SUNAT: Proyecto de centro de datos -Nivel factibilidad -Parte 1

Seguridad de la información (del perfil)

La infraestructura de soporte proporcionada por la tecnología está dada por el centro de cómputo de SUNAT. Es de vital relevancia toda vez que es en este lugar donde se almacenan los datos, es ahí donde se procesan y es el centro que debe estar siempre disponible para asegurar la continuidad operativa de los servicios de información, y con ello la permanente atención a los usuarios –o con el mínimo de interrupción al año.

Es evidente entonces que las características de este centro de cómputo y sus necesidades de mantenimiento deberán ser más exigentes y aún más especializadas para apoyar los requerimientos crecientes de escalabilidad, procesamiento y disponibilidad antes descritos.

Según la Telecommunications Industry Association (TIA), un Centro de Datos es “Un edificio o porción de un edificio cuya función principal es albergar un cuarto de cómputo y sus áreas de soporte”.

La Unión Europea agrega a lo anterior: “especialmente construido”.

En otras palabras, un Centro de Datos es una edificación especialmente diseñada, construida y acondicionada con el objetivo específico y único de albergar servidores y sus áreas de soporte –léase servicios- especializadas sin las cuales estos servidores no podrían operar.

En este contexto, los factores clave para un Centro de Datos son, como mínimo, los siguientes:

  • Mínima presencia humana en sitio (gracias a un alto grado de automatización)
  • Gestión especializada (remota)
  • Soporte especializado (remoto)
  • Servicios especializados (locales)
  • Seguridad de la información afianzada en los pilares de disponibilidad, integridad y confidencialidad
  • Operación sin interrupciones las 24 horas del día, los 7 días de la semana, los 365 días del año
  • Flexibilidad y modularidad para su escalabilidad (proyección de crecimiento con un mínimo de modificación a la edificación)
  • Áreas técnicas de soporte dedicadas (entre otras, pero no limitadas a, salas de generadores, salas de UPS, tableros eléctricos, transformación de energía, tableros de transferencia, salas de climatización, sala de telecomunicaciones para operadores, sala de switching para el cableado de datos)
  • Sistemas de protección, tanto preventivos (entre otros, pero no limitados a, sensores de humo y de calor) como de actuación (entre otros, pero no limitados a, contra incendio, contra inundaciones)
  • Espacios especializados (entre otros, pero no limitados a, sala blanca –que alberga los servidores, desembarque, instalación, laboratorio, sala de crisis, sala para almacenamiento de la información respaldada o cintoteca, almacenamiento de combustible, recepción, mantenimiento, monitoreo de la infraestructura)
  • El diseño de la edificación para atender la necesidad y orientado a satisfacer una determinada calidad de servicio y un determinado grado de disponibilidad. De esto depende que la edificación pueda ser compartida o de uso exclusivo.

La seguridad de la información sigue el modelo indicado en la PPT, donde puede apreciarse que la información puede tomar diferentes estados, así como puede existir en diferentes formas. Puede estar impresa o escrita en papel, almacenada electrónicamente, transmitida por un medio electrónico, presentada en imágenes, o expuesta en una conversación. Cualquiera sea la forma que adquiere la información, o los medios por los cuales se procesa, distribuye o almacena, siempre debe ser protegida en forma adecuada. Por ello se deben tomar una serie de medidas de seguridad o salvaguardas, como se muestra.

Todo esto tiene como meta la seguridad de la información desde sus perspectivas de disponibilidad (cuándo y cómo la necesito), integridad (la que debe ser) y confidencialidad (la ‑personal‑ que me corresponde). Es decir, lograr lo que se muestra en la figura siguiente, considerando que junto con la tecnología juega un rol importante de la organización, dentro del marco normativo y legal.

Para apoyar la seguridad de la tecnología que se emplea resulta necesario considerar estándares internacionales como el ISO/IEC 27002:2013 y el cumplimiento de normas técnicas peruanas como la NTP ISO/IEC 17799:2007, referidas a los controles que serán necesarios implementar en cuanto a seguridad de la información. Esto se muestra gráficamente en la siguiente figura, donde se hace evidente el enfoque en la Seguridad física y ambiental (relacionada directamente con la edificación y construcción del Centro de Datos) y los Aspectos de la seguridad de la información en la gestión de la continuidad del negocio (siendo el aspecto más importante la disponibilidad requerida del Centro de Datos).

0 Replies to “SUNAT: Proyecto de centro de datos -Nivel factibilidad -Parte 1”