Estrategia de auditoría de centros de datos Por y para administradores de sistemas

¿Por qué el estrés? Así se audita correctamente un centro de datos

Ha llegado la hora

Es hora de auditar su centro de datos. Tal vez sea el momento de centro de datos proyecto. Puede que esté desmantelando, retirando equipos heredados, migrando a la nube, coubicando, reubicando en un espacio diferente o realizando una migración de la red central. Tal vez alguien con traje necesite evaluar activos de hardware y software para proyectar la rentabilidad futura. En cualquier caso, auditar y documentación el centro de datos es una tarea crucial. 

Todos hemos pasado por eso

En administradoresTodos hemos pasado por lo mismo: la mayoría de los administradores de sistemas veteranos han sido despedidos una o dos veces. Centro de datos La auditoría es fundamental para proyectar y negociar el presupuesto. Si la alta dirección no tiene una visión completa y clara de la topología de la red y de los casos de uso, no puede comunicar adecuadamente la necesidad de mantener no sólo los activos de hardware y software, sino también el presupuesto que ayuda a mantener empleados a los administradores de sistemas. Una datos La auditoría del centro demuestra su valor y eficacia como administrador y garantiza que la empresa recibe el mejor valor a cambio del coste de sus activos disponibles. 

Por qué es importante

Los mandos intermedios pueden ser un trabajo duro. La mayoría de administradores son conscientes de ello y no les interesa verse inmersos en el estrés de las funciones de gestión, ni en las tareas relacionadas de documentar y enviar correos electrónicos todo el día. Sin embargo, los administradores de sistemas son responsables de muchos asuntos relacionados con la gestión. 

Centro de datos La auditoría es una de las funciones más olvidadas pero, sin duda, más críticas de un administrador de sistemas. La documentación de la red es la base de un plan estratégico de gestión de activos. Una auditoría precisa es fundamental para la seguridad, la fiabilidad, la calidad de la asistencia, la rentabilidad y la recuperación ante desastres de una red. datos centro.

Tal vez trabaje con otros administradores de sistemas como parte de un equipo interfuncional. Sin una auditoría del centro de datosLa incorporación de nuevos miembros al equipo puede resultar complicada. Incluso para un administradorSin una visión precisa de la topología de la red, la curva de aprendizaje es muy pronunciada. 

La llave inglesa

Pobre datos El centro de documentación de auditoría conduce a otros dolores que todos hemos experimentado como administradores de sistemas: la convención de nomenclatura no tiene sentido; el Modelo Canónico de Datos se esconde; el pasado administradores no documentó el software; las contraseñas son difíciles de encontrar; la alta dirección está preocupada por los desorbitados costes energéticos; o, lo más inquietante de todo, datos La seguridad es deficiente, no cumple las normas del sector y da lugar a una violación de los derechos de la empresa o, peor aún, del cliente. datos.

Cuando se produce un incidente de prioridad crítica, tendemos a ser el mono en el medio manejando no sólo la interrupción crítica, sino también la comunicación desconectada entre ejecutivos, mandos intermedios, otros miembros del equipo y usuarios finales frustrados. Puede ser un quebradero de cabeza cuando el Exchange admin necesita información privada de la base de datos admino necesitamos una recuperación rápida de datos confidenciales del cliente. datoso si está intentando averiguar qué parches se aplicaron durante el último "martes de parches" porque es necesario revertirlos. 

La falta de una auditoría adecuada cierra el círculo cuando llega el momento de realizar el desmantelamiento de un centro de datos  - un escenario en el que nadie quiere encontrarse. Se requiere mucha diligencia para realizar una auditoría adecuada, por lo que a continuación se ofrece un resumen de los distintos tipos de datos auditorías de los centros, qué debe auditarse, así como algunas herramientas que pueden utilizarse para facilitar el proceso. 

Auditoría de seguridad del centro de datos

La característica más importante de un datos es su seguridad. Las empresas no sólo confían en la seguridad de sus centros de misión crítica. datos para ser contenida con seguridad, pero una brecha podría hundir fácilmente una empresa. Como afirma IBMel coste total medio de un datos en Estados Unidos es de $8,19 millones, con una media de 25.575 registros comprometidos por violación. 

No es la única estadística que asusta. Según la Informe de Thales sobre la amenaza de los datos en 2019En los últimos años, el 65% de las empresas de Estados Unidos afirman haber sido víctimas de una brecha en algún momento, y 35% declararon haber sufrido una brecha sólo en el último año.

Ciberseguridad El riesgo crece progresivamente, haciéndose más agresivo y frecuente con el tiempo, a medida que aumenta la complejidad de las tecnologías de nube híbrida e IoT. Los momentos más vulnerables para datos se producen durante las implantaciones, migraciones y desmantelamiento de centros de datos. Una auditoría de seguridad adecuada ayudará a organizar y elaborar estrategias de seguridad y a garantizar que se aplican las medidas adecuadas para evitar infracciones, tiempos de inactividad y otros problemas. datos desastres en el centro. 

44% de los encuestados en el Informe sobre Amenazas a los Datos afirmaron que la complejidad es una barrera percibida para aplicar adecuadamente seguridad de los datos. Teniendo esto en cuenta, la base de un plan de seguridad adecuado, y una seguridad centro de datos El objetivo del desmantelamiento es identificar las lagunas en el cumplimiento de las normas, auditando y documentando adecuadamente el cumplimiento de las mismas. centro de datos con regularidad. 

Control de acceso

Es decir, el control de los empleados, contratistas y proveedores que tienen acceso a la infraestructura y el software. Considere los escáneres biométricos y los métodos de autenticación multifactor utilizados para conceder acceso a los usuarios.

Para muchas organizaciones y equipos técnicos, la gestión de contraseñas puede ser un calvario. Los gestores de contraseñas cifradas como LastPass y Dashlane pueden eliminar gran parte de la carga y el riesgo del ámbito del almacenamiento y la gestión de contraseñas. Por desgracia, sigue siendo fundamental evaluar la formación de los empleados contra la ingeniería social.

Seguridad física - Un alto nivel de seguridad física en torno a los activos es una de las principales características de un sistema de calidad. datos centro. Las auditorías constantes de las partes en constante movimiento de la seguridad física ayudan a garantizar que los protocolos de prevención de catástrofes, como la extinción de incendios, se encuentran en un estado de preparación constante. También mantiene las puertas bien cerradas y el pulgar sobre el pulso del aspecto más vulnerable de un centro. datos centro: error humano. 

Videovigilancia - el número de cámaras, su ubicación y la adhesión a la Teoría de las Actividades Rutinarias y otras teorías que explican mejor las actividades delictivas y de desviación.

La DMZ - La importancia de documentar la zona desmilitarizada y el perímetro de una red se pasa por alto con demasiada frecuencia. ¿Dónde termina su red y empieza Internet? ¿Dónde están las puertas virtuales? Se trata de una consideración muy importante, especialmente cuando se desmantela una red. centro de datos o migrando a una infraestructura de nube híbrida. Auditar correctamente las direcciones IP, servidores, servidor roles, nombres de usuario y contraseñas en el perímetro y DMZ de su red es absolutamente crítico para la seguridad de su centro de datos antes del proceso de desmantelamiento.

Auditoría de centros de datos conforme a las normas

Al menos, según los titulares semanales sobre filtraciones de datos, seguridad de los datos es difícil. Por suerte, hay muchos centro de datos normas de cumplimiento dentro del centro de datos industria. Un auditor externo puede evaluar su datos cumplimiento del centro frente a los requisitos legales de certificaciones de seguridad esenciales. Algunos ejemplos de certificaciones de cumplimiento de seguridad reconocidas en el sector son ISO, SSAE 18, SOC2 Tipo II, PCI-DSS (Payment Card Industry Data Security Standard) y -en el sector sanitario, donde datos infracciones son los más caros de media - HIPAA (Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios). 

Sin los procedimientos de auditoría adecuados, un datos centro tendrán dificultades no sólo para competir, sino también para mantener su datos seguro en un entorno cada vez más hostil ciberseguridad mundo. 

Auditoría de infraestructuras

Los centros de datos son organismos digitales complejos, en constante cambio y evolución. Gestión del cableado, fuentes de alimentación y copias de seguridad redundantes, sistemas de refrigeración, sistemas de gestión de incendios e inundaciones, servidor bastidores y racimos. 

Las dos consideraciones más importantes en una Auditoría de Infraestructura son: El Mapa Topológico de la Red y la Auditoría de Activos.

Mapa topológico de la red

Hay muchas maneras de despellejar a un gato. Esto es cierto cuando se trata de crear un Mapa Topológico de Red. Para esta tarea crítica, existen muchas herramientas de pago y gratuitas: por ejemplo, Visio, Gliffy, Lucidchart, Spiceworks y PDQ Inventory.

 Auditoría de activos 

La principal consideración para auditar los activos de un centro de datos son las granjas de servidores. Esto conlleva una serie de consideraciones: 

• ¿Cuántos bastidores de servidores? 
• ¿Cuál es la posición RU (Rack Unit) de cada servidor? 
• Las configuraciones NetBIOS, dirección IP y DNS de cada servidor.
• Configuraciones de clústeres de servidores
• ¿Cuál es el papel/función de cada servidor y clúster de servidores?
• Edad, marca y modelo de cada servidor. 
• Especificaciones físicas de cada servidor. Esto incluye: Discos duros, uso de cuotas de disco, RAM, procesadores, tarjetas RAID, tarjetas DRAC/iLo, configuraciones NIC, conectividad (por ejemplo, fibra).
• Especificaciones de software de cada servidor, incluyendo: servidor bare-metal o virtual, bases de datos en uso, permisos (por ejemplo, grupos de seguridad de Active Directory), información de soporte del proveedor e información miscelánea como niveles de parches.
• Enrutadores, conmutadores y cortafuegos: marca, modelo, configuración IP, nombres de subred y archivos de configuración virtual de cada enrutador, conmutador, cortafuegos o equilibrador de carga.

Auditoría de eficiencia energética

Según Forbesasombrosamente, los centros de datos son responsables de cerca de 3% del consumo total de energía del mundo. Como la tecnología sigue evolucionando, se trata de un problema que no hará sino aumentar con el tiempo. Cuando se trata del desmantelamiento de centros de datos, la auditoría eficiencia energética es clave para planificar la estrategia de futuro de su red. Qué parte hay que desmantelar?

Una forma estándar de medir el consumo energético de un centro de datos es calcular el Eficacia del uso de la energía (PUE). Se calcula para cada activo dividiendo la potencia total utilizada por la potencia media del equipo. De este modo, es posible realizar una evaluación comparativa y un seguimiento del consumo a lo largo del tiempo.

Auditoría de diseño

Por último: ¿cuál es el plano de su centro de datos? Una auditoría de diseño se centra en el diseño a vista de pájaro de la instalación y en las normas industriales aplicables. ¿Cuál es la relación coste-beneficio de rediseñar los aspectos no óptimos del diseño?