Seguridad FISICA Y LOGICA en sistemas informáticos

Seguridad Física Ambiental Centro de Proceso de Datos

Centro de Proceso de
Datos
1. CPD o Centro de Cálculo ......................................................................................... 2
2. Requisitos de un CPD............................................................................................... 3
1. Asociados a su Ubicación..................................................................................... 3
2. Construcción del Edificio ..................................................................................... 4
3. Condiciones Ambientales y Climatización .......................................................... 5
4. Infraestructura y Suministro Eléctrico.................................................................. 7
5. CPD de Respaldo.................................................................................................. 8
3. Seguridad .................................................................................................................. 8
1. Control de Acceso ................................................................................................ 9
2. Seguridad Lógica.................................................................................................. 9
4. Normativa que Debe Cumplir el CPD.................................................................... 10
1. Recursos a proteger según la LOPD................................................................... 10
2. Normativa que debe cumplir el CPD.................................................................. 11
5. RACKS................................................................................................................... 11
1. Usos .................................................................................................................... 12
6. Recuperación en Caso de Desastre......................................................................... 12

SMR: Seguridad Informática 1

Seguridad FISICA Y LOGICA en sistemas informáticos
Seguridad Física Ambiental Centro de Proceso de Datos

1. CPD o Centro de Cálculo

Es un departamento específico dentro del esquema orgánico de la empresa, que alberga
el núcleo del sistema (recursos físicos, lógicos y humanos) y cuya ubicación tiene unas
características especiales.

Un CPD (centro de proceso de datos) o Centro de cálculo consiste en uno o varios

locales, una planta o un edificio completo que alberga el sistema principal de redes,
ordenadores y recursos asociados para procesar toda la información de una empresa u
organismo.

Cada sistema informático es único. En la

imagen vemos un CPD de una organización
grande, pero en pequeñas organizaciones, el
CPD podría estar compuesto solo por uno de
estos módulos o simplemente un servidor.
Cuando hablemos del plan de seguridad física no
podemos pensar que existe un plan de
seguridad general aplicable a cualquier tipo de
instalación.

SMR: Seguridad Informática 2

Seguridad FISICA Y LOGICA en sistemas informáticos
Seguridad Física Ambiental Centro de Proceso de Datos

El objetivo principal de un CPD es

proteger la integridad, confidencialidad
y disponibilidad de la información. En
este cometido velarán por lo dispuesto en
la LOPD (Ley Orgánica de Protección de
Datos de carácter personal), publicada en
1999, y por la Agencia de Protección de
Datos.

El CPD contará con medidas de seguridad

física adicionales.

2. Requisitos de un CPD

1. Asociados a su Ubicación

Siempre que podamos para instalar un CPD, tendremos en cuenta que:

- Está lejos de líneas de ferrocarril en las que se producirán vibraciones e

interferencias electromagnéticas.

- Fuera de zonas donde se produzcan frecuentemente actos públicos masivos.

- No poseer ningún elemento externo que lo identifique con un CPD.

- Deben evitarse áreas con fuentes de interferencia de radiofrecuencia, tales como

transmisores de radio y estaciones de TV.

- El CPD no debe estar contiguo a maquinaria pesada o almacenes con gas inflamable
o nocivo.

SMR: Seguridad Informática 3

Seguridad FISICA Y LOGICA en sistemas informáticos
Seguridad Física Ambiental Centro de Proceso de Datos

- El espacio deberá estar protegido ante entornos peligrosos, especialmente

inundaciones. P.e: No estar situado en subterráneos, ni en lugares propensos a
riadas. Se buscará descartar:

o Zonas cercanas a paredes exteriores, planta baja o salas de espera, ya que son
más propensas al vandalismo o los sabotajes.

o Sótanos, que pueden dar problemas de inundaciones debido a cañerías

principales, sumideros o depósitos de agua.

o Última planta, evitando desastres aéreos, etc.

o Encima de garajes de vehículos de motor, donde el fuego se puede originar y

extender más fácilmente.

Según esto, la ubicación más conveniente se sitúa en las plantas intermedias de un

edificio o en ubicaciones centrales en entornos empresariales.

Aunque es un tema complejo y muy técnico, es crucial la selección de una buena

ubicación para el CPD que minimice en el diseño los máximos riesgos posibles. A este
respecto existen ya algunas normativas de construcción para garantizar que se tienen
en consideración todos los aspectos importantes y lograr así el mejor alojamiento para
los sistemas de información de una organización.

Este estándar que en sus orígenes se basa en una serie de especificaciones para
comunicaciones y cableado estructurado, avanza sobre los subsistemas de
infraestructura proporcionando los criterios que se deben seguir para clasificar estos
subsistemas en función de los distintos grados de disponibilidad que se pretende
alcanzar. Los requisitos que este tipo de normas establecen afectan a:

- Estructura
- Ubicación
- Acceso
- Protección contra
incendios
- Equipos
- Redundancia

Existe una norma que

puede ser considerada
de referencia y se
denomina ANSI\TIA-
942.

2. Construcción del Edificio

SMR: Seguridad Informática 4

Seguridad FISICA Y LOGICA en sistemas informáticos
Seguridad Física Ambiental Centro de Proceso de Datos

- Deberá ser de materiales no

inflamables ni penetrables.

- Sin grandes ventanales y con

determinadas salas sin ventanas al
exterior (por privacidad y seguridad).

- Los suelos deberán tener una

resistencia de carga mínima de unos
2.000 kg/m2.

- Los ladrillos de los tabiques deberán

tener una resistencia al fuego de al
menos 120 minutos.

- Los grandes servidores suelen

concentrarse en una sala llamada sala
técnica, sala fría, nevera o pecera.

- Las salas no deberán situarse ni por encima ni por debajo de elementos de riesgo
(cañerías, bajantes, etc.)

- Las salas técnicas tendrán una altura de 2,5 m y dispondrán de falsos suelos y techos
(también llamados técnicos) de una altura recomendada de 40 cm de material
ignífugo con desniveles para desagües, detectores de humedad e incendios, etc.

- Las vías de acceso (pasillos, puertas, ascensores,...) a las salas tendrán unas
dimensiones determinadas. Además contarán con sistemas de control de acceso.

- Las condiciones de iluminación serán adecuadas y se dispondrá de protección contra

ruidos (máximo 70 dB).

Los muebles no han de ser combustibles y se contará con accesos de emergencia.

3. Condiciones Ambientales y Climatización

Las condiciones ambientales (temperatura, humedad, etc…) tienen un papel importante

en funcionamiento y mantenimiento del CPD.

Los niveles recomendables son:

- Temperatura: 18º – 22º C a un metro del suelo.
- Humedad relativa: 40% - 60% a un metro del suelo.
- Limpieza del aire: Se exige el filtrado del aire para la realización de cualquier
obra en la sala.

Los equipos de un centro de proceso de datos disipan mucha energía calorífica y hay
que refrigerarlos adecuadamente para mantener las condiciones interiores de
temperatura y humedad estables, ya que altas temperaturas podrían dañar estos equipos.

SMR: Seguridad Informática 5

Seguridad FISICA Y LOGICA en sistemas informáticos
Seguridad Física Ambiental Centro de Proceso de Datos

La decisión sobre qué sistemas de climatización han de instalarse depende de las

características de cada CPD, pero hay un hecho que siempre ha de tenerse en cuenta: no
se trata de c1imatizar el cuarto sino de refrigerar el equipo. Por ello debemos situar el
servidor o rack a la altura adecuada para que le alcance la circulación de aire, y de modo
que el aire frío de la máquina se dirija a la parte del equipo que absorbe aire, no a la que
la expulsa.

Podemos, por ejemplo, utilizar un

ventilador que expulsa el aire caliente al
exterior para refrigerar un servidor. Se
trata de una opción bastante económica
en la que debes tener en cuenta que haya
recirculación del aire, es decir, que el
aire debe atravesar el servidor.

Para un CPD que tenga varios racks,

podemos optar por el uso de equipos
murales o equipos de techo. En la
figura también se ha instalado un
secuenciador en una zona de
temperatura característica. Este
secuenciador proporciona un sistema de
seguridad adicional, ya que alterna el
uso de cada uno de los splits instalados,
y, en caso de que suba la temperatura,
ambos equipos se pondrán en
funcionamiento para enfriar el CPD.

Teniendo en cuenta que los aparatos de aire acondicionado son causa potencial de
incendios e inundaciones, es recomendable instalar redes de protección en todo el
sistema de cañería al interior y al exterior, detectores y extintores de incendio,
monitores y alarmas efectivas.

SMR: Seguridad Informática 6

Seguridad FISICA Y LOGICA en sistemas informáticos
Seguridad Física Ambiental Centro de Proceso de Datos

En las salas frías de los centros de cálculo,

la temperatura debe estar pensada para
ellos, es decir, para los servidores y otros
equipos informáticos y electrónicos de alto
nivel que allí se alojan, y no para las
personas.

La sala fría debe estar completamente

aislada de contaminación por polvo y
partículas.

Normalmente, el
acceso de personas es
muy limitado y según
algunos reglamentos
tienen obligación de
ponerse batas, gorros y
zapatillas
reglamentarias para no
traspasar al aire fibras
de la ropa ni cabellos.

4. Infraestructura y Suministro Eléctrico

El CPD contará con soluciones redundantes para el suministro eléctrico, como

sistemas de suministro paralelos o el uso de SAIs.

Dos o más acometidas de red eléctrica de compañías proveedoras diferentes, para evitar
que un apagón producido en una de ellas pueda comprometer la seguridad de los
equipos electrónicos e informáticos si el tiempo de desconexión eléctrica superase la
capacidad de los sistemas de alimentación ininterrumpida y de los grupos electrógenos.

También se debe contar con una línea de corriente independiente para las áreas más
críticas del CPD, de modo que no se produzcan interferencias por el uso de la corriente
en otros locales.

Detección y extinción de fuego. Los sistemas contra incendios son otro de los factores
clave en un CPD. Es habitual utilizar dos tipos:

- Sistema de detección, como el sistema de detección precoz, que realiza análisis

continuos del aire, de modo que puede observar un cambio de composición en el
mismo, detectando un incendio incluso antes de que se produzca el fuego y
activando el sistema de desplazamiento de oxígeno.

SMR: Seguridad Informática 7

Seguridad FISICA Y LOGICA en sistemas informáticos
Seguridad Física Ambiental Centro de Proceso de Datos

- Sistema de desplazamiento de oxígeno. Este tipo de sistemas reduce la

concentración de oxígeno, extinguiendo así el fuego, de modo que no se utiliza
agua, que puede dañar los equipos electrónicos. Dado que se produce un
desplazamiento de oxígeno, es muy importante que el personal humano siga las
normas de evacuación de la ubicación, ya que su activación podría perjudicar su
integridad física.

Son importantes también los siguientes aspectos:

- Cableados y tomas de tierra:
• Los cuadros y la toma eléctrica y de tierra irán dentro de la sala.
• Se proporcionará una holgura en la longitud del cableado.
• Doble cableado de fibra óptica

- Sistemas de contingencia (emergencia):

• Tendrán una autonomía mínima de 15 minutos a plena potencia
• Deberán poder mantener todo el equipo de la sala y las comunicaciones.
• Las oscilaciones máximas de la tensión nominal serán de 1 –10%, con
filtrado de picos de tensión

- Dos o más proveedores de servicios de Internet.

5. CPD de Respaldo

Son centros pensados para evitar pérdida de información o disponibilidad en caso de

que ocurra alguna incidencia grave en el CPD principal.

El diseño es similar a un CPD normal, pero con algunas consideraciones más:

- Debe localizarse en una localización diferente del principal (al menos a 20 – 40

km) para que no se vean ambos afectados por la misma incidencia.

- El hardware ha de ser compatible con el del principal, aunque no

necesariamente igual. Si es igual, la sala técnica se denomina sala blanca, si no
se llama sala de backup.

- El software ha de ser exactamente igual (misma versión, mismos parches) que

el del CPD principal.

- Se debe contar con una réplica de los datos del CPD principal. Aquí entran en
juego las técnicas de sincronización de datos.

3. Seguridad

SMR: Seguridad Informática 8

Seguridad FISICA Y LOGICA en sistemas informáticos
Seguridad Física Ambiental Centro de Proceso de Datos

1. Control de Acceso

El control de acceso no sólo requiere la capacidad de identificación, sino también

asociarla a la apertura o cierre de puertas, permitir o negar acceso basado en
restricciones de tiempo,…

Es necesario un férreo control de acceso al CPD. Dependiendo del tipo de instalación

y de la inversión económica que se realice se dispondrá de distintos sistemas de
seguridad, como los siguientes:

- Servicio de Vigilancia: El acceso es controlado por personal de seguridad

(guardias) que comprueban la identificación de todo aquel que quiera acceder a
una ubicación. En general, suele utilizarse en el control de acceso al edificio o al
emplazamiento y se complementa con otros sistemas en el acceso directo al
CPD.

- Detectores de metales y escáneres de control de pertenencias, que permiten

revisar a las personas, evitando su acceso a las instalaciones con instrumentos
potencialmente peligrosos o armas.

- Utilización de sistemas biométricos, basados en identificar características

únicas de las personas cuyo acceso esté autorizado, como sus huellas
digitalizadas o su iris.

- Protección electrónica, basada en el uso de sensores conectados a centrales de

alarma que reaccionan ante la emisión de distintas señales. Cuando un sensor
detecta un riesgo, informa a la central que procesa la información y responde
según proceda, por ejemplo emitiendo señales sonoras que alerten de la
situación.

- Sistemas electrónicos de acceso como teclados básicos que abren la puerta si

se introduce la contraseña correcta, que sería común a todos los usuarios,
teclados más avanzados que pueden configurarse con contraseñas
personalizadas para cada usuario, tarjetas de proximidad o banda magnética,
llaves electrónicas de contacto (ibutton o pastilla electrónica).

2. Seguridad Lógica

Consiste en aplicar barreras y procedimientos que resguarden el acceso a los datos y

sólo permita acceder a ellos a las personas autorizadas.

Los objetivos que plantea son los siguientes:

SMR: Seguridad Informática 9

Seguridad FISICA Y LOGICA en sistemas informáticos
Seguridad Física Ambiental Centro de Proceso de Datos

- Restringir el acceso al sistema y, dentro de éste, a programas y archivos, a los

usuarios autorizados.

- Evitar que los usuarios puedan realizar modificaciones en el sistema que no

correspondan a su rol. De esta manera no necesitarán una supervisión exhaustiva.

- Evitar la incorporación en el sistema de software malicioso que pueda perjudicar

la integridad o confidencialidad.

- Controlar que la información que se transmita sea recibida solamente por el

destinatario correcto.

- Controlar que el emisor de las transmisiones recibidas sea quien dice ser.

- Comprobar que la información que se reciba sea la misma que la que haya
transmitido el emisor.

- Evitar en la medida de lo posible la pérdida de datos y ser capaz de recuperarlos

con el menor impacto posible.

- Evitar que el algún servicio proporcionado por el sistema deje de estar disponible
a los usuarios temporal o permanentemente.

4. Normativa que Debe Cumplir el CPD

La Ley Orgánica de Protección de Datos establece una serie de medidas que garantizan
la seguridad de los datos de carácter personal.

La ley identifica tres niveles de medidas de seguridad, básico, medio y alto, los cuales
deberán ser adoptados en función de los distintos tipos de datos personales:
– Nivel Básico: Nombre, apellidos, direcciones (físicas y electrónicas), teléfono,
…
– Nivel Medio: Comisiones de infracciones penales y administrativas, hacienda
pública, servicios financieros.
– Nivel Alto: Ideología, religión, creencias, origen racial, salud, vida.

1. Recursos a proteger según la LOPD

Locales de tratamiento y almacenamiento de datos: aquellas ubicaciones en donde se

albergan los servidores, equipos informáticos, soportes, etc. Que contienen los datos.

Locales y equipos informáticos que soportan procesos críticos: locales donde se

encuentren situados equipos informáticos que soporten determinados procesos, cuya

SMR: Seguridad Informática 10

Seguridad FISICA Y LOGICA en sistemas informáticos
Seguridad Física Ambiental Centro de Proceso de Datos

interrupción accidental pueda provocar la alteración o pérdida de los datos o

documentos administrativos.

2. Normativa que debe cumplir el CPD

Niveles de disponibilidad según el estándar TIA-942. La disponibilidad es la

probabilidad de que el sistema sea accesible para su utilización. Establece cuatro niveles
de disponibilidad:

- TIER I: Tasa de disponibilidad máxima del 99.671%. Tiempo de parada del CPD a
lo largo de un año: 29 horas como máximo.

- TIER II: Tasa de disponibilidad máxima del 99.749%. Tiempo de parada del CPD a
lo largo de un año: 22 horas como máximo.

- TIER III: Tasa de disponibilidad máxima del 99.982%. Tiempo de parada del CPD
a lo largo de un año: 1,5 horas como máximo.

- TIER IV: Tasa de disponibilidad máxima del 99.995%. Tiempo de parada del CPD
a lo largo de un año: 26 minutos como máximo.

Estos tiempos de disponibilidad tan altos se consiguen teniendo suficientes elementos

redundantes, incluyendo líneas de distribución, como para poder utilizar los auxiliares
durante los mantenimientos.

5. RACKS

Un rack, bastidor o cabinet es un armario de metal que soporta equipos electrónicos,

informáticos y de comunicaciones.

Permiten configuraciones hardware complejas sin ocupar excesivo espacio, por lo

que es muy útil para los centros de datos.

El armazón cuenta con guías

horizontales donde puede
apoyarse el equipamiento, así
como puntos de anclaje para
los tornillos que fijan dicho
equipamiento al armazón. En
este sentido, un rack es muy
parecido a una simple
estantería.

SMR: Seguridad Informática 11

Seguridad FISICA Y LOGICA en sistemas informáticos
Seguridad Física Ambiental Centro de Proceso de Datos

El equipamiento simplemente se desliza sobre el rail horizontal. También existen

bandejas que permiten apoyar equipamiento no normalizado como por ejemplo, un
monitor o un teclado.

1. Usos

Los racks son muy útiles en un centro de proceso de datos, donde el espacio es escaso y
se necesita alojar un gran número de dispositivos. Estos dispositivos suelen ser:
- Servidores cuya carcasa ha sido diseñada para adaptarse al bastidor.
- Switches y routers de comunicaciones.
- Paneles de parcheo, que centralizan todo el cableado de la planta.
- Cortafuegos.
- Sistemas de audio y vídeo.

Si bien su uso es extensivo en los CPD,

también se utilizan en cualquier empresa o
sistema de cableado estructurado para
centralizar la administración del cableado
horizontal y/o vertical.

Los rack tienen una barras laterales con

varios “agujeros” o troqueles en los que se
ajustan los distintos dispositivos que se
instalan en el rack.

6. Recuperación en Caso de Desastre

El objetivo debe ser siempre evitar daños en el CPD, pero hay que ser realistas y tener
preparado un plan de contingencia que debe ponerse en marcha en caso de desastre.

Una opción que ha de tenerse en cuenta es tener un centro de backup independiente, de

modo que aunque los equipos del CPD queden fuera de servicio por una avería muy
grave la organización podrá seguir realizando su actividad con cierta normalidad.
Dentro de los planes de contingencia debemos tener en cuenta la realización de
sistemas redundantes, como los sistemas RAID y el uso de copias de seguridad.

SMR: Seguridad Informática 12

Seguridad FISICA Y LOGICA en sistemas informáticos
Seguridad Física Ambiental Centro de Proceso de Datos

En caso de que se produzca un desastre, el primer paso es que se reúna el comité de

crisis para evaluar los daños. Si se decide poner en marcha el plan de contingencia, es
importante que los trabajos comiencen por recuperar las bases de datos y ficheros
esenciales, así como desviar las comunicaciones más críticas al centro alternativo, desde
donde se comenzará a operar en las áreas que sean prioritarias, ya que de no hacerlo las
consecuencias podrían ser desastrosas.

SMR: Seguridad Informática 13

Seguridad FISICA Y LOGICA en sistemas informáticos
Seguridad Física Ambiental Centro de Proceso de Datos

Visión general de un CPD

SMR: Seguridad Informática 14