No son muy amigas, la seguridad y las chispas, o tal vez la seguridad y los chispas. No lo son y no conozco realmente la razón, porque es habitual ver como empresas importantes invierten sumas nada despreciables en protecciones tecnológicas de sus infraestructuras TIC y olvidan de forma recurrente su protección física, en su más amplio sentido: la protección de las instalaciones que soportan sus sistemas de información. Instalaciones básicas (en el sentido de vitales) que en un porcentaje muy importante de los casos están descuidadas, mal diseñadas o mal ejecutadas y que en TODOS los casos tienen consecuencias negativas sobre alguna de las dimensiones de la seguridad: Confidencialidad, Disponibilidad o Integridad.
Sistemas de alimentación ininterrumpida mal dimensionados, elementos de protección incorrectos, cuadros eléctricos accesibles, instalaciones no documentadas, protecciones que no protejen, ausencia de selectividad en protecciones de circuitos, equipos de aire acondicionado mal dimensionados y mal colocados, tuberías de agua encima de las máquinas más críticas, armónicos y un largo etcétera son un breve ejemplo de las amenazas a las que nos enfrentamos en esta dimensión, y que he tenido el dudoso privilegio de ver a lo largo de mi carrera.
A la hora de enfrentarnos a un análisis de riesgos es habitual que, siguiendo más o menos lo que nos sugieren metodologías como MAGERIT, estructuremos nuestros activos de forma piramidal desde los procesos de negocio hasta llegar a las personas que lo soportan todo, pasando por las instalaciones y suministros. Según esto, si somos capaces de identificar los cimientos sobre los que se sustentan nuestros sistemas de información e indirectamente muchos de nuestros procesos de negocio, ¿por qué nos empeñamos en proteger solo parte de los niveles de la pirámide? Y es que por pequeñas que sean las instalaciones, son MUY grandes los activos que almacenan: información de nuestro negocio, de nuestros clientes, empleados, de las personas con las que trabajamos y para las que trabajamos. Cconocimiento al fin y al cabo… el alma de nuestras organizaciones.
Alguien podría esgrimir la lanza del presupuesto, pero lo cierto es que entre las instalaciones autoportantes e hiper-seguras de marcas muy conocidas para las que podemos necesitar hasta 60.000 euros para una sala de escasos metros cuadrados, y lo que habitualmente tenemos la oportunidad de ver, hay un abismo. Como cualquier otra instalación crítica, y el CPD en muchos casos lo es, necesitamos diseñar de forma adecuada las instalaciones, teniendo en cuenta que no es lo mismo hacer una instalación eléctrica en una casa o en una nave industrial que en una sala técnica, y que no podemos tratar las condiciones ambientales de la misma como si fuese una cámara frigorífica o una sala de cine. A lo que voy, es que cada una de las instalaciones que hospedan físicamente nuestros sistemas requieren un cuidado especial y unos conocimientos específicos.
“La selectividad no es sólo la prueba de acceso a la universidad“. Esta será la próxima entrada de esta serie sobre seguridad física que comenzamos en Security Artwork, en la que, en la línea de lo dicho hasta ahora, hablaremos de un concepto poco conocido o poco aplicado a la hora de diseñar las instalaciones eléctricas de los CPDs.
El tema de la Seguridad Física es si cabe más interesante que el de la lógica. Se llama la atención por ejemplo en la electricidad de un CPD, es un buen comienzo. Pero quedarse ahí puede ser insuficiente:
¿Qué ocurre con el diseño de las tuberías? ¿En caso de fuga, a dónde iría a parar toda ese agua? ¿Están los equipos a la altura mínima que regula la normativa? ¿Y los enchufes? Eso nos lleva al sistema eléctrico, ¿Qué ocurre si se cae?, ¿Cuánto tiempo pueden mantenerse funcionando nuestros SAI? Y si hay un cortocircuito y se produce un incendio ¿Cuánto tiempo soportarán nuestras puertas ignífugas?, ¿tenemos puertas ignífugas?, ¿y ventanas? Nuestro sistema de detección de incendios, ¿es capaz de detectar los gases previos a un incendio, ganando unos minutos de oro que evitarán un desastre?, ¿Es posible usar ese modelo de extintores en las máquinas del CPD?, ¿Qué condiciones medio ambientales recomienda el fabricante para el correcto mantenimiento de sus equipos? ¿humedad, polvo, temperatura?, y el personal de limpieza, ¿sabe lo que está limpiando?
Por suerte, a mi juicio, todos estos interrogantes están mucho mejor resueltos y regulados que los relativos a seguridad lógica, aunque nosotros los tecnólogos olvidemos a veces que la seguridad siempre ha existido…
http://es.wikipedia.org/wiki/El_arte_de_la_guerra