Auditoría de un

Centros de Procesamiento de Datos (CPD)

El objetivo principal de una auditoría a un CPD consiste en evaluar si la infraestructura física de un Centros de Datos cumpla con los requerimientos mínimos necesarios para garantizar la disponibilidad requerida para la continuidad de negocio.

Razones para Certificar un CPD

Las principales razones para lograr una certificación para un CPD son:

  • Certeza de que lo que se tiene, es lo que se solicitó y es por lo que se pagó.
  • A través de la auditoria se justifican la obtención de los recursos necesarios para mantener la infraestructura a un nivel de excelencia mundial.
  • Seguridad para los CEO, y certeza para los responsables de la infraestructura y una guía confiable para los diseñadores y constructores de Centros de Datos.
  • Herramienta de marketing para demostrar a los clientes que están tratando con una organización confiable con reconocimiento internacional.
  • Cumplimiento con los niveles de servicio esperado, SLA (Service Level Agreement).
  • Referencia cuantificable como comparativa y diferenciador con los CPD del mundo.
  • Certificación de hechos y no proyectos, se certifica un Centros de Datos en operación.

En Networks 4it contamos con las certificaciones necesarias, para Diseñar, Construir, Auditar y Certificar su CPD en cumplimiento a las normativas internacionales.

Norma ICREA Std-131-2021

ICREA (International Computer Room Experts Association) es una autoridad global de certificación de infraestructura y talento humano, formada por ingenieros especializados en el diseño, construcción, operación, administración, mantenimiento, adquisición, instalación y auditoría de centros de cómputo.

Este organismo tiene como principales auditorías las certificaciones llamadas Sellos identificados por colores:

Sello Rojo (Project Compliance):

Verificación de cumplimiento normativo del proyecto para proyectos nuevos con el objeto de dar certeza a los propietarios, proyectistas y constructores de los CPD previo a la construcción, asegurando así que los proyectos cumplirán con los requisitos establecidos para diferente NIVEL de certificación, de tal forma que una vez construidos, los CPD sean totalmente certificables por ICREA si se cumple cabalmente con el diseño verificado.

El sello rojo se otorga únicamente a proyectos nuevos antes de ser construidos y lo otorga ICREA a través de un comité especializado directamente convocado por ICREA en el que participarán únicamente miembros CCRE (Certified Computer Room Expert) cumpliéndose los requisitos de NIVEL de confiabilidad requeridos por la organización que lo solicita.

Sello Dorado:

Basados en los requerimientos mínimos en función a la disponibilidad esperada del CPD, la clasificación de ICREA se define en NIVELES que normarán las instalaciones de acuerdo con los criterios de redundancia exigido para los diferentes elementos de la infraestructura siendo el total del requerimiento un 100%.

Las topologías deben diseñarse de tal forma que se asegure en cualquier condición de falla en la operación del CPD.

ICREA otorga el sello dorado a aquella infraestructura que cumple con los requisitos establecidos en cinco NIVELES de Certificación, más un sexto NIVEL que se puede obtener agrupando varios CPD en forma sincronizada, con un mínimo NIVEL III cada uno.

Nivel
Porcentaje de Disponibilidad
Tiempo Promedio de Inactividad Anual
NIVEL I Quality Assurance Data Center
95%
18 días por año
NIVEL II World Class Quality Assurance
99%
88 horas por año
NIVEL III Safety World Class Quality Assurance
99.9%
8.76 horas por año
NIVEL IV High Security World Class Quality Assurance
99.99%
52.56 minutos por año
NIVEL V High Security High Available World Class Quality Assurance
99.999%
5.26 minutos por año
NIVEL VI Redundant High Available World Class Quality Assurance Data Center
99.9999%
31.54 segundos por año

Cada uno de los 6 niveles de la Norma ICREA contempla la auditoría de las siguientes ingenierías:

Instalaciones eléctricas:

Considerando un ambiente de “Tecnologías de la Información” (TI), una instalación eléctrica es aquella que proporcionar energía eléctrica (independiente a otras cargas) a equipos de cómputo y comunicaciones y sus correspondientes equipos de soporte incluyendo todos sus accesorios.

Dentro de los sistemas de una instalación eléctrica se consideran:

  • Los Sistema de puesta a tierra.
  • Acometidas y Alimentadores Eléctricos.
  • Tableros Eléctricos.
  • Grupos electrógenos de Energía de Respaldo (planta de emergencia).
  • Sistemas de energía ininterrumpida (UPS).
Climatización:

Se entiende por instalación de climatización para ambientes de TIC, a aquel sistema CRAC (Computer Room Air Conditioner) que sirva para proporcionar enfriamiento suficiente para controlar la temperatura, la humedad y remover partículas de polvo mediante filtros.

La instalación de los equipos del sistema de climatización debe cumplir con los requisitos y/o especificaciones de los fabricantes de hardware y con los códigos locales aplicables a este tipo de instalaciones.

Instalaciones de Seguridad:

Dentro de un ambiente TIC, se considera una instalación de seguridad a aquellos sistemas e instalaciones que sirven para preservar la integridad física de las personas, información y los equipos que se encuentran dentro del CPD o ambiente TIC, así como sus áreas de equipos de soporte, los principales sistemas de seguridad son:

  • Control de acceso.
  • Detección de fuego.
  • Extinción de fuego.
  • Medios de almacenamiento de datos.
  • Protección de medios de respaldo.
  • CCTV o Sistema de Video Vigilancia.
Comunicaciones:

Las instalaciones de comunicaciones, para un CPD, abarcan toda la infraestructura requerida para la transmisión de señales entre los equipos de TIC (red, servidores y almacenamiento) como:.

  • Cableado Estructurado.
  • Canalizaciones y espacios para comunicaciones.
Ámbito:

Dentro del sistema de ámbito se encuentran los requisitos para las instalaciones de obra civil en un CPD, algunos de ellos son:

  • Techos, puertas y muros con resistencia al fuego.
  • Protección balística.
  • Ubicación del inmueble.
  • Obra Civil.
  • Piso Técnico elevado.
  • Compatibilidad electromagnética (EMC) e Interferencia electromagnética (EMI).
  • Ambiente Industrial.
  • Localización de equipos de TIC.
  • Vibración.
  • Estructura del inmueble.
  • Compartimentación.
  • Sistemas de Iluminación.

Sello Negro (Ciberseguridad):

ICREA otorga este sello a aquellas infraestructuras críticas de un centro de procesamiento de datos (CPD), que adopte controles de ciberseguridad para robustecer su operación y mantener su Confidencialidad, integridad y disponibilidad, derivada de la continua evolución de la tecnología. Tomado como referencia un marco de buenas prácticas de Ciberseguridad, considerando un conjunto de controles, los cuales son acciones priorizadas que colectivamente forman un conjunto de recomendaciones que ayudan a mitigar riesgos ante los ataques más comunes contra sistemas y redes localizados en un CPD. Los controles de Ciberseguridad han sido desarrollados por una comunidad de expertos en TI y se enlistan a continuación:

Control 1: Inventario de dispositivos autorizados y no autorizados.

Control 2: Inventario de software autorizado y no autorizado.

Control 3: Gestión continua de vulnerabilidades.

Control 4: Uso controlado de privilegios administrativos.

Control 5: Configuración segura para hardware y software en dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores.

Control 6: Mantenimiento, monitoreo y análisis de logs de auditoría.

Control 7: Protección de correo electrónico y navegador web.

Control 8: Defensa contra malware.

Control 9: Limitación y control de puertos de red, protocolos y servicios.

Control 10: Capacidad de recuperación de datos.

Control 11: Configuración segura de los equipos de red, tales como cortafuegos, enrutadores, conmutadores.

Control 12: Defensa de borde.

Control 13: Protección de datos.

Control 14: Control de acceso basado en la necesidad de conocer.

Control 15: Control de acceso inalámbrico.

Control 16: Monitoreo y control de cuentas.

Control 17: Implementar un programa de concientización y entrenamiento de seguridad.

Control 18: Seguridad del software de aplicación.

Control 19: Respuesta y manejo de incidentes.

Control 20: Pruebas de penetración y ejercicios de equipo rojo.

Dependiendo del cumplimiento de las cuatro premisas básicas de Ciberseguridad “Detectar”, “Identificar”, “Proteger” y “Responder”, los CPD podrán ser certificados como Grado I, Grado II, Grado III, Grado IV y Grado V.

Sello Azul (Governance & Compliance):

Niveles de madurez en Gobernabilidad: Estará determinado según el NIVEL a certificar y por el grado de cumplimiento y de madurez en la implementación de mejores prácticas internacionales para Gobernabilidad para los CPD.

Los niveles de madurez en la implementación para el sello azul Data Center Governance Compliance son:

Nivel Épsilon (ε): Procesos de mantenimiento de infraestructura definidos y operando.

Nivel Delta (δ): Procesos de operación y mantenimiento de infraestructura definidos y operando.

Nivel Gama (ɣ): Estructura organizacional dedicada a los centros de datos con roles y responsabilidades definidos estándares, políticas, procesos y procedimientos de mantenimiento, operación de infraestructura, control de cambios y seguridad física, definidos y operando.

Nivel Beta (β): Estructura organizacional dedicada a los centros de datos con roles y responsabilidades definidas, estándares, políticas, procesos y procedimientos de mantenimiento, operación de infraestructura, control de cambios y seguridad física, definidos y operando, con controles medibles y efectivos.

Nivel Alpha (α): Estructura organizacional dedicada a los centros de datos con roles y responsabilidades definidas, estándares, políticas, procesos y procedimientos de mantenimiento, operación de infraestructura, control de cambios y seguridad física, instalación de cableados eléctricos y de comunicaciones, definidos y operando, con controles medibles y efectivos y procesos de mejora y optimización.

La Gobernabilidad se refiere a un conjunto de estándares, mejores prácticas, políticas, procesos y procedimientos enfocados a minimizar los riesgos relacionados con cada etapa del ciclo de vida del Data Center, de acuerdo con los siguientes procesos:

  • Gestión de proyectos.
  • Gestión de riesgos.
  • Administración y licenciamiento.
  • Operación del Data Center.
  • Plan de Recuperación en caso de Desastres (DRP).
  • Documentación.
  • Gestión de la disponibilidad y BCP.
  • Pruebas y Comisionamiento.
  • Gestión de CapEx (Capital Expenditures), es el costo de desarrollo o suministro de componentes no consumibles para un inmueble, producto o sistema.
  • Gestión de OpEx (Operational Expenditures), costo permanente para soportar y mantener los dispositivos del CPD.
  • RH, Formación y capacitación.
  • Herramientas y automatización.
  • Cumplimiento corporativo.
  • Sistema de gestión.

Sello Verde (Sustentabilidad):

Para lograr una alta eficiencia sin poner en riesgo la disponibilidad de un CPD o ambiente de tecnología, se deben seguir las recomendaciones establecidas, así como las recomendaciones hechas por organismos que se ocupan de guiar las tecnologías a minimizar las emisiones causadas por el uso de combustibles fósiles para la generación de energía eléctrica.

La sustentabilidad abarca mucho más que la energía eléctrica, abarca también el agua, el exceso de desechos, el uso de recursos forestales y marinos.

La sustentabilidad es lograr que la operación de un ambiente de tecnología se realice con el mínimo de requerimientos de recursos y que ocasione el mínimo de desechos.

ICREA otorga el sello verde a aquel ambiente de tecnología que con conciencia global:

  1. Tenga un PUE (Power Usage Effectiveness) o eficiencia en el uso de energía menor a 1.8 en promedio anual. El PUE es el cociente de la potencia total suministrada a el CPD entre la potencia total consumida por los equipos de TIC.
  2. Implemente tecnologías tendientes a mejorar el uso eficiente de la energía, minimice los residuos y reduzca al máximo el consumo de recursos naturales.
  3. Que cuente con un plan de concientización de sus recursos humanos, así como un plan de mejora continua en el PUE.

¿En qué le podemos ayudar?

En Networks 4it contamos con las certificaciones necesarias, para Diseñar, Construir, Auditar y Certificar su CPD en cumplimiento a las normativas internacionales.

Ponemos a sus órdenes nuestra experiencia en TI, permítanos conocer los requerimientos y necesidades de su organización, para ofrecerle opciones para que tome las mejores decisiones para el desarrollo tecnológico y seguridad de su organización.

Tecnologías de la Información y las Comunicaciones (TIC)