Comparativa de hosting certificado ISO

por Christopher Prüfer Experto en alojamiento web

Por qué puedes confiar en hosttest

Desde 2006

activo

6.181

Reseñas de clientes

13.179

Ofertas comparadas

> 400

Proveedores

Nuestra metodología de pruebas Sobre nosotros

Certificaciones ISO en centros de datos: ¿qué hay detrás y qué importancia tienen?

La concienciación sobre el creciente peligro de ataques dirigidos a la infraestructura electrónica, incluso en países neutrales, se ha intensificado, no al menos por la guerra de agresión de Rusia contra Ucrania. Sin embargo, al mismo tiempo se han identificado nuevas vulnerabilidades y riesgos que en parte ni siquiera cumplen la certificación mínima según una norma ISO —por ejemplo, porque no existen controles de acceso efectivos que impidan la entrada de terceros a una sala de servidores. Por ello, es necesario, en su propio interés, prestar atención al centro de datos y al cumplimiento de las normas más importantes a la hora de elegir uno.

¿Qué normas ISO son relevantes para un centro de datos?

Para un centro de datos y el hosting web se aplican tres directrices europeas distintas:

• ISO 27001 como estándar de seguridad en infraestructuras TI
• ISO 22237 o, en su equivalente internacional EN 50600, que regulan un centro de datos
• ISO 50001, que únicamente garantiza la fiabilidad del suministro energético

La norma general para la seguridad de los datos en instalaciones de tratamiento de datos, así como en la infraestructura TI, se recoge en la norma ISO 27001 de la UE como "Norma para sistemas de gestión de la seguridad de la información". No obstante, esta disposición se ocupa principalmente de aspectos técnicos como el cifrado de datos sensibles y define, como norma ISO, un estándar de seguridad general que los actores comerciales en Internet deben cumplir para obtener una certificación como participante empresarial. Aun así, muchos proveedores de hosting presumen de estos certificados, aunque en la práctica representan un requisito mínimo básico.

Específicamente orientada a centros de datos está la mucho menos conocida ISO 22237 o su contraparte internacional EN 50600. Se divide en varios ámbitos e incluye, entre otras cosas, un estándar de seguridad vinculante para los conceptos de seguridad, la fiabilidad del suministro eléctrico, el control climático y la conectividad redundante a pasarelas IT internacionales, así como otras medidas como la protección del recinto y el control de accesos. La clasificación se realiza en cuatro categorías, desde la clase de disponibilidad 1 sin estructuras redundantes hasta la 4 con tolerancia a fallos y múltiples opciones de suministro independientes.

En ocasiones, los proveedores de hosting también mencionan la certificación ISO 50001, que sin embargo solo describe la estructura y el diseño de la red energética y no aporta una información relevante sobre la seguridad y la fiabilidad de un centro de datos ni del hosting web ofrecido.

¿Quién es responsable de la certificación de un centro de datos?

La verificación y el cumplimiento de las normas establecidas son hasta ahora no obligatorios y dependen del criterio voluntario de la empresa. La situación es aún más problemática porque, al igual que ocurre con ciertas normas de protección industrial —por ejemplo IP6X contra la entrada de humedad en dispositivos electrónicos— no se exige una inspección externa. En la práctica, una empresa puede expedirse a sí misma la certificación de su centro de datos y del alojamiento web sin ningún control externo. Los proveedores serios contratarán, por supuesto, institutos de prestigio como el TÜV; sin embargo, en caso de duda es absolutamente recomendable comprobar los certificados y los datos indicados, como el organismo emisor.

¿Qué valor informativo tienen los certificados ISO para el alojamiento web o un centro de datos?

Las tasas por la auditoría conforme a una norma de seguridad ISO deben ser asumidas en su totalidad por el centro de datos responsable y no incluyen necesariamente el alojamiento web. Puesto que se trata de gastos especialmente elevados para los pequeños proveedores de alojamiento web, estos suelen renunciar por motivos de coste a una certificación oficial, aunque en principio cumplan todas las condiciones. Además, la norma ISO 22237 se encuentra actualmente (a fecha de primavera de 2023) todavía en elaboración y sólo es válida parcialmente.

En conjunto, las certificaciones según la norma ISO son, sin embargo, un indicio favorable sobre un proveedor de alojamiento web y simbolizan que se cumplen estándares elementales de la infraestructura. No obstante, deberían proceder de organismos de certificación independientes y tener una capacidad informativa suficiente que permita deducir ciertas y relevantes cualidades de un centro de datos.