Dice el Reglamento UE 2022/2054 de Resiliencia Operativa Digital del sector financiero (más conocido por todas como «DORA») que su objetivo es que este tipo de entidades puedan hacer frente, responder y recuperarse de cualquier perturbación o amenaza que implique tecnologías de la información y la comunicación (TIC).
Para ello es necesario que estas entidades (y todo el ecosistema a su alrededor) implementen una serie de medidas para realizar una adecuada gestión del riesgo de disrupción de la actividad. Esto implica asegurar que todas las capas de la infraestructura tecnológica están alineadas en dicho objetivo de resiliencia. Y hacemos hincapié en este aspecto porque nos encontramos, a menudo, con que las organizaciones ponen el foco en las capas superiores de la infraestructura: aplicaciones, bases de datos o redes de comunicación, entre otras, lo cual es, obviamente, necesario, pero no podemos olvidarnos de que todos estos sistemas, en última instancia, están alojados en centros de proceso de datos.
Desde hace más de 20 años se popularizó la certificación del diseño y de la construcción de dichas infraestructuras en función de sus capacidades de disponibilidad (Tier III si se reunía las condiciones para un mantenimiento concurrente o Tier IV si eran resistentes a fallos) y a día de hoy, la organización propietaria de dicho estándar, Uptime Institute, ha emitido más de 2.700 certificados en 120 países.
Sin embargo, hay que dar un paso más. Nos encontramos actualmente con instalaciones en las que la tecnología cuenta con un papel fundamental:
- Los elementos mecánicos y eléctricos y los sistemas de refrigeración son gestionados por sistemas OT que permiten monitorizarlos y en algunos casos operarlos de manera remota.
- La inteligencia artificial se ha incorporado a las tecnologías utilizadas (por ejemplo, para desarrollar modelos de mantenimiento predictivo) haciendo que sea necesario recopilar grandes cantidades de datos y conectar los sistemas a los proveedores utilizados.
- La externalización de las actividades de mantenimiento y operación de las mismas ha supuesto la utilización de soluciones en la nube y la conexión con sistemas de los terceros proveedores de dichos servicios.
- La robótica empieza a mostrar su utilidad y los más pioneros incluso han incorporado este tipo de sistemas complejos a la operativa diaria.
Como vemos, los data centers son actualmente instalaciones altamente tecnificadas con un elevado grado de dependencia de sistemas IT y OT. Esta situación implica que su ciberseguridad también juega un papel crucial, pero, como decíamos al principio, parece que seguimos pensando que se trata de entornos puramente físico-mecánicos y olvidamos extender el programa de ciberseguridad corporativo a estos sistemas que son los ojos y las manos –y, a veces, el cerebro– de la base de nuestra pila tecnológica.
En este sentido, hemos visto en los pasados meses, como ciberincidentes que han atacado los sistemas de un centro de procesamiento de datos han acabado afectando a su capacidad de dar servicio, es decir, a la disponibilidad. En concreto, ataques dirigidos hacia los sistemas OT, exfiltraciones de datos o sistemas afectados por ransomware han sido los vectores más habituales.
¿Qué podemos hacer para mejorar la resiliencia de las infraestructuras digitales?
El principio básico sería aplicar un programa de ciberseguridad a los sistemas de información utilizados en la infraestructura que aseguren un nivel de resiliencia alineado con la criticidad de dicha infraestructura.
Para ello, podemos seguir los pasos típicos para definir cualquier programa de ciberseguridad, eso sí, en nuestra experiencia, un factor crítico de éxito es entender la funcionalidad de los distintos sistemas y su relación con la capacidad de la infraestructura de dar servicio (disponibilidad).
Por esto, es imprescindible contar con expertos en la gestión y operación de centros de proceso de datos para incorporar las particularidades de este tipo de infraestructuras en cada una de las etapas del proceso:
1.Identificar el alcance. Deben considerarse en el plan todos aquellos sistemas y tecnologías que puedan tener un impacto potencial en la capacidad de operación de la infraestructura (ya sea para su monitorización u operación), así como todos los terceros implicados en dicho proceso (FMO, fabricantes de software, etc.). Como resultado tendremos un listado de sistemas similar al de la tabla 1.
2. Establecer el nivel objetivo. De la misma manera que se define el nivel de Tier objetivo en el diseño y la fabricación, es necesario establecer un nivel objetivo de ciberseguridad que, obviamente, debería estar alineados entre sí. A mayor criticidad de la infraestructura más elevado debería ser el nivel objetivo de ciberseguridad a alcanzar (para minimizar así, al máximo posible, la posibilidad de interrupción del servicio causada por un ciberincidente).
¡Sigue leyendo!
Aquí te hemos mostrado tan solo una parte de este contenido.
¿Quieres leer el artículo completo?
