ÍNDICE
Auditoría de centros de procesamiento de datos. Parte 1: Seguridad física
Auditoría de centros de procesamiento de datos. Parte 2: Seguridad lógica
Auditoría de centros de procesamiento de datos. Parte 3: Aspectos contractuales y de gestión energética
Buenas,
Tercera y última entrega. Hoy hablaremos, un poco más brevemente, de dos aspectos adicionales que pueden ser sujeto de un proceso de auditoría de un CPD. Especialmente importantes los asuntos contractuales, que a la larga siempre están presentes en un proceso de compra de tecnología o en la prestación de servicios de mantenimiento, y que adquieren especial relevancia en operaciones de externalización, habida cuenta de que en este tipo de operativas es posible abandonar el modelo de propiedad por el modelo de uso de recursos, con lo que se pierde control sobre la adquisición de equipos y sobre los contratos que giran a su alrededor.
También, dependiendo de la legislación y según el estilo de gestión de la organización, los preceptos de gestión energética pueden tener valor especial, ya sea por alineamiento con política interna o sistemas de gestión medioambiental, o incluso por la fiscalidad ventajosa que en muchas jurisdicciones tiene la explotación energética eficiente de CPDs. Y evidentemente, por el impacto positivo que siempre acarrea la gestión eficiente en la cuenta de resultados.
Aspectos contractuales
No existen pócimas mágicas en este apartado y tampoco pretende este ser un artículo donde se expliquen todas y cada una de las posibilidades existentes. Hay infinidad de maneras de afrontar esta tarea, pero en todas ellas se trata de hacer lo mismo: obtener cierto nivel de confianza en los acuerdos contractuales necesarios para operar el CPD sin que resultenn lesivos para los intereses de la organización.
A mí me ha ido bien recomendando que se establezca en el flujo del proceso de compras tantos puntos de control como áreas queramos que participen en el proceso y asesoren adecuadamente al comprador. En este caso, los departamentos de Seguridad y Gobierno deberían participar en las compras para poder suministrar a los decisores información valiosa sobre lo que se va a comprar desde el punto de vista de la seguridad, el gobierno y el cumplimiento.
El ejemplo típico que se puede presenciar estos días es la contratación de servicios en la nube. Imaginemos que la organización «A» ha decidido que, por cuestiones de rentabilidad, le es mucho más favorable sacar el proceso de nóminas de la organización, algo además relativamente frecuente en grandes organizaciones y que ha sido acelerado con la disponibilidad de servicios SAP, Oracle y similares que pueden contratarse en un modelo as a service. En este caso el negocio suele quedarse en la siguiente valoración: comparar el coste total de explotación resultante de mantener el servicio en propiedad frente al coste de la externalización de la infraestructura y el software. En paralelo se le suele echar un vistazo a los SLAs (es decir, si la cosa va mal, qué repercusión tiene esto sobre mi disponibilidad, cuánto tiempo se puede quedar el servicio sin operación, etc.), los modelos de soporte y eventualmente, se puede tirar de un Dun & Bradstreet o similar para ver qué proyección económica tiene el proveedor cara al futuro. Rara vez se va más allá, a no ser que otras áreas participen en el proceso.
Como podéis imaginar, la intervención de un departamento de Seguridad puede alertar al negocio de muchas cosas que van más allá de los costes y los SLAs primarios, lo cual puede servir para que los compradores adquieran un servicio en mejores condiciones globales, no sólo económicas. Así por ejemplo:
– Se pueden evaluar los riesgos de externalizar un proceso que contiene información con cierto nivel de criticidad y sensibilidad
– Se puede evaluar a priori la seguridad solicitando evidencias sobre cómo se gestiona por parte del proveedor de servicios
– Se puede sugerir la inclusión de cláusulas de auditabilidad
– Se pueden advertir problemas potenciales de conflicto de interés por la ausencia de controles de segregación en la solución a contratar
Aunque este es sin duda objecto de una labor de auditoría con mucho más alcance -como por ejemplo la auditoría de un proceso de compras- es recomendable, al menos, indagar en los mínimos y tener una idea clara de cómo se gestionan los contratos en un CPD, haciendo especial hincapié en niveles de servicio, condiciones, garantías y seguridad del proveedor. A grosso modo, algunas de las áreas que suelen encerrar sorpresas son:
– Los servicios de mantenimiento de terceros, y concretamente, los niveles de servicio y condiciones de reposición de materiales y traslado de técnicos en caso de incidencias
– Las condiciones para que el proveedor establezca distintos niveles de criticidad en eventos de disrupción operacional así como los tiempos de respuesta resultantes. Ojo a los eventos de seguridad
– La ausencia de cláusulas de auditabilidad en los procesos de externalización, lo que impide realizar verificaciones de seguridad y auditoría en caso de contratarse
– La declinación de responsabilidad del proveedor en caso de que exista un incidente de seguridad en la infraestructura y el software que mantiene para nosotros
– Políticas de gestión de cambios que no se acomoden a nuestras necesidades (especiamente, instalación de parches y actualizaciones)
– La ausencia o deficiencia de las operaciones de seguridad en el servicio: cortafuegos, IDS e IPS, SIEM, etc.
– La ausencia o deficiencia de mecanismos de continuidad de servicios, locales y remotos.
Son tan sólo algunos ejemplos. Conviene dedicar tiempo a ver este tema con profundiad, y articular, en cooperación con el área Legal, las cláusulas mínimas que deben ser incorporadas.
Gestión energética
En el área de gestión energética el objetivo principal que se persigue es combinar el ahorro con la aplicación de medidas favorables con el medio ambiente. Es frecuente encontrar en la literatura referencias a dos conceptos: Power Usage Effectiveness (PUE) y Data Center Efficiency (DCE) como indicadores de gestión energécitca en un CPD.
Matemáticamente son conceptos muy sencillos de obtener: PUE equivale a la relación entre la carga energética total del CPD respecto a la carga total necesaria para alimentar los equipos de TI, con lo que se calcula dividiendo ambos. DCE es el resultado, en porcentaje, de la operación inversa, es decir, qué porcentaje de energía es necesario para alimentar el equipamiento TI respecto al total de las instalaciones.
Así, por ejemplo, si la potencia necesaria para la alimentación de equipamiento de TI es de 10 KW y la potencia total del CPD es de 12 KW, tendremos que el PUE es de 1.2, mientras que el DCE será del 83%, lo que implica que estamos en un CPD muy eficiente. Si la carga TI es de 10 KW y la potencia total del CPD es de 35 KW, el PUE se dispara a 3.5 mientras que el DCE se reduce al 29%, lo que implica que estamos ante un CPD muy ineficiente, en el que gran parte de la energía no se destina a la tarea fundamental de un CPD, que es el alojamiento y operación de tecnología.
Orientativamente, suelen considerarse como válidos los siguientes valores y calificaciones energéticas:
– PUE 3.0 y DCE del 33%: Centro muy ineficiente
– PUE 2.5 y DCE del 40%: Centro ineficiente
– PUE 2.0 y DCE 50%: Centro intermedio
– PUE 1.5 y DCE 67%: Centro eficiente
– PUE 1.2 y DCE 83%: Centro muy eficiente
A la vista de estas definiciones, la ecuación es clara: cuanto menor es el PUE, más ahorramos. Y esto no es porque lo diga yo: menor PUE significa que el gasto energético en lo que no es alimentación TI -en igualdad de carga de equipamiento- es menor, con lo que la factura energética es también menor.
Como podéis imaginar, el grueso de la energía no estrictamente dedicada a los elementos de TI es principalmente la refrigeración, y por tanto, es el factor que casi siempre hace que el PUE suba o baje. Es fundamental por tanto tener un control muy estricto sobre las condiciones de refrigeración y concretamente, sobre los flujos de aire. Esta disciplina se puede complicar todo lo que se quiera y más, y es muy recomendable documentarse al respecto para averiguar la contidad de parámetros que pueden afectar a la circulación de aire dentro de un CPD. Creedme que es una disciplina compleja, y que existen empresas especializadas en este tipo de optimización.
Otro aspecto a tener en cuenta es determinar cuáles son los umbrales de refrigeración que se hayan definido: más de una ve he entrado en un CPD que en vez de un centro de proceso parecía una cámara de congelación de Pescanova, con el consiguiente despilfarro energético. Entre el frío polar y el calor sahariano siempre hay un término medio en el que la operación no queda comprometida, y cada vez se prefieren más las localizaciones donde se puede aprovechar la baja temperatura ambiente y la presencia de agua cercana para reducir el uso de acondicionadores de aire.
Por último conviene recordar que lograr la eficiencia energética en un CPD no es sólo problema del dueño del CPD. Igual que es nuestra obligación como propietarios la de interesarnos por lograr la eficiencia, por los motivos descritos, es tambien nuestra obligación conducir a los proveedores en esa dirección.
Un saludo, y hasta la próxima ;)
Enhorabuena por la trilogía de artículos, los he leído con devoción ya que me encanta este aspecto de la Informática y la Ingeniería y te han quedado realmente genial, un saludo!
Con el objeto de ampliar referencias a interesados en Eficiencia Energética para DC aportar la referencia al código europeo de EE:
http://ec.europa.eu/information_society/activities/sustainable_growth/docs/datacenter_code-conduct.pdf
Junto a todos los documentos de interés relacionados y que se mencionan:
http://www.daxten.com/de/download/EU%20Code%20of%20Conduct%20for%20Data%20Centres_Introductory_Guide.pdf
Para alegría del sector ya existen cursos con certificaciones profesionales además de certificados de Centros de Datos y reconocidas a nivel europeo e internacional y que tratan en detalle los aspectos repasados en estos 3 interesantes artículos y de gran utilidad.