La seguridad: detalles de una delicada relación
Si la única cuestión que planteó a su actual proveedor de servicios en materia de seguridad fue “¿seguro que es seguro?”, usted no tiene todo a su favor. Si, además, la respuesta del proveedor fue un simple “¡pues claro!”, es muy posible que su elección no fuera del todo acertada. Pero si lo siguiente que se le ocurrió decir fue “¿dónde hay que firmar?”, le recomendamos la lectura del presente artículo y saque sus propias conclusiones.
A la hora de escoger un proveedor de servicios, es fundamental indagar sobre su política general de seguridad y cómo se refleja en el servicio que se busca. De esta forma se logrará apreciar cuál es el grado de compromiso del proveedor con la protección de los datos cedidos por sus clientes y, por extensión, con la seriedad en la operativa diaria y la calidad global del servicio.
Uno de los factores determinantes en las conversaciones iniciales para el establecimiento de un contrato de estas características no es otro que encontrar un colaborador que proporcione el nivel de confianza suficiente para albergar y administrar los datos y aplicaciones de la organización. En materia de seguridad informática hay que desconfiar tanto del proveedor que facilite información ambigua y poco clara, como del que afirma que no puede ofrecer datos de su estrategia frente a contingencias por tener ésta un carácter confidencial (por desgracia, es frecuente confundir el término “confidencial” con “inmaterial” o “inexistente”). Se recomienda buscar un proveedor que exponga con claridad las medidas de seguridad implantadas en su entorno, sus implicaciones y limitaciones, y el grado de responsabilidad, personalización y control por parte del cliente que puede llegar a ofrecer en cada caso.
Para lograr el objetivo, no hay que conformarse con una lista interminable de productos comerciales (de los que pocas veces se sabe su número y función en la infraestructura) unida a un popurrí de siglas y terminología oportunista y decorada con imágenes y fotografías del CPD. Obviamente esto no implica que el posible proveedor esté obligado en sus labores de preventa a entregar unas llaves del CPD, proporcionar las claves de todos los equipos o comentar con pelos y señales las soluciones personalizadas que se han implantado para otros usuarios. El equilibrio estará en la intersección entre la satisfacción del cliente y la cautela del proveedor, siendo esto posible si se cuenta con el criterio y experiencia necesaria.
Si no se cuenta con el conocimiento suficiente en la materia para lograr distinguir el polvo de la paja (es lógico no tenerlo si se está pensando en hacer outsourcing precisamente de esta parcela de la empresa) conviene buscar asesoría. Aparte de la comparación de los argumentos proporcionados por diferentes candidatos, no se debe dejar de pedir opinión a un tercero independiente.
Si para subcontratar las aplicaciones es obligado tener claras las necesidades en lo referente a la funcionalidad, igual de claro se deben tener los requisitos en materia de seguridad. Dado que los datos de nuestra corporación no estarán ubicados en nuestras dependencias, debemos encontrar un proveedor de servicios que nos proporcione la sensación de control lo más cercana a esta situación ideal y que sea un fiel reflejo de la filosofía de nuestra empresa, convirtiéndose en un departamento más a efectos operativos.
Para analizar las características de una oferta de servicios vamos a centrarnos en las tres áreas principales que se deben contemplar en cualquier planteamiento referente a seguridad informática:
- Infraestructuras del CPD (Seguridad física)
- Arquitectura lógica de servicios (Seguridad lógica)
- Política, operativa y marco legal (Seguridad político-corporativa)
INFRAESTRUCTURAS DEL CPD
Está claro que el edificio que albergue la infraestructura del proveedor de servicios va a prestar el nivel de seguridad “visible y palpable” a tomar como primer punto de análisis. Partiendo de sus necesidades de seguridad, el cliente debe estimar si el nivel de protección físico es el adecuado.
La sensación general al recibir la descripción del centro de proceso de datos suele ser que el proveedor cumple sobradamente con los requisitos en esta área, pero no hay que llevarse a engaño: los dispositivos de seguridad no están ahí únicamente para protegerle a usted o a sus datos, sino para proteger el conjunto formado por el resto de clientes (cada uno con unos requisitos de seguridad diferenciados) y la infraestructura propia del proveedor (empezamos a separar el polvo de la paja), sobre todo en los casos en los que dicha infraestructura es únicamente una parcela que se ubica en un edificio que alberga otras dependencias de la empresa madre dedicadas a otras actividades, e incluso diferentes compañías.
Hay que tener en cuenta que en función del nivel de seguridad requerido por otros clientes y el tipo de servicio contratado es posible que se haya habilitado el acceso al CPD a un número considerable de personas, muchas de las cuales no están en nómina del xSP. De hecho, la creación de diferentes áreas con diferentes niveles de acceso y diferentes controles de seguridad será una característica a agradecer en un proveedor de servicios de ámbito general, pero lo importante es tener claro en qué zona estará enclavado el servicio escogido y cuáles son los mecanismos concretos que velan por su seguridad física. El proveedor deberá disponer, principalmente, de los siguientes mecanismos:
- Control de accesos. Empezando por la puerta principal y el guardia de seguridad, hasta llegar a las diferentes salas que componen las dependencias. Si ya hace tiempo las cerraduras electrónicas de teclado numérico perdieron su encanto por la dificultad de gestionar y comunicar los diferentes PIN (normalmente genéricos) a los implicados sin que se convirtiese en un “secreto a voces”, ahora la tecnología típica de control de acceso mediante tarjeta magnética se empieza a ver desplazada por tecnologías más cómodas de usar, fiables y seguras, como tarjetas de proximidad, tarjetas “wiegand” e, incluso, tarjetas inteligentes (tarjetas chip) combinadas con el sistema de control de acceso lógico a aplicaciones y a datos.
En función del nivel de seguridad asignado a zonas concretas, tampoco podemos descartas las técnicas de identificación biométrica. Existen soluciones adecuadas tanto para uso en grupos reducidos y alto nivel de seguridad (huella dactilar, iris) como para grupos relativamente amplios y con un uso continuado de los dispositivos (reconocimiento facial, reconocimiento de la geometría de la mano). Al combinar esta tecnología con la anterior se consiguen los tres pilares de la autenticación: lo que sé (PIN), lo que tengo (tarjeta) y lo que soy (biométricos).
En los casos en los que el servicio contratado permita el acceso de clientes a las dependencias del proveedor, como, por ejemplo, en los servicios de colocation, es conveniente informarse de cómo se gestionan y que periodo de validez tienen las credenciales (tarjetas, altas en sistemas de identificación, llaves de armarios, etc.) de dichos clientes.
- Vigilancia, alarmas, detectores y monitorización. Conviene saber si existe un circuito cerrado de televisión y qué áreas cubre, así como qué cantidad de informa
A la hora de escoger un proveedor de servicios, es fundamental indagar sobre su política general de seguridad y cómo se refleja en el servicio que se busca. De esta forma se logrará apreciar cuál es el grado de compromiso del proveedor con la protección de los datos cedidos por sus clientes y, por extensión, con la seriedad en la operativa diaria y la calidad global del servicio.
Uno de los factores determinantes en las conversaciones iniciales para el establecimiento de un contrato de estas características no es otro que encontrar un colaborador que proporcione el nivel de confianza suficiente para albergar y administrar los datos y aplicaciones de la organización. En materia de seguridad informática hay que desconfiar tanto del proveedor que facilite información ambigua y poco clara, como del que afirma que no puede ofrecer datos de su estrategia frente a contingencias por tener ésta un carácter confidencial (por desgracia, es frecuente confundir el término “confidencial” con “inmaterial” o “inexistente”). Se recomienda buscar un proveedor que exponga con claridad las medidas de seguridad implantadas en su entorno, sus implicaciones y limitaciones, y el grado de responsabilidad, personalización y control por parte del cliente que puede llegar a ofrecer en cada caso.
Para lograr el objetivo, no hay que conformarse con una lista interminable de productos comerciales (de los que pocas veces se sabe su número y función en la infraestructura) unida a un popurrí de siglas y terminología oportunista y decorada con imágenes y fotografías del CPD. Obviamente esto no implica que el posible proveedor esté obligado en sus labores de preventa a entregar unas llaves del CPD, proporcionar las claves de todos los equipos o comentar con pelos y señales las soluciones personalizadas que se han implantado para otros usuarios. El equilibrio estará en la intersección entre la satisfacción del cliente y la cautela del proveedor, siendo esto posible si se cuenta con el criterio y experiencia necesaria.
Si no se cuenta con el conocimiento suficiente en la materia para lograr distinguir el polvo de la paja (es lógico no tenerlo si se está pensando en hacer outsourcing precisamente de esta parcela de la empresa) conviene buscar asesoría. Aparte de la comparación de los argumentos proporcionados por diferentes candidatos, no se debe dejar de pedir opinión a un tercero independiente.
Si para subcontratar las aplicaciones es obligado tener claras las necesidades en lo referente a la funcionalidad, igual de claro se deben tener los requisitos en materia de seguridad. Dado que los datos de nuestra corporación no estarán ubicados en nuestras dependencias, debemos encontrar un proveedor de servicios que nos proporcione la sensación de control lo más cercana a esta situación ideal y que sea un fiel reflejo de la filosofía de nuestra empresa, convirtiéndose en un departamento más a efectos operativos.
Para analizar las características de una oferta de servicios vamos a centrarnos en las tres áreas principales que se deben contemplar en cualquier planteamiento referente a seguridad informática:
- Infraestructuras del CPD (Seguridad física)
- Arquitectura lógica de servicios (Seguridad lógica)
- Política, operativa y marco legal (Seguridad político-corporativa)
INFRAESTRUCTURAS DEL CPD
Está claro que el edificio que albergue la infraestructura del proveedor de servicios va a prestar el nivel de seguridad “visible y palpable” a tomar como primer punto de análisis. Partiendo de sus necesidades de seguridad, el cliente debe estimar si el nivel de protección físico es el adecuado.
La sensación general al recibir la descripción del centro de proceso de datos suele ser que el proveedor cumple sobradamente con los requisitos en esta área, pero no hay que llevarse a engaño: los dispositivos de seguridad no están ahí únicamente para protegerle a usted o a sus datos, sino para proteger el conjunto formado por el resto de clientes (cada uno con unos requisitos de seguridad diferenciados) y la infraestructura propia del proveedor (empezamos a separar el polvo de la paja), sobre todo en los casos en los que dicha infraestructura es únicamente una parcela que se ubica en un edificio que alberga otras dependencias de la empresa madre dedicadas a otras actividades, e incluso diferentes compañías.
Hay que tener en cuenta que en función del nivel de seguridad requerido por otros clientes y el tipo de servicio contratado es posible que se haya habilitado el acceso al CPD a un número considerable de personas, muchas de las cuales no están en nómina del xSP. De hecho, la creación de diferentes áreas con diferentes niveles de acceso y diferentes controles de seguridad será una característica a agradecer en un proveedor de servicios de ámbito general, pero lo importante es tener claro en qué zona estará enclavado el servicio escogido y cuáles son los mecanismos concretos que velan por su seguridad física. El proveedor deberá disponer, principalmente, de los siguientes mecanismos:
- Control de accesos. Empezando por la puerta principal y el guardia de seguridad, hasta llegar a las diferentes salas que componen las dependencias. Si ya hace tiempo las cerraduras electrónicas de teclado numérico perdieron su encanto por la dificultad de gestionar y comunicar los diferentes PIN (normalmente genéricos) a los implicados sin que se convirtiese en un “secreto a voces”, ahora la tecnología típica de control de acceso mediante tarjeta magnética se empieza a ver desplazada por tecnologías más cómodas de usar, fiables y seguras, como tarjetas de proximidad, tarjetas “wiegand” e, incluso, tarjetas inteligentes (tarjetas chip) combinadas con el sistema de control de acceso lógico a aplicaciones y a datos.
En función del nivel de seguridad asignado a zonas concretas, tampoco podemos descartas las técnicas de identificación biométrica. Existen soluciones adecuadas tanto para uso en grupos reducidos y alto nivel de seguridad (huella dactilar, iris) como para grupos relativamente amplios y con un uso continuado de los dispositivos (reconocimiento facial, reconocimiento de la geometría de la mano). Al combinar esta tecnología con la anterior se consiguen los tres pilares de la autenticación: lo que sé (PIN), lo que tengo (tarjeta) y lo que soy (biométricos).
En los casos en los que el servicio contratado permita el acceso de clientes a las dependencias del proveedor, como, por ejemplo, en los servicios de colocation, es conveniente informarse de cómo se gestionan y que periodo de validez tienen las credenciales (tarjetas, altas en sistemas de identificación, llaves de armarios, etc.) de dichos clientes.
- Vigilancia, alarmas, detectores y monitorización. Conviene saber si existe un circuito cerrado de televisión y qué áreas cubre, así como qué cantidad de informa
