Seguridad en los centros de datos con ISO/IEC 27001
¿Qué son los centros de datos?
Los centros de datos son instalaciones con un gran número de servidores, equipos de red y sistemas de energía. Dichos centros de datos se encargan de procesar, almacenar y distribuir los datos críticos del negocio. Debido a sus especificaciones técnicas y a su complejidad, los centros de datos requieren planes de seguridad integrales y un trabajo extenso para protegerlos de amenazas relacionadas con la ciberseguridad, tanto internas como externas.
El aumento en el uso de datos y el crecimiento del teletrabajo en los últimos años ha incrementado la necesidad de contar con centros de protección de datos confiables en todo el mundo. Dado que los centros de datos son fundamentales para las redes a gran escala, el almacenamiento de datos y el intercambio de información, requieren de medidas de seguridad excepcionales para protegerlos de las amenazas físicas y digitales que evolucionan a gran velocidad.
Seguridad en los centros de datos
Hoy en día, la gran mayoría de empresas confía en un centro de datos para compartirlos y almacenarlos de forma segura. Sin embargo, la mayoría de las organizaciones modernas no pueden completar sus operaciones diarias si su centro de datos se ve comprometido. Una violación de datos puede dar lugar a la exposición o pérdida de información confidencial, impactando negativamente en la organización.
Por todo ello, la seguridad del centro de datos es una práctica esencial que debe incorporar varios enfoques orientados a la protección con el objetivo de minimizar el riesgo de acceso no autorizado y los ciberataques.
Enfoques para la protección de centros de datos:
- Seguridad física. Esto implica la elección de un lugar seguro y pasa por el establecimiento de controles de acceso físico incluyendo barreras. De esta forma es posible asegurar el edificio y limitar los puntos de entrada al mismo.
- Seguridad digital y de redes. Lo que pasa por la protección de la infraestructura de TI y los servidores mediante la instalación de firewalls y de software antimalware.
- Seguridad de ingeniería social. Este es un aspecto que a menudo se pasa por alto cuando se aborda la cuestión de la seguridad de los centros de datos. Esto implica la realización campañas de capacitación y concientización de los empleados.
¿Cuáles son las amenazas más comunes a las que se enfrentan los centros de datos?
Los riesgos más comunes que ponen en peligro la seguridad de los centros de datos están fundamentalmente vinculados al error humano. Los delitos cibernéticos son cada vez más sofisticados y tienen como último objetivo infiltrarse en sistemas que se encuentran bien protegidos. Los atacantes tienden a usar malware para acceder a información confidencial, como son las credenciales de inicio de sesión. Los centros de datos también son el objetivo de los ataques que buscan suplantar la identidad.
Las contraseñas débiles o utilizadas en varias aplicaciones son un error humano. Esto facilita a los atacantes el poder descifrar las cuentas de los empleados para poder ver, modificar o incluso eliminar los datos de la empresa. Estas amenazas pueden afectar gravemente a un centro de datos. Sin embargo, estos riesgos pueden mitigarse con capacitación en seguridad de TI de manera continua.
Seguridad física de los centros de datos
Los centros de datos cuentan con equipos sensibles, como servidores, así como fuentes de alimentación y telecomunicaciones. Cada dispositivo es crucial para el funcionamiento de toda la infraestructura. Aquí radica la importancia de la protección de los elementos físicos.
El primer paso es establecer una ubicación segura. El centro de datos se ubicará en una región que no esté afectada frecuentemente por desastres naturales. Se debe intentar minimizar los puntos de entrada y agregar barreras físicas cuando sea necesario. Es recomendable crear varios niveles de acceso para diferentes empleados en función de sus autorizaciones de seguridad.
Otro componente a tener en cuenta es que, en caso de que el dispositivo principal funcione mal o se apague, el dispositivo secundario pueda activarse automática o manualmente para garantizar la continuidad.
Ciberseguridad de los centros de datos
Una práctica muy común en los centros de datos es la virtualización, que permite administrar un software de forma remota. Esto da lugar a un crecimiento exponencial de los datos, aumentando el riesgo de filtración o pérdida de datos. En este caso, la protección digital y virtual es necesaria frente a los ciberdelitos.
A continuación, se enumeran algunas de las mejores prácticas de ciberseguridad para proteger los datos:
- Cifrado de datos comerciales confidenciales mientras se comparten o se almacenan.
- Uso de autenticación en dos pasos para proteger las cuentas de los usuarios.
- Creación de contraseñas únicas y complejas.
- No utilizar conexiones WiFi no seguras para realizar operaciones comerciales.
- Uso y actualización de antivirus y cortafuegos.
- Mantenimiento de los sistemas operativos y actualizados.
- Creación de copias de seguridad regularmente.
- No acceder a enlaces y archivos adjuntos desconocidos.
- No descargar aplicaciones sin verificar su origen.
Plataforma ISOTools para ISO/IEC 27001
La implantación de un Sistema de Gestión de Seguridad de la Información basado en ISO/IEC 27001 puede ser un proceso complejo el cual requiera mucho tiempo y esfuerzo para llevarlo a cabo. Desde ISOTools Excellence ofrecemos la plataforma ISOTools que permite la implantación del SG-SI de forma cómoda y sencilla, abordando todas las cuestiones necesarias que se plantean en una organización.