El éxito de la continuidad de un Data Center: Seguridad + Gobernabilidad

Christian Aguilar LagosIT Director Latam | Icrea / Uptime Institute / Bicsi / Leed AP Certified.e-mail : christian.aguilar@e-data.cl

Agenda

• Que es y como medimos la continuidad.

• Que es la Gobernabilidad en un Data Center.

• Seguridad en el Data Center, vulnerabilidades y amenazas.

• Que hacemos?

• Beneficios

Que es la continuidad…

Es la actividad que se lleva a cabo en una organización para asegurar que todos los procesos de negocios críticos estarán disponibles para los clientes, proveedores, y otras entidades que deben acceder a ellos.

Estas actividades incluyen un gran número de tareas diarias como gestión de proyectos, copias de seguridad de los sistemas, control de cambios, helpdesk y disponibilidad de la infraestructura TI.

La gestión de la continuidad no se implanta cuando ocurre un desastre, sino que hace referencia a todas aquellas actividades que se llevan a cabo diariamente para mantener el servicio y facilitar la recuperación.

Como medimos la continuidad…

Disponibilidad es usualmente expresada como un porcentaje del tiempo de funcionamiento en un año dado.

En un año dado, el número de minutos de tiempo de inactividad no planeado es registrado para un sistema, el tiempo de inactividad no planificado agregado es dividido por el número total de minutos en un año (525.600) produciendo un porcentaje de tiempo de inactividad

99,X %

Que dicen los estándares… ICREA Nivel I Nivel II Nivel III Nivel IV Nivel VDisponibilidad 95% 99% 99,9% 99,99% 99,999%Horas en el año 8760 8760 8760 8760 8760Minutos en año 525600 525600 525600 525600 525600Δ Tiempo 499320 8672,4 8751,2 8759,1 8759,9Horas x Año Indisponibilidad 438 87,6 8,76 0,876 0,0876Dias x Año Indisponibilidad 18,3 3,7 0,4 0,04 0,004Min. x Año Indisponibilidad 26280 5256 525,6 52,56 5,256

Uptime Institute TIER I TIER II TIER III TIER IVDisponibilidad 99,671% 99,95% 99,982% 99,99%Horas en el año 8760 8760 8760 8760Minutos en año 525600 525600 525600 525600Δ Tiempo 523871 525337 525505 525547Horas x Año Indisponibilidad 28,8204 4,38 1,5768 0,876Dias x Año Indisponibilidad 1,2 0,2 0,1 0,04Min. x Año Indisponibilidad 1729 263 94,6 52,6

Benchmark

ISO Uptime Institute ICREA LEED CEEDA BICSI ANSI/TIA942 CoC

Disponibilidad

Energía

Enfriamiento

Seguridad

Arquitectura

Cableado

Eficiencia

Operaciones

Gobernabilidad

Que es la Gobernabilidad

Es la administración consistente, políticas cohesivas, procesos y los derechos de decisión para un área de responsabilidad dada.

Gobernabilidad es el proceso de mantener bajo control la infraestructura TI.

Cómo? Marcos de Referencia Estándares y Certificaciones Mejores Prácticas

…Pero cómo?

Políticas Roles y Responsabilidades Diseñando, Implementando y Monitoreando Procesos y Procedimientos. Difusión, Entrenamiento y Capacitación Profesional.

Administración

Operaciones

Continuidad delNegocio

Mantenimiento

Pr o

ce

so

s E

fic

i en

t es

Pe

r so

na

s

I n f r a e s t r u c t u r a T I

ISO 22301 Social Security

ISO 20001

ISO 27001

ISO 14001

ISO 9001

Compliance

Seguridad en el Data Center.

Nos referimos a todos aquellos mecanismos -- generalmente de prevención y detección -- destinados a proteger físicamente cualquier recurso de la infraestructura.

Cuáles?

Controles de acceso físicos ( Biometría – Doble Factor) Cámaras de videograbación Sistemas cruzados de Detección de Incendios Sistemas de Extinción de Incendios. Protección de sistemas eléctricos (tierras, pararrayos,TVSS,ect) Monitoreo ON-Line de Infraestructura Electromecánica. Protocolos On-Line

Y que vulnerabilidades hay?

• Hardware (Polvo, corrosión, enfriamiento, cargas electromagnéticas, variaciones de voltaje y temperatura, etc.)

• Redes (Líneas de comunicación no protegidas con tráfico sensible, remates mal terminados, administración inadecuada, etc.)

• Personal (Ausencia de personal, procesos de reclutamiento inadecuados, entrenamiento insuficiente, falta de mecanismos de monitoreo, falta de concientización, trabajos sin supervisión, falta de políticas, procesos y procedimientos).

• Sitio (Control de acceso inadecuado o insuficiente, mala localización física del data center, mala calidad de energía, falta de protección física, etc.)

Tengo amenazas también?• Daño Físico (Fuego, contaminación, corrosión, polvo, etc.)

• Eventos Naturales (Fenómenos climáticos, volcánicos, sísmicos,

meteorológicos, inundaciones, etc.)

• Pérdida de Servicios (Energía eléctrica, HVAC, equipos de Telco)

• Disturbios por Radiación (Radiación electromagnética, térmica, pulsos

eléctricos)

• Fallas Técnicas (Falla de equipos, mal funcionamiento, saturación)

• Espionaje Industrial (Ventaja Competitiva, espionaje económico)

• Internos (Personal pobremente entrenado, disgustado, malicioso,

negligente, deshonesto, despedido, etc.)

• Hay procesos y procedimientos formales?....dónde?

• Me hacen Auditorías, que nivel de cumplimiento normativo tienen?

• Mis reportes donde están registrados ?

• SLAs (autoimpuestos), como sé que lo cúmplo?

• Hay procedimientos de control de cambios?

• Tengo Protocolos y Procesos de autorización On Line?

• Pruebo mis BCP y DRPs, con ello veo mi infraestructura de misión crítica?

• Tengo definición de responsabilidades y descripción de puestos?

• Hay Manuales consistentes y actualizados ?

• Tengo Herramientas modernas para mi gestión de la infraestructura?

Tengo amenazas en mi organización?

La mirada CorrectaSeguridad

Operaciones

Que hacemos

• Auditorías periódicas de cumplimiento normativo.

• Certificaciones Internacionales:

• Tener una visión integrada de la seguridad y operaciones.

• Seguridad

• Infraestructura

• Gobernabilidad ( Administración-Operaciones – Mantenimiento)• Infraestructuras Eficientes ( Icrea- Leed-Ceeda)

• Implantación de herramientas DCIM y BMS

• Diseños según las buenas prácticas y estándares.

• Enfrentar que todo data center es vulnerable.

Beneficios

• Contar con una referencia cuantificable del estado de la infraestructura en tiempo real.

• Conocer granularmente la infraestructura que tenemos.

• Contar con información clara, consistente y robusta.

• Bajar costos operativos.

• Aumentar la calidad y competencias del Data Center.

• Garantizar verídicamente la disponibilidad.

• Chile: Av. El Bosque Norte 033 of. 71, Las Condes, Santiago.

• Perú: Av. Fray Luis de León N° 515, Oficina N° 506, distrito de San Borja (L-41), Lima.

• Colombia: Calle 99 N° 10-08, torre 99-10, oficina 302. Bogotá, Colombia.

• México: Paseo de los Tamarindos 400, Edificio Arcos Torre A, 5° Piso Bosques de las Lomas C.P. 05120 México, D.F. • Teléfono : +5625820520

• Skype: edata_latam• Global-Mail: contacto@e-data.cl

Presencia Regional