrategia similar para protegerse contra las amenazas informáticas.

"Esto puede tomar la forma de prácticas tales como el acceso a la red privilegiado para los usuarios especiales y el monitoreo constante de la red", añade Rajab.

La seguridad y la disponibilidad del servicio

Matt Lovell, director de tecnología de proveedor de centros de datos Punsant, dice que los ataques volumétricos –incluyendo sistema de nombres de dominio (DNS) e incidentes distribuidos de denegación de servicio (DDoS)– son una gran amenaza para la seguridad cibernética de los centros de datos, y pueden causar estragos en la capacidad de un operador para cumplir con los términos de sus acuerdos de nivel de servicio.

"Mantener la disponibilidad del servicio es de suma importancia para todos los clientes y cualquier cosa que pueda afectar esto requiere una cuidadosa consideración", dice.

"No es solo la energía y refrigeración lo que ayuda a mantener las luces encendidas, sino también cualquier interrupción causada directa o indirectamente por los ataques cibernéticos”.

"Estos ataques pueden ser volumétricos, como DNS o DDoS, phishing, o explotación de los datos del cliente, o ataques relacionados con las aplicaciones", añade Lovell.

Junto con las amenazas que la IoT y la nube suponen para la seguridad del centro de datos, el servicio de ataques para hackers está creciendo también en otras formas.

"Hay más sistemas de clientes que hablan el uno al otro, ya sea analítica, motores de decisión, seguridad y procesos de pago o intercambio de datos de marketing. Como resultado, ahora hay un cambio en el enfoque hacia la seguridad de núcleo y de la red", afirma Lovell.

La confianza es primordial

La firma de alojamiento en la nube, Iomart, opera ocho centros de datos en el Reino Unido, y su director de tecnología (CTO), Bill Strain, dice que la organización utiliza tecnología de detección de amenazas para protegerse contra ataques DDoS, y ha invertido en certificaciones ISO y se está adoptando PCI DSS para mostrarle a los clientes la seriedad con la que se toma este asunto.

Sin embargo, Strain añade que es también importante que los operadores no pasen por alto el importante papel que juega el personal en el mantenimiento de la integridad de las ciberdefensas en las organizaciones.

"El manejo exitoso de su gente y una gestión segura de la infraestructura física para su negocio y sus clientes se trata de asegurarse de que todo está bajo su control, para que sus clientes confíen en usted", dice.

El elemento de la gente en la seguridad del centro de datos se tocó en el comunicado de prensa antes mencionado de Aegis Data, donde McCulloch habla de qué tan tranquilizador puede ser la presencia de un equipo de seguridad en las instalaciones para los clientes preocupados por la seguridad.

"Circuito cerrado de televisión, barreras de seguridad y escáneres biométricos son, obviamente, todas características importantes [de un centro de datos seguro], pero nada compensa la presencia de un elemento humano dentro del edificio 24/7/365", dice.

"Tener un equipo al que se pueda confiar la seguridad del sitio y la protección de los datos almacenados dentro a menudo proporcionará un mayor nivel de confianza, tanto para los clientes, como para los proveedores de centros de datos, lo que garantiza la seguridad de la información”.

Próximos pasos

Más sobre centros de datos:

Actualizar los datacenters y gestionarlos adecuadamente, prioridades para 2016

Por qué a algunos líderes de TI no les gustan los centros de datos perimetrales

El mercado de DC se consolida para soportar tendencias de TI

 

Investigue más sobre Auditoría de seguridad y el cumplimiento de normas

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close