¿Qué certificaciones son importantes para los centros de datos?

La gran mayoría de los datos en Internet se gestionan y almacenan en centros de datos y son imprescindibles tanto para empresas como para particulares. No es casualidad que se consideren el lugar preferido para proteger la información frente a una avería local de hardware y, al mismo tiempo, garantizar su disponibilidad permanente. Para cumplir y garantizar esta exigencia, los proveedores correspondientes deben contar con las certificaciones pertinentes. Estas sirven para posibilitar una disponibilidad sin interrupciones y, en caso de un incidente, garantizar la integridad de los datos. Para ello hay que tener en cuenta distintos niveles, ya que la seguridad de los centros de datos depende de numerosos factores, como la protección frente a intrusiones físicas, la posibilidad de compromisos por ciberataques, fallos de hardware y otros riesgos como incendios, cortes en el suministro eléctrico o la necesidad de una conectividad permanente y redundante con la red global.

¿Qué finalidad tienen las certificaciones para centros de datos?

Quien almacena datos en línea fuera de su propio hardware debe poder confiar en la seguridad de los centros de datos, ya sea que se trate de páginas web, almacenes de datos internos, como la información accesible mundialmente de un Network Attached Storage (NAS) en una red privada virtual (VPN), o plataformas públicas y privadas como repositorios Git o el acceso colectivo a documentos compartidos para consulta o edición. Las certificaciones oficiales sirven para garantizar al usuario la máxima protección frente a la caída de la infraestructura de TI que haya contratado y, en caso de un incidente, reducir el daño al mínimo. Suelen ser emitidas por organismos independientes, como el TÜV, a instancia del operador, o bien son exigidas por ley a partir de cierto volumen de servicios.

A diferencia de los administradores, por ejemplo, de páginas web o de sistemas TI gestionados externamente, los centros de datos deben tener en cuenta además de los ataques digitales escenarios locales y concretos. La gran disipación de calor de hardware como procesadores, unidades GPU y CPU especializadas para aplicaciones como Inteligencia Artificial (IA) o unidades de almacenamiento requiere un control climático fiable y permanente con refrigeración activa; además, todas las canalizaciones deben instalarse, tenderse y estructurarse de forma redundante y ordenada. Los requisitos para un centro de datos son, por tanto, elevados e incluyen numerosos aspectos que requieren personal cualificado y un diseño con múltiples garantías de seguridad. Un esfuerzo particular supone la colocación (colocación), en la que los centros de datos alquilan espacio para hardware ajeno y deben permitir el acceso a dicho hardware a sus propietarios. Las certificaciones para un centro de datos intentan tener en cuenta todos los factores posibles y evaluarlos según criterios objetivos y una referencia universal.

¿Cuáles son los criterios oficiales más importantes en las certificaciones para centros de datos?

Los requisitos para que un centro de datos opere de forma segura son tan elevados como diversos. Deben contemplar distintos niveles y abarcan desde la seguridad del edificio, la redundancia de las conexiones a la red y del suministro eléctrico hasta criterios ecológicos como el uso de energías renovables. Entre los criterios más importantes para las certificaciones según estándares internacionales se encuentran:

• Seguridad física de los centros de datos en condiciones normales y excepcionales
• Autenticación inequívoca de usuarios y empleados, por ejemplo mediante control de acceso biométrico
• Monitorización y control eficiente de la climatización mediante un sistema de ventilación
• Redundancia en infraestructuras críticas como la conexión a la red y el suministro energético
• Procedimientos y flujos de trabajo reglamentados y uniformes
• Protección frente a accidentes como incendios o catástrofes naturales como inundaciones y tormentas
• Garantía de la calidad y de la seguridad de la información según estándares independientes
• Complementos opcionales, por ejemplo en materia de protección de datos, suministro eléctrico ecológico o pagos internacionales

Hasta alrededor de 2020 era práctica habitual que todos estos requisitos se regularan en normas diferentes, para las cuales los organismos de certificación expedían certificaciones individuales. No existía entonces un catálogo general y de obligado cumplimiento que determinara qué estándares debían cumplir concretamente los centros de datos. Esto dio lugar a una situación muy poco clara, en la que las certificaciones en muchos casos se realizaban y/o se publicaban para los clientes exclusivamente de forma voluntaria. Para cambiar esta situación y unificar los requisitos de certificación, la Unión Europea desarrolló un estándar general DIN EN 50600, que entró en vigor en 2019.

¿Qué establecen las certificaciones según la nueva norma DIN EN 50600?

El principal marco normativo dentro de la Unión Europea (UE) que posibilita las certificaciones de centros de datos resistentes a fallos es la DIN EN 50600, denominada "Informationstechnik - Einrichtungen und Infrastrukturen von Rechenzentren", y abarca varios subámbitos. Constituye el primer estándar paneuropeo e interregional que define una norma homogénea y exhaustiva para la operación segura de centros de datos e incluye todos los pasos desde la planificación, la construcción y la ejecución hasta la operación continua. Entre los contenidos de las certificaciones que se van superponiendo figuran, entre otros:

• Planificación teórica y arquitectura básica en nuevas construcciones
• Construcción y disposición del edificio
• Suministro eléctrico adecuado y tolerante a fallos
• Climatización eficiente y suficiente de las salas de servidores
• Conexión a la red redundante y dimensionada para picos de carga
• Gestión profesional y control de los procesos de trabajo
• Seguridad física de los centros de datos para proteger la información
• Prevención frente a accidentes como incendios y catástrofes naturales como tormentas e inundaciones

La DIN EN 50600 pretende reemplazar varias certificaciones y consolidar los requisitos de seguridad en un catálogo unificado. No obstante, se trata en primera instancia de una guía que, siguiendo un sistema modular, establece las premisas relevantes. Para las certificaciones existe un catálogo de pruebas separado, TSI.EN50600, que define de forma individual y detallada todos los criterios para la aprobación. Actualmente está en vigor la versión 2, que entró en vigor en abril de 2020 y que, tras un periodo de transición de tres años, sustituye de forma vinculante a la versión 1 de 2019.

¿Qué otras certificaciones anteriores y adicionales para centros de datos existen?

A lo largo de las últimas décadas, desde la difusión de Internet, se han establecido numerosos estándares distintos para centros de datos, que en parte formulan requisitos generales y en parte se han desarrollado para fines específicos —por ejemplo, la operación en entornos financieros o industriales—. Entre los más importantes se encuentran:

• ISO 27001: Tecnología de la información - Procedimientos de seguridad de TI - Sistemas de gestión de la seguridad de la información - Requisitos
• ISO 9001: Sistemas de gestión de la calidad - Fundamentos y términos
• IT-Grundschutz del Bundesamt für Sicherheit in der Informationstechnik (BSI)
• Estándar de seguridad de datos de la industria de tarjetas de pago (Payment Card Industry Data Security Standard, PCI-DSS)
• Trusted Site Infrastructure (TSI) de TÜV Informationstechnik GmbH
• ISO 14000 y siguientes: Norma internacional sobre gestión ambiental
• Disponibilidad mediante distintas clases Tier

Estas normas y certificaciones se refieren, como por ejemplo la ISO 27001, TSI o el IT-Grundschutz, en algunos casos explícitamente a la moderna tecnología de la información y la comunicación, incluidos los centros de datos. Otras, como la ISO 9001 o la ISO 14000 y siguientes, en cambio son certificaciones que pueden aplicarse a todas las empresas independientemente del sector y que acreditan el cumplimiento de determinados estándares. Un tercer grupo, que incluye por ejemplo PCI-DSS, abarca áreas especialmente críticas para la seguridad, como los pagos a través de canales electrónicos, por ejemplo con tarjetas de crédito. Una tarea importante de la DIN EN 50600, que entró en vigor en 2019, consiste en unificar estas diferentes certificaciones y recopilarlas en una única norma para lograr una mayor transparencia.

¿Quién emite certificaciones para centros de datos?

Conviene subrayar explícitamente respecto a las normas mencionadas arriba que algunas de las instituciones responsables de sus estándares no realizan certificaciones propias que confirmen de forma independiente los requisitos para los centros de datos y su cumplimiento. Esto se aplica especialmente a la Organización Internacional de Normalización (ISO) y al Instituto Alemán de Normalización (DIN), que ambos se limitan a definir estándares y dejan la comprobación a las empresas no afiliadas o a los propios usuarios. Por ello, los grandes centros de datos de operadores internacionales suelen someterse a inspecciones externas por parte de proveedores reputados como el TÜV y así lo indican explícitamente en sus certificaciones. Sin embargo, dado que este proceso conlleva costes significativos y no es obligatorio, otros renuncian a dicha verificación y velan internamente por el cumplimiento de los requisitos establecidos. Una autocertificación de este tipo no es en absoluto infrecuente y también está muy extendida en la industria. El ejemplo más destacado es el marcado CE exigido en la UE para aparatos eléctricos y otros productos, que señala el conocimiento y cumplimiento de determinadas normas por parte del fabricante, pero no implica ninguna verificación.

¿Están los centros de datos legalmente obligados a certificarse?

No existe una norma jurídicamente vinculante que obligue a un centro de datos a someterse, en términos generales, a una determinada verificación. Las certificaciones para los centros de datos con o sin colocación se realizan en principio de forma voluntaria y a solicitud del operador. No obstante, existen limitaciones por las que, por ejemplo, para participar en licitaciones públicas se requieren determinadas certificaciones que guarden relación objetiva con dichas licitaciones. Además, muchas empresas medianas y grandes corporaciones se aseguran, por su propio interés, de que los centros de datos que utilizan sean evaluados y certificados por una entidad independiente. Por tanto, aunque no existe una obligación legal directa para que los centros de datos obtengan sellos o inspecciones concretas, a partir de cierto tamaño hay una fuerte presión comercial para realizarlas y así obtener las certificaciones correspondientes.