datos e idoneidad, tanto física como lógica, y que sean eficientes en consumo de energía y se sirvan de energías limpias. Estos aspectos son fundamentales a la hora de seleccionar el aliado para las empresas”.
¿Los terceros son responsables de la seguridad? La seguridad de la in-
formación es un tema sensible y, en ocasiones, ha sido el inhibidor para contratar modelos en la nube o servicios en data center externos.
A nivel general, están los estándares como ISO 17799 e ISO 27000 para seguridad en el manejo de información; de manera particular, en el sector financiero se tiene la norma de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard) o PCI DSS y, localmente, las circulares (042 y 052) de la Superintendencia Financiera, que se soportan en normas internacionales. Incluso, la Superintendencia es clara en fijar los aspectos mínimos que se deben tener en cuenta cuando se contrata en outsourcing. A continuación uno de sus apartados: “• Definir los criterios y procedimientos a partir de los cuales se seleccionarán los terceros y los servicios que serán atendidos por ellos. • Incluir en los contratos que se celebren con terceros o en aquellos que se prorroguen a partir de la entrada en vigencia del presente Capitulo, por lo menos, los siguientes aspectos: a) Niveles de servicio y operación. b) Acuerdos de confidencialidad sobre la información manejada y sobre las actividades desarrolladas. c) Propiedad de la información. d) Restricciones sobre el software empleado. e) Normas de seguridad informática y física a ser aplicadas. f) Procedimientos a seguir cuando se encuentre evidencia de alteración o manipulación de equipos o información. g) Procedimientos y controles para la entrega de la información manejada y la destrucción de la misma por parte del tercero una vez finalizado el servicio. • Exigir que los terceros contratados dispongan de planes de contingencia y continuidad debidamente documentados. Las entidades deberán verificar que los planes, en lo que corresponden a los servicios convenidos, funcionen en las condiciones esperadas. •
Establecer procedimientos que permitan identificar físicamente, de manera inequívoca, a los funcionarios de los terceros contratados.
• Implementar mecanismos de cifrado fuerte para el envío y recepción de información confidencial con los terceros contratados”. A la luz de estas condiciones, es importante entender quién es el responsable de la seguridad de la información en un esquema de servicios de data center externos, pues es algo que no se delega, aunque sí es una responsabilidad compartida.
En ese sentido, Daniel González, director Comercial de Clientes Corporativos de Telefónica Colombia, afirma que es responsabilidad del prestador del servicio y del Daniel González, mismo cliente. director Comercial de Clientes Corporativos de “El proveedor Telefónica Colombia. debe tener la infraestructura adecuada para garantizar la protección de esa información, tener el acceso físico y cuidado de esos activos, con control de acceso, con políticas claras, herramientas, procesos y personas, y tener en cuenta la seguridad como una triada en cuanto a disponibilidad, integridad (que la información no sea vulnerada) y confidencialidad”. Agregó: “Desde el punto de vista del cliente, la responsabilidad se establece según la regulación y el sector, pero es importante que escoja muy bien el aliado, establecer procesos, políticas y mejores prácticas para que la gestión se realice en un buen ámbito de gobernanza”. En esa línea, Adriana Méndez, Product manager de Cable & Wireless Colombia, coincidió: “Ambos son responsables. Los proveedores de data center deben ofrecer servicios de seguridad perimetral y lógica desde las plataformas, y los clientes deben responder por sus aplicaciones y por el manejo que le dan a las mismas. Existen muchas certificaciones y auditorías que los proveedores de data center deben tener, tales como la SOC o la ISO 27001, ISAE 3402, etc. para garantizar aún más a los clientes la seguridad e integridad de la información almacenada en los mismos”. Felipe Gómez, director Regional de Data Center y Seguridad de Level 3 para la Región Andina, argumentó: “Normalmente, los centros de datos tienen soluciones de seguridad, más de tipo perimetral para los clientes, aprovechando así la infraestructura. No obstante, a algunos clientes les gusta poner su propia infraestructura y administrarla, por lo que este tema depende de sus necesidades”. Añadió: “La seguridad que sí brindan los proveedores como Level 3 es de la red, en donde nuestra empresa tiene más de 100 dispositivos desplegados en una red mundial de fibra de más de 320.000 kilómetros con 10 centros de limpieza o scrubing centers, con el fin de poRoger Santamaría, der detectar una gerente de mercadeo cantidad enorme del segmento empresas de amenazas por de Claro.
día como: más de 1,3 millones de eventos de seguridad, más de un millón de paquetes maliciosos, más e 350.000 alertas, más de 1,7 millones de máquinas infectadas y más de 45 billones de sesiones, con lo cual hemos identificado 40% de amenazas desconocidas (día cero)”. Roger Santamaría, gerente de mercadeo del segmento empresas de Claro, especificó: “A nivel de seguridad de la información, la responsabilidad de los datos depende del tipo de contratación que se tenga con el prestador del servicio de data center. Sin embargo, las soluciones deben contar con módulos de seguridad y auditoría ante accesos o cambios no autorizados y el entorno donde se ejecuten debe contar con la infraestructura y servicios de seguridad informática como SOC -Centro de Operaciones de Seguridadpara evitar o contener ataques exteriores. Como el SOC de Claro, es importante que sea reconocido por alguna entidad mundial de seguridad como el FIRT. El data center Triara, ubicado en las afueras de Bogotá, cuenta con altos estándares de operación y gestión, con certificaciones como ISO27000, ISO20000, ISO22301, ISO14000, ISAE3402 y PCI, entre otras, que aseguran los niveles de atención, seguridad y continuidad, sin olvidar ser amigable con el medio ambiente”. Esteban Jafet Rincón, especialista Regional de Producto de IFX Networks, puntualizó: “Es una responsabilidad que debe ser compartida. Hay que tener en mente que el data center -como actor principal y responsable de la confidencialidad y seguridad de los datos- debe contar con un sistema de seguridad como ISO27001 enfocado en la gestión, operación de la infraestructura y plataformas tecnológicas. Es entonces donde el proveedor del centro de datos tiene la responsabilidad de orientar al cliente en la ejecución de los procesos y buenas prácticas, lo cual significa que el cliente puede estar en capacidad de evidenciar que sus datos y sistemas de TI están resguardados en un lugar seguro, confiable y eficaz”. Para concluir, Jaime Peláez Espinosa, gerente general de Internexa, manifestó: “La legislación y normatividad, hoy busca garantizar no solo la seguridad sino la continuidad de los negocios (BCP-Business Continuity Plan). La seguridad es un factor crítico, por lo tanto, debería estar en manos de los expertos (terceros especializados) y como parte de la solución integral de IT y telecomunicaciones. Internexa ofrece a sus clientes soluciones de seguridad que complementan ampliamente las soluciones de conectividad, cloud, data center y servicios admiJaime Peláez, nistrados”. CEO InterNexa. Especial: Centro de datos
Computerworld - junio 2017
19