Guía Esencial

Navegue en las secciones
Tutorial

Prepárese para evaluar la resiliencia de su centro de datos

Consejos prácticos para ayudarle a garantizar que sus centros de datos sean resilientes y recuperables.

Paul Kirvan
por
Publicado:12 nov 2013

Si su organización tiene uno o más centros de datos, debe asegurarse de que son resilientes ante situaciones que podrían amenazar su operación continua.

Hoy, los centros de datos son alojados en cualquier parte, desde almacenes reconstituidos y pisos en edificios de oficinas, hasta edificios reforzados, diseñados para soportar terremotos, huracanes, tornados y otros eventos.

Si bien cada una de estas opciones de sitios pueden soportar un centro de datos, se debe determinar si un tipo específico de edificio podría hacerle frente de manera eficaz a las amenazas potenciales a su centro de datos. En este artículo, le brindaremos consejos para ayudarle a asegurar que sus centros de datos son resilientes y recuperables.

Al comienzo de una evaluación de resiliencia para su centro de datos, realice las siguientes actividades básicas:

1. Determine si su centro de datos está físicamente localizado en una área de riesgo baja a moderada, como una zona con baja probabilidad de desastres naturales (terremotos y climas extremos); si tiene acceso a una o más redes eléctricas para contar con fuentes redundantes de energía; si está ubicado en terrenos altos para minimizar la amenaza de inundación; y si no está cerca de carreteras principales, ferrocarriles o ríos.

2. Si la sede de su centro de datos no está ubicada en un área que tiene uno o más de los criterios arriba mencionados, podría sufrir de otro tipo de riesgos, así que debe conducir una evaluación de riesgo que:

* Identifique de qué maneras el centro de datos podría no ser resiliente y capaz de sobrevivir.

* Identifique y analice amenazas a las operaciones continuas del centro de datos, tales como desastres naturales, acciones humanas –como robo y vandalismo–, brechas de seguridad física, y amenazas ambientales, como derrames químicos.

* Identifique la presencia de los controles de gestión, operativos y técnicos que se ocupan de estos temas.

Las siguientes tablas examinan estas cuestiones con más detenimiento y ofrecen consejos para hacer frente a cada área de preocupación:

Tabla 1 - Controles de gestión, operativos y técnicos

Tabla 2 – Amenazas naturales

Tabla 3 – Amenazas humanas y de seguridad

Tabla 4 – Amenazas ambientales

Tabla 1 – Controles de gestión, operativos y técnicos 

Control Cuestiones que abordar Consejos para enfrentar el tema

Evaluaciones de riesgo y amenazas

¿Se ha realizado recientemente evaluaciones de riesgo y amenazas?

  • Programar y llevar a cabo una evaluación anual de riesgos y amenazas que examine tanto las amenazas internas, como las externas.

  • Actualizar los planes de emergencia del centro de datos, basados en los resultados de la evaluación de riesgos.

Seguros

¿Se ha obtenido algún seguro para hacer frente a posibles interrupciones del centro de datos?

  • Revisar la cobertura del seguro para el centro de datos.

  • Actualizar la cobertura si fuera necesario.

Acuerdos de nivel de servicio

  • ¿Se ha establecido acuerdos de nivel de servicio con los proveedores de centros de datos?

  • ¿Cuándo fueron revisados y actualizados los acuerdos de nivel de servicio?

  • Asegúrese de que los acuerdos de nivel de servicio están establecidos.

  • Asegúrese de que dichos acuerdos incorporan los sistemas y servicios que podrían ser afectados en un desastre.

Seguridad del sitio

  • ¿Existe un plan de seguridad del sitio?

  • ¿Son apropiados los sistemas de seguridad del sitio para el centro de datos?

  • Prepare un plan de seguridad del sitio, y pruébelo al menos una vez al año.

  • Asegúrese de que los sistemas de seguridad, como cámaras en circuito cerrado o sistemas de control de acceso, son examinados regularmente.

Documentación

  • ¿Están documentados todos los procedimientos operativos del centro de datos?

  • ¿Están documentados los procedimientos de emergencia?

  • Asegúrese de que los procedimientos operativos del centro de datos están documentados y son revisados anualmente.

  • Asegúrese de que los procedimientos de emergencia del centro de datos están documentados y se revisan anualmente.

Hardware y software de respaldo

  • ¿Están respaldados los dispositivos críticos de hardware, como servidores?

  • ¿Están respaldados los sistemas de almacenamiento de datos, incluyendo las SAN?

  • ¿Hay copias de respaldo de las aplicaciones críticas que puedan ser usadas como recuperación?

  • ¿Hay disponibles dispositivos de respaldo de red, como routers, switches, firewalls?

  • Asegúrese de que hay sistemas y componentes de respaldo donde sea posible.

  • Almacénelos en ubicaciones seguras con ambiente climatizado.

  • Mantenga un inventario actualizado de todos los activos de respaldo.

Procedimientos de emergencia

  • ¿Hay procedimientos de respuesta a incidentes?

  • ¿Hay procedimientos de evacuación?

  • ¿Hay procedimientos para accesos no autorizados?

  • ¿Hay procedimientos para terrorismo o eventos similares?

  • ¿Hay procedimientos para robo o vandalismo?

  • ¿Hay procedimientos si hay alguien disparando con un arma?

  • ¿Hay planes de recuperación de desastres de tecnología?

  • Asegúrese de que hay procedimientos establecidos para responder a incidentes que pueden amenazar al centro de datos.

  • Asegúrese de que todos los procedimientos están documentados.

  • Asegúrese de que todos los procedimientos de emergencia son probados regularmente.

Opciones para un centro de datos alternativo

  • ¿Qué sucede si se prohibe el acceso al centro de datos?

  • ¿Qué sucede si el centro de datos ya no es funcional?

  • Desarrollar un plan de recuperación para el centro de datos.

  • Identificar otros sitios de la compañía que podrían ser configuradas para respaldar al centro de datos.

  • Si no hay una opción disponible para un centro de datos alternativo, considere una opción de operaciones para centro de datos de terceros o basada en nube.

Tabla 2 – Amenazas naturales 

Amenaza Cuestiones que abordar Consejos para enfrentar el tema

Terremoto

¿Puede el centro de datos soportar el impacto de las vibraciones producidas por un terremoto o un movimiento telúrico?

  • Determine qué tan listo está el edificio para soportar terremotos.

  • Asegúrese de que los empleados pueden evacuar de manera segura, si es necesario.

  • Asegúrese de que se desarrolla y evalúa los procedimientos de emergencia.

Inundación

¿Está protegido el centro de datos por una capacidad de desviar o resistir las inundaciones?

  • Prepare bolsas de arena para las inundaciones.

  • Asegúrese de tener disponibles equipo de bombeo.

  • Asegúrese de que los empleados pueden evacuar de manera segura.

  • Asegúrese de desarrollar y probar procedimientos de emergencia para inundaciones.

Caída de rayos

¿Puede el centro de datos soportar el impacto de la caída de un rayo?

  • Revise la condición de los sistemas de protección contra rayos de manera regular.

  • Asegúrese de la disponibilidad de equipos de protección contra sobretensiones para los alimentadores de energía críticos.

  • Pruebe y verifique la construcción de tierra.

Vientos fuertes de tormentas, tornados

¿Puede el centro de datos resistir vientos fuertes y escombros voladores?

  • Determine la disposición del edificio para soportar fuertes vientos.

  • Asegúrese de que los empleados pueden evacuar de manera segura si es necesario.

  • Asegúrese del desarrollo y evaluación de procedimientos de emergencia para vientos fuertes.

Frío/calor severos

¿Puede el centro de datos mantener un entorno operativo habitable con sus sistemas de climatización?

  • Asegúrese de que los sistemas de climatización son adecuadamente mantenidos y probados de manera regular, como una vez al mes.

Tabla 3 –Amenazas humanas y de seguridad 

Amenaza Cuestiones que abordar Consejos para enfrentar el tema

Desorden civil, terrorismo, vandalismo, acceso no autorizado

  1. ¿Está el centro de datos asegurado contra accesos no autorizados?

  2. ¿Puede evacuar el personal de manera segura en un evento así?

  • Asegúrese de que los sistemas de seguridad del edificio están operativos.

  • Asegúrese de que los empleados pueden evacuar de manera segura si es necesario.

  • Asegúrese de desarrollar y probar procedimientos de emergencia para la seguridad del edificio.

  • Asegúrese de desarrollar y probar procedimientos de emergencia para desórdenes civiles y eventos relacionados.

  • Asegúrese de que los guardias de seguridad están disponibles en las entradas del edificio.

  • Asegúrese de que las cámaras de seguridad pueden grabar eventos dentro y fuera del edificio.

Tabla 4 – Amenazas ambientales 

Amenaza Cuestiones que abordar Consejos para enfrentar el tema

Falla de energía

  1. Pérdida de energía comercial.

  2. Sistemas de protección de energía, como supresores de picos.

  3. Sistemas de energía de respaldo.

  4. Suministro de combustible para generadores de diesel o gas natural.

  • Trabaje con las compañías locales de energía para evaluar opciones de fuentes de energía.

  • Conecte dispositivos de protección de energía en todo el centro de datos para proteger los sistemas.

  • Asegúrese de que las fallas de energía activan alarmas de notificación.

  • Invierta en sistemas de energía de respaldo, como generadores y dispositivos UPS.

  • Prueba regularmente los sistemas de energía de respaldo.

  • Rellene regularmente los depósitos de combustible; tenga al menos dos proveedores disponibles.

Falla en las comunicaciones

  • Pérdida de acceso a la red del edificio al operador local.

  • Pérdida de acceso a internet.

  • Asegúrese de que los servicios de acceso local son entregados en un conducto seguro desde la calle.

  • Considere alimentaciones alternativas hacia el centro de datos para tener redundancia.

  • Asegúrese de que el acceso a internet está protegido y es redundante.

  • Pruebe regularmente los servicios de red para asegurar su disponibilidad.

Falla en los sistemas de climatización

Pérdida de A/C, calefacción, sistemas de filtración de aire.

  • Asegúrese de que los sistemas de climatización están operativos y se prueban regularmente.

  • Asegúrese de la disponibilidad de los sistemas de energía de respaldo para los sistemas de climatización.

  • Considere sistemas redundantes de climatización.

  • Asegúrese de que las fallas en climatización activan alarmas de notificación.

Incendios

¿Puede el centro de datos responder a fuegos internos y externos?

  • Asegúrese de que los sistemas de extinción de incendios funcionan y son probados regularmente.

  • Instalar “interruptores asesinos” para detener una descarga accidental en el sistema.

  • Asegúrese de que hay un número suficiente de extinguidores.

  • Asegúrese de que los empleados pueden evacuar de manera segura si es necesario.

  • Asegúrese de desarrollar  y probar procedimientos de emergencia para incendios.

Temas en la calidad del agua, por ejemplo contaminación

  • ¿Hay procedimientos para monitorear la calidad del agua?

  • ¿Hay sistemas de filtración de agua?

  • ¿La tubería interna está ubicada lejos de los sistemas críticos para prevenir el daño por agua?

  • ¿Están disponibles fuentes y suministros de agua alternativos?

  • Trabaje con el propietario del edificio para coordinar el monitoreo del suministro primario de agua y los procedimientos de emergencia.

  • Trabaje con el propietario del edificio para coordinar fuentes de agua de respaldo.

Incidentes con materiales peligrosos

  • ¿Hay procedimientos para analizar incidentes con materiales peligrosos?

  • ¿Están instalados los procedimientos de emergencia para hacer frente a condiciones con materiales peligrosos?

  • Coordine procedimientos para tratar con materiales peligrosos con las organizaciones locales de gestión ambiental.

  • Establecer procedimientos de emergencia para hacer frente a condiciones con materiales peligrosos.

Resumen

Como puede ver, hay muchas cuestiones que abordar en la construcción de la resiliencia de un centro de datos. Ya sea que esté edificando un nuevo centro de datos, que esté mudando el centro de datos a un sitio diferente, o actualizando una instalación existente, asegúrese de abordar estos temas como parte del diseño general del edificio y/o construirlo para proteger su inversión de centro de datos.

Sobre el autor: Paul Kirvan, CISA, FBCI, trabaja como consultor y auditor independiente de continuidad de negocios, y es secretario del Capítulo de Estados Unidos del Instituto de Continuidad de Negocios, y miembro del BCI Global Membership Council. Puede encontrarlo en [email protected].

Investigue más sobre Arquitectura de centros de datos