Solicitar precios
WW +41 21 641 6080 | US +1 800 256 0192 | CA +1 800 935 0725 | FR +33 261 880008 | DACH +49 1744625528
Contacto
Inicio > Blog de copias de seguridad y recuperación > Evaluación de la seguridad de los centros de datos: Normas, reglamentos y mejores prácticas

Evaluación de la seguridad de los centros de datos: Normas, reglamentos y mejores prácticas

Actualizado 19th julio 2024, Rob Morrison

Introducción

Los centros de datos se han convertido en una de las partes fundamentales de muchas empresas en la actualidad. El objetivo principal de cualquier centro de datos es gestionar, almacenar o procesar información de forma eficiente, normalmente para una amplia gama de usuarios diversos y, en ocasiones, compartida por diferentes organizaciones.

Los servicios de un centro de datos pueden adoptar diferentes formas, y una empresa no tiene por qué construir el suyo propio desde cero para acceder a los recursos de un centro de datos. Por ejemplo, tanto el acceso alquilado como los servicios de centro de datos proporcionados por la nube han ido ganando popularidad desde hace algún tiempo, y la adopción generalizada de la computación en nube pone aún más recursos en esta misma industria, que se pronosticó que llegaría hasta los 344.000 millones de dólares sólo durante 2024.

Al mismo tiempo, la enorme popularidad que han adquirido los centros de datos en los últimos años también los ha convertido en el principal objetivo de los ciberdelincuentes. Diversas investigaciones confirman este hecho, indicando que esto se ha convertido en un enorme problema para cualquier organización. Por ejemplo, alrededor del 76% de los centros de datos corporativos tienen dudas sobre sus capacidades de seguridad de los datos. Debido a diversos marcos normativos, las organizaciones también pueden enfrentarse a una multa significativa y dolorosa si sus datos son robados o se pide un rescate por ellos.

La definición de evaluación de la seguridad de los centros de datos

Normalmente se exige una mayor seguridad de los datos para los centros de datos, y la amenaza del ransomware es sólo uno de los muchos acontecimientos negativos potenciales que podrían interrumpir el flujo de trabajo regular de empresas enteras, provocando como resultado pérdidas financieras potencialmente masivas o incluso el cierre completo de la empresa.

En este contexto, es esencial no sólo crear o elegir centros de datos con los más altos estándares de seguridad, sino también evaluar sus capacidades para adquirir información sobre el estado de seguridad de ese centro de datos. Este proceso se conoce como Evaluación de la Seguridad del Centro de Datos – un proceso de evaluación altamente sofisticado para el hardware y el programa del centro de datos con el único objetivo de entender cómo de resistente es el centro de datos frente a las diversas amenazas a la seguridad.

Aspectos principales de una evaluación de la seguridad de un centro de datos

Un proceso adecuado de evaluación de la seguridad de un centro de datos debe ser capaz de cubrir tanto la parte física como la tecnológica de sus capacidades. Algunas de las categorías más comunes de factores incluidos en las evaluaciones de seguridad de los centros de datos son:

  • Estado físico. Un amplio segmento de características y comprobaciones que consiste en todos los elementos de seguridad del centro de datos del mundo real, incluidos sus mecanismos de control de acceso, los marcos de extinción de incendios, los sistemas de vigilancia y el nivel de preparación para diversos desastres físicos como inundaciones o terremotos.
  • Estado de la seguridad de la red. En este paso se evalúan la mayoría de los protocolos de comunicación entre el centro de datos y el resto del mundo. Debido al gran número de violaciones de datos que se producen regularmente en todo el mundo, este grupo de factores debe evaluar a fondo los protocolos de comunicación seguros, la segmentación de la red, los cortafuegos, los marcos de detección de intrusiones, etc.
  • Seguridad operativa. Los procesos y políticas existentes también deben participar en esta evaluación para reducir la posibilidad de que un ciberdelincuente se aproveche de una laguna en los procedimientos existentes. Aquí es donde se evalúan las capacidades de respuesta a incidentes, junto con las funciones de gestión de acceso de usuarios, las políticas de copia de seguridad de datos, etc.
  • Cumplimiento normativo. Debido a su naturaleza orientada a los negocios, la mayoría de los centros de datos deben cumplir con muchas normas relevantes de la industria o marcos de cumplimiento – HIPAA, GDPR, SOC 2, ISO 27001, etc. Por razones legales, la capacidad de un centro de datos para adherirse a todos los requisitos de almacenamiento y redundancia de datos es un tema importante.

Amenazas comunes a los centros de datos

Los centros de datos pueden sufrir una variedad sorprendentemente grande de tipos de amenazas, y tampoco se limita a un desastre natural o un ciberataque. Los tipos más comunes de amenazas a los centros de datos son:

  • Violaciones físicas

Cualquier intento de acceder físicamente al centro de datos en cuestión se considera una brecha física, ya sea para acceder a información sensible, robar hardware o implantar diversos dispositivos de seguimiento o de otro tipo en el hardware existente.

  • Ataques a la cadena de suministro

Este tipo de ataque ha ido ganando popularidad en los últimos tiempos debido a su capacidad para eludir muchas medidas de seguridad tradicionales. Su objetivo son los proveedores de software o hardware para comprometer la cadena de suministro y utilizar puertas traseras y vulnerabilidades para acceder al centro de datos. Mitigar la posibilidad de este tipo de ataques requiere un enfoque totalmente diferente de la seguridad, con evaluaciones periódicas para cada elemento de la cadena de suministro en lugar de sólo el centro de datos.

  • Ciberataques

Los ciberataques tienen muchas formas y propósitos, desde el malware y el ransomware que pretenden manipular información sensible hasta los ataques DDoS (denegación de servicio distribuida) que hacen que centros de datos enteros no puedan responder a los usuarios habituales durante un periodo prolongado. Otros tipos de ataque incluyen la explotación de vulnerabilidades y la ingeniería social.

  • Amenazas internas

Otro ángulo de ataque contra el que es muy difícil protegerse es la amenaza interna: un intruso malicioso con acceso a datos internos sensibles que puede comprometerlos o robarlos (o un intruso accidental que cae en una estafa o compromete involuntariamente la seguridad del sistema sin mala intención).

  • Amenazas persistentes avanzadas

Las APT son otra forma de actividad ciberdelictiva, mucho más selectiva e hiperfocalizada que los otros métodos de ciberataque. Utilizan diversos ataques persistentes para obtener un acceso prolongado y manipular información sensible. Debido a su enorme complejidad y compromiso, las APT son utilizadas principalmente por organizaciones criminales sofisticadas o por estados-nación.

  • Riesgos de cumplimiento

Aunque no son tan maliciosos, los riesgos de cumplimiento pueden ser igual de perturbadores para las operaciones de una organización. Pueden ser desencadenados por prácticamente cualquier otro tipo de violación de datos y a menudo conducen a pérdidas de reputación sustanciales y multas legales masivas para cualquier empresa que no pueda cumplir con regulaciones como HIPAA, GDPR, etc.

  • Catástrofes naturales y otros peligros medioambientales

No sólo cualquier tipo de catástrofe natural puede provocar diferentes tipos de daños en la infraestructura física de un centro de datos, sino que también existen otros peligros medioambientales, como cortes de electricidad inesperados o fallos en los equipos. Estos problemas pueden clasificarse como peligros medioambientales y pueden provocar la pérdida de datos y la interrupción de procesos, entre otras cuestiones.

Con toda esta información en mente, ahora podemos explorar el tema de las evaluaciones de seguridad para centros de datos con más detalle.

Normas de seguridad para centros de datos

Ahora que estamos familiarizados con el tema de la evaluación de la seguridad de los centros de datos, cabe señalar que existen varios términos similares en el mismo sector. Por ejemplo, tenemos las Normas de seguridad para centros de datos, una combinación de protocolos, directrices y recomendaciones sobre cómo funcionan los centros de datos y cómo protegen los datos de los clientes.

El tema de las normas en términos de seguridad puede ser algo complejo de discutir, principalmente porque muchas empresas tienen su propia selección de normas que siguen, incluyendo tanto ejemplos oficiales como no oficiales. Por suerte, todavía existe una pequeña selección de normas generalizadas que son las más aceptadas como pieza central de toda la idea, como la Organización Internacional de Normalización (ISO), el Instituto Nacional de Normas y Tecnología (NIST), etc.

Recomendaciones generales sobre normas de seguridad

El número de normas y marcos normativos diferentes en el mundo moderno es bastante asombroso, y la cifra parece crecer a un ritmo alarmante. A continuación, citaremos seis ejemplos de marcos de cumplimiento y normas de seguridad que pueden adoptarse para mantener la seguridad de un centro de datos.

  • PCI DSS (Payment Card Industry Data Security Standard) es una combinación de normas a las que deben adherirse todas las empresas que manejan información de tarjetas de crédito. Se trata de una norma que se actualiza con frecuencia y que explica cómo debe almacenarse esa información sensible y qué medidas de seguridad deben aplicarse a las unidades de almacenamiento, como los centros de datos.
  • La HIPAA (Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios) es otro conjunto de recomendaciones muy específico, dirigido éste principalmente a la industria sanitaria. El objetivo de la HIPAA es proteger y salvaguardar la información personal de los clientes y otros datos sensibles de la misma industria,
  • NIST 800-53 (Instituto Nacional de Normas y Tecnología) es un conjunto de normas que incluye un breve proceso de 7 pasos para gestionar la privacidad y la seguridad de la información y enlaces a otras normas del NIST que tratan el tema de la seguridad de la información más a fondo.
  • ISO 27001 (Organización Internacional de Normalización) es una norma internacional que describe algunas de las prácticas más valiosas para los sistemas de gestión de la seguridad de la información. Cabe señalar que esta norma no es exclusiva de la categoría ISO; la «familia» 2700 tiene varias docenas de otras normas que ofrecen diversas recomendaciones y estándares que las unidades de almacenamiento de datos (incluidos los centros de datos) tienen que cumplir.
  • FISMA (Ley Federal de Modernización de la Seguridad de la Información) es un conjunto de normas legales que se aplican principalmente a las agencias del gobierno federal y a sus sistemas de datos, como los centros de datos. Estas normas garantizan el mayor nivel posible de seguridad y protección.
  • SSAE 16 (Statement on Standards for Attestation Engagements) es una combinación de normas de auditoría que pueden utilizarse para evaluar un centro de datos en función de su capacidad para proteger la confidencialidad, seguridad y disponibilidad de la información que almacena. SSAE 16 puede utilizar varios tipos de informes, siendo los ejemplos más comunes SOC 1 y SOC 2.

Programa de certificación TIA-942

Mientras que las normas mencionadas anteriormente pueden cubrir la parte tecnológica de la evaluación, el tema de la seguridad física de los centros de datos es totalmente diferente y lo suficientemente grande como para un artículo propio. Aquí sólo tocaremos brevemente la parte física de la seguridad de los centros de datos, que utiliza ANSI/TIA-942 como medio de prueba del hardware. Se trata de una norma adoptada a nivel mundial para los centros de datos que detalla cómo deben protegerse los centros de datos en diferentes casos de uso, tanto física como virtualmente.

Esta norma tiene cuatro clasificaciones potenciales, cada una de las cuales describe un nivel distinto de la infraestructura de un centro de datos en función de sus capacidades y resistencia general.

  • Nivel 1 – Infraestructura básica del emplazamiento; es la categoría menos protegida de las cuatro, con una protección limitada contra las amenazas físicas, componentes de una sola capacidad y una ruta de distribución para todos los equipos sin ninguna medida de redundancia.
  • Nivel 2 – Infraestructura de componentes redundantes; cubre los centros de datos con componentes de capacidad redundante y una única vía de distribución para los equipos informáticos.
  • Nivel 3 – Infraestructura del emplazamiento con mantenimiento simultáneo; una ruta de distribución redundante para los equipos combinada con componentes de capacidad redundantes hace que este nivel sea mucho más seguro que los anteriores y también viene acompañado de mejoras en la seguridad física del almacenamiento.
  • Nivel 4 – Infraestructura del sitio tolerante a fallos; la calificación más alta posible para la evaluación de la seguridad física incluye redundancia tanto para los componentes de capacidad como para las rutas de distribución del hardware, al tiempo que protege el programa contra diversos escenarios de fallo con el nivel más alto posible de protección contra visitantes malintencionados.

Mejores prácticas para la evaluación de la seguridad del centro de datos

Todo el proceso de evaluación de la seguridad del centro de datos diferirá significativamente de un caso a otro, dependiendo de muchos factores. Al mismo tiempo, sigue siendo posible ofrecer una combinación de recomendaciones a la hora de realizar una evaluación de este tipo, incluyendo los múltiples factores que se mencionan a continuación.

  1. Cree un inventario completo de todo el entorno del centro de datos, incluidos los elementos físicos y virtuales, las cuentas de servicio, las aplicaciones del centro de datos, etc. A cada elemento se le debe asignar una calificación independiente de importancia para el funcionamiento normal de la empresa. Todos los componentes que no contribuyan a la seguridad o al flujo de trabajo de la empresa deben eliminarse para garantizar que no puedan utilizarse como puerta de entrada de programas maliciosos e intrusos, incluidas las aplicaciones, las cuentas de servicio e incluso los elementos del centro de datos.
  2. Evalúe el tráfico del centro de datos y mapeelo, si es posible, para comprender plenamente cómo fluye la información hacia y desde su red. Esto también le ayudará a comprender qué partes del sistema trabajan más con información sensible, lo que le permitirá priorizar sus recursos en consecuencia.
  3. Evalúe la segmentación de su centro de datos y asegúrese de que la comunicación entre los distintos niveles pasa a través de un cortafuegos de alto grado. La misma evaluación debe realizarse para todos los usuarios y aplicaciones que tengan acceso a niveles específicos del centro de datos, para garantizar que sólo aquellos que necesiten este acceso puedan seguir teniéndolo por razones de seguridad.
  4. Profundice en el tema anterior de la evaluación de los usuarios y analice el acceso de seguridad de cada uno de ellos (a la vez que crea grupos de usuarios relevantes para facilitar el control de acceso en el futuro) para asegurarse de que necesitan acceder al centro de datos para el correcto funcionamiento de su trabajo. Esto no sólo incluye a los empleados de la propia empresa, sino también a los clientes, socios, contratistas, proveedores, etc.
  5. La supervisión y la evaluación continua tienen menos que ver con la evaluación puntual del estado del sistema y más con el futuro en curso, pero cierta información sobre el estado del centro de datos sólo puede recopilarse después de haber pasado algún tiempo supervisando y evaluando la situación general, razón por la cual este punto forma parte de la lista.

Una vez más, la lista en sí no está grabada en piedra, y muchos elementos y recomendaciones están sujetos a cambios dependiendo de muchos factores. Además, podemos ofrecer algunas sugerencias para la seguridad del centro de datos en general, que van a ser útiles una vez finalizado el proceso de evaluación de la seguridad del centro de datos:

  • Realice evaluaciones regulares del sistema. No tienen por qué ser tan exhaustivas y detalladas como la descrita anteriormente. Aun así, una evaluación periódica del estado general del entorno del centro de datos ayudaría mucho a descubrir posibles vulnerabilidades y problemas antes de que puedan volverse en su contra.
  • Cumpla con todos los marcos normativos en los que se encuadre su empresa, ya sea PCI DSS, GDPR, HIPAA o algo más específico. Realizar auditorías periódicas de cumplimiento también es una gran idea para evitar posibles multas y otros problemas causados por el incumplimiento de marcos normativos conocidos.
  • Utilice diversos medios para proteger la red interna, como cortafuegos y diversas aplicaciones de detección de intrusiones.
  • Elabore un plan fijo de respuesta a incidentes para que todos sus empleados sepan qué hacer en caso de emergencia.
  • Impartir formación periódica a los empleados también es una ventaja para reducir las posibilidades de que se produzcan errores causados por errores humanos, como correos electrónicos de suplantación de identidad (phishing) y otros métodos.
  • Implemente un programa de supervisión interna continua para responder a las amenazas con mayor rapidez y ser más proactivo en la lucha contra las amenazas a la seguridad.
  • Realice copias de seguridad periódicas y cifre la información, ambas medidas necesarias para mejorar la disponibilidad de la información confidencial en caso de emergencia.

Procesos de copia de seguridad y cifrado

Todas las recomendaciones mencionadas anteriormente son importantes por derecho propio, pero la última es una de las más esenciales para la seguridad de los datos en prácticamente cualquier entorno, incluidos los centros de datos. Este tema también abarca el cifrado porque la mayoría de las soluciones de copia de seguridad ofrecen el cifrado de datos como una de sus capacidades fundamentales.

La lista de posibles ventajas de seguridad, continuidad empresarial y sostenibilidad que la correcta implementación de una solución de copia de seguridad y recuperación puede ofrecer a un entorno tan complejo como un centro de datos es sorprendentemente larga, con características como:

  • El cifrado de datos es una característica común en las soluciones de copia de seguridad. Como mínimo, suelen ofrecer cifrado AES-256 y funciones adicionales en el mismo ámbito (en algunos casos).
  • La inmutabilidad del almacenamiento es un concepto bastante popular en el campo de las copias de seguridad. Utiliza la idea básica de un almacenamiento que no puede modificarse de ninguna manera una vez que los datos se escriben en él por primera vez. Puede lograrse mediante medidas lógicas o utilizando hardware dedicado con capacidades WORM (write-once-read-many).
  • Air-gapping es una extensión del concepto anterior que abarca la idea de cortar todas las conexiones de un almacenamiento específico con el resto de la infraestructura para mejorar drásticamente su seguridad. Al igual que el concepto anterior, el air-gapping puede realizarse de forma lógica dentro del sistema o de forma física, lo que ofrece más protección pero también conlleva varios problemas en términos de accesibilidad, por lo que se utiliza principalmente sólo para los datos más sensibles.
  • La regla 3-2-1 es otro concepto muy conocido en el ámbito de las copias de seguridad, que hace hincapié en la necesidad de mantener varias copias de seguridad en aras de la redundancia. La regla en sí implica la existencia de al menos tres copias de seguridad que se almacenan utilizando dos tipos de almacenamiento diferentes, con una copia guardada en un lugar físicamente separado del resto de la infraestructura (fuera de las instalaciones).
  • La autenticación multifactor amplía el conocido sistema 2FA para mejorar la seguridad de las medidas de control de acceso existentes. El nombre implica que el usuario final debe presentar al menos dos o más credenciales de autenticación para acceder a la información.
  • La centralización de la información también es relativamente común en los programas de copia de seguridad. Permite gestionar múltiples operaciones de copia de seguridad y gestión de datos mediante un único entorno que ofrece un cómodo acceso a todo.

El mercado de las soluciones de copia de seguridad y recuperación es muy competitivo e incluye cientos de soluciones diferentes. Encontrar un programa que pueda ofrecer todas estas ventajas y, al mismo tiempo, dar soporte a los centros de datos puede parecer inicialmente todo un reto. Sin embargo, no es así, ya que soluciones como Bacula Enterprise pueden ofrecer todas estas ventajas en un mismo paquete.

Bacula Enterprise es una plataforma integral de copia de seguridad y recuperación con muchas capacidades diferentes. Puede trabajar con todo tipo de almacenamiento, desde soportes tradicionales hasta máquinas virtuales, aplicaciones SaaS, bases de datos y mucho más. Esto resulta importante para las organizaciones que cuentan con un entorno informático amplio y diverso, ya que normalmente necesitan una solución de copia de seguridad única para poder cumplir de forma realista las normas y requisitos de seguridad y reglamentarios.

Parte de poder cumplir las normas de seguridad y cumplimiento depende en parte de las capacidades de supervisión y elaboración de informes de una solución de copia de seguridad. Estas funcionalidades son especialmente fuertes en Bacula, que permite una amplia supervisión y elaboración de informes en todo su sistema, hasta el punto de permitir informes muy detallados, especializados y personalizados para ajustarse a las necesidades de sus clientes más singulares.

Bacula también pone un énfasis significativo en la seguridad de los datos, que es una de las razones por las que múltiples organizaciones a nivel gubernamental han elegido Bacula como su solución de copia de seguridad. Una de las razones es su arquitectura única, que hace extremadamente difícil que los ataques maliciosos, como el ransomware, puedan infectar los datos respaldados. Por este motivo, la mayor alianza militar de Occidente ha elegido Bacula para proteger sus datos.

En general, realizar una evaluación de la seguridad de un centro de datos puede ser todo un reto, y mejorar la situación existente tras la evaluación suele ser aún más difícil. Por suerte, la existencia de programas como Bacula permite que la mayoría de las operaciones que giran en torno a la redundancia, el cumplimiento y la seguridad de la información se realicen desde una única solución con un alto grado de comodidad y facilidad de uso.

Conclusión

La evaluación de la seguridad del centro de datos evalúa el estado actual del entorno de seguridad de un centro de datos desde múltiples puntos de vista. Su importancia es bastante difícil de sobreestimar debido a lo populares y esenciales que son los centros de datos en el entorno moderno y a la frecuencia con la que son objeto de ataques maliciosos.

El proceso difiere significativamente en muchas situaciones, y la variedad de marcos que debe cumplir un centro de datos también cambia en función de cada caso. Se puede recomendar un plan de evaluación bastante básico para la mayoría de las situaciones, pero mejorarlo en cada situación va mucho más allá de nuestras capacidades.

El cumplimiento de las normas de seguridad de los centros de datos puede mejorar la seguridad física y virtual de la infraestructura y, al mismo tiempo, mejorar la capacidad de gestión de datos en general y eliminar cuestiones potencialmente problemáticas, como el uso compartido excesivo, el exceso de privilegios y la abundancia de acceso a información sensible para usuarios que no necesitan ese acceso para trabajar.

Además, seguir las mejores prácticas tanto para la evaluación de la seguridad del centro de datos como para la seguridad general de este medio puede simplificar significativamente el proceso de gestión de la información al tiempo que mejora la seguridad del entorno. La implantación de una solución integral de copia de seguridad como Bacula Enterprise es una de las opciones menos problemáticas debido a su gran cantidad de funciones en una única solución, combinada con el amplio número de plataformas, bases de datos, máquinas virtuales, contenedores, entornos en la nube y tipos de almacenamiento que puede soportar.

En general, esperamos que nuestra evaluación del tema haya sido lo suficientemente detallada como para mostrar por qué es crucial evaluar los niveles de seguridad de un centro de datos, señalando al mismo tiempo lo personalizado y específico de cada caso que será cada proceso.

Sobre el autor
Rob Morrison
Rob Morrison es el director de marketing de Bacula Systems. Comenzó su carrera de marketing de TI con Silicon Graphics en Suiza, desempeñando con fuerza varios puestos de gestión de marketing durante casi 10 años. En los siguientes 10 años, Rob también ocupó varios puestos de gestión de marketing en JBoss, Red Hat y Pentaho, asegurando el crecimiento de la cuota de mercado de estas conocidas empresas. Se graduó en la Universidad de Plymouth y tiene una licenciatura en Medios Digitales y Comunicaciones, y completó un programa de estudios en el extranjero.
Puestos relacionados
Copia de seguridad y recuperación Bare Metal: Definición y tipos
octubre 2, 2024
Respaldo OpenStack Cinder. Cómo hacer copias de seguridad de volúmenes OpenStack Cinder con Bacula?
octubre 14, 2024
Visión general de las copias de seguridad de máquinas virtuales. Copias de seguridad de máquinas virtuales con Bacula Enterprise
diciembre 6, 2021
Las 20 mejores soluciones de copia de seguridad (backup) para centros de datos
febrero 24, 2022
Guía de copia de seguridad de Google Workspace: Ventajas, soluciones y tipos
marzo 17, 2023
Cifrado de copias de seguridad 101: Directrices y mejores prácticas
diciembre 12, 2023
Deja un comentario

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

También puede interesarle:
copia de seguridad incremental
copia de seguridad incremental y diferencial
respaldo de servidores