Auditoria de segurança no Data Center: saiba o que é e como se preparar para o processo
Leitura de 8 minutosOs dados são cada vez mais valiosos. E se considerarmos que a sua empresa reúne não apenas os seus, mas também os dados dos clientes, qualquer tipo de vazamento ou de uso indevido desses ativos pode levar a grandes prejuízos. Por isso, a realização periódica de uma auditoria de segurança no Data Center é fundamental para assegurar as condições de armazenamento.
Para saber se as instalações são adequadas para as necessidades da sua empresa, é preciso verificar o desempenho da estrutura, os padrões de conformidade e se está pronta para operar.
Por isso, neste artigo, você conhecerá algumas atividades importantes de auditoria a serem realizadas em um Data Center. Aprenderá o que perguntar ao auditá-lo, para saber se o provedor conseguirá manter seus dados e cargas de trabalho seguros. E, também, descobrirá se o centro é certificado e como seus funcionários lidariam com eventuais quedas de energia ou desastres naturais.
Siga na leitura e veja mais a seguir:
O que é auditoria de segurança no Data Center?
De modo geral, um processo de auditoria trata do exame de documentos, livros e registros para verificar se as demonstrações realmente representam, de forma fidedigna, a situação nelas demonstradas. Para isso, realizam-se inspeções visando à obtenção de informações, assim como confirmações internas e externas, obedecendo-se às normas apropriadas.
Por sua vez, a uma auditoria de segurança no Data Center consiste de um cuidadoso processo de análise da conformidade de determinado centro de processamento de dados às normas e procedimentos que regem seu setor. E, principalmente, da avaliação da qualidade dos diversos subsistemas que o compõe, tais como: acesso, plano arquitetônico, cabeamento, climatização, sistema elétrico, monitoramento e segurança.
Visão geral do processo
O Data Center é parte integrante e essencial da infraestrutura tecnológica de uma organização, já que abriga toda a estrutura de TI e seus equipamentos de suporte.
Para garantir suas condições de segurança e eficiência, é necessária a realização uma avaliação periódica das condições do hardware, dos equipamentos periféricos e de segurança, além dos equipamentos de suporte, assim como dos sistemas de energia e refrigeração.
Na prática, o objetivo principal da realização de uma auditoria de segurança no Data Center é avaliar a adequação e eficiência dos controles em vigor para minimizar riscos, atestando a total disponibilidade e a mitigação de possíveis vulnerabilidades para as empresas que utilizam suas instalações e serviços.
Assim, evitam-se problemas como acesso não autorizado, interrupções na operação, roubo de ativos de informações e riscos ambientais, sem falar no impacto à reputação da marca quando esse tipo de incidente ocorre.
LEIA TAMBÉM: As principais ameaças cibernéticas para 2023 e os próximos anos
Escopo da auditoria
O processo de uma auditoria de segurança em um Data Center inclui diversas atividades como:
- Apuração das condições da infraestrutura existente;
- Verificação da eficácia dos controles de acesso físico;
- Aferição da correta utilização dos recursos disponíveis;
- Análise da eficiência energética e das condições de uso dos recursos hídricos;
- Necessidade de expansão das instalações;
- Qualificação do Data Center em conformidade com normas como a EIA/TIA 942, ABNT 27001 e 27002, referentes a Segurança da Informação, e com a Lei Sarbanes-Oxley (SARBOX, SOX).
A partir daí, é possível verificar e quantificar possíveis inconformidades, solicitando as adequações necessárias através do desenvolvimento de projetos e ações específicas.
Dependendo da base de clientes, pode ser necessário realizar apenas as auditorias padrão em seu Data Center, como a que se baseia na ISO 27001; ou pode ser necessário realizar várias, para diferentes finalidades, como PCI-DSS – requerida por empresas do mercado financeiro ou que utilizam sistemas de pagamento eletrônico.
É importante que auditorias como essas sejam realizadas pelo menos uma vez ao ano. Essa rotina não apenas permite que todos vejam que a empresa está fazendo tudo corretamente, mas também pode ajudar a esclarecer eventuais pontos problemáticos que a organização e seus funcionários possam estar enfrentando.
O desenvolvimento deste tipo de trabalho tem reflexos diretos na assertividade da estrutura e na garantia das condições de segurança, constituindo-se, assim, em uma ferramenta poderosa para as organizações que priorizam a governança corporativa em seus processos.
LEIA TAMBÉM: Compliance em Data Centers: gerando valor para o cliente
O que perguntar em um processo de auditoria no Data Center?
Normalmente, a equipe de auditoria interna, com responsabilidades de garantia ou de supervisão da estrutura, é a responsável por conduzir o processo de avaliação do Data Center. Mas, alternativamente, o proprietário do centro pode contratar uma empresa especializada, como forma de oferecer ao cliente a chancela de um órgão independente.
De modo geral, o escopo da auditoria deve abranger razoavelmente todos os aspectos do negócio, como as operações do Data Center, infraestruturas, gerenciamento e capacidade humana. A seguir, veja uma sugestão de roteiro sobre o que perguntar neste processo, com base em diversos aspectos, para garantir que o edifício tenha protocolos de qualidade e de segurança físicos e virtuais suficientes:
Segurança física
- Ao auditar um Data Center, verifique se os protocolos de segurança são suficientes para manter seus dados seguros;
- Confira o procedimento de cadastro de funcionários e clientes: ao contratar um funcionário, a empresa realiza a verificação de antecedentes? Quando os clientes chegam às instalações, sua identidade é conferida e, em seguida, o indivíduo recebe um cartão de acesso temporário? O edifício dispõe de sistemas de biometria para controle de acesso?
- Descubra se há câmeras de segurança suficientes para observar quem entra e sai do prédio. Deve haver o suficiente para cobrir todos os ângulos, sem deixar pontos cegos.
Segurança virtual
- Cheque o modo de acesso e a presença online dos dados. Existem camadas de segurança suficientes, como proteções antivírus e firewalls, para evitar malwares? Quais são os protocolos de autenticação antes que uma pessoa possa acessar os dados?
- Criptografia: em geral, existem dois tipos – o de chave simétrica e o de chave assimétrica. Idealmente, o Data Center deve usar o tipo de criptografia apropriado para seus dados, juntamente com os algoritmos criptográficos mais recentes.
LEIA MAIS: Segurança no Data Center: integrar soluções físicas e cibernéticas amplia a proteção da rede
Performance
- Para verificar como a instalação opera é preciso se certificar de que, diante de uma possível ocorrência de complicações técnicas, os funcionários do Data Center conseguirão corrigi-las imediatamente, sem perder nenhum de seus dados;
- Para isso, cheque se o provedor oferece suporte remoto, prestado uma equipe técnica especializada própria, e se o serviço é oferecido em escala de 24-7-365;
- Pergunte se os funcionários têm experiência com:
- Montagem de racks
- Configuração de novos servidores ou dispositivos
- Ajuste da umidade e da temperatura em níveis ideais
- Monitoramento de geradores, de fontes de alimentação e dos computadores da subestação, para que funcionem.
Histórico
- Muitos provedores dizem oferecer uma garantia de disponibilidade de serviço de 100%. No entanto, qualquer tipo de sistema tem risco de falhas devido a algum imprevisto e, por isso, um acordo de nível de serviço (SLA) de 100% é um mito. Portanto, cheque o que o provedor oferece como compensação caso haja uma interrupção;
- Descubra os parâmetros de medição, como tempo médio de recuperação (MTTR) e velocidade média de resposta (ASA);
- Verifique o nível de transparência que a empresa oferece aos clientes quando há um problema. Se houver alguma interrupção, o provedor o notificará ou esperará que você ligue para eles para checar o que está acontecendo?
- Peça-lhes para fornecer um relatório de suas interrupções anteriores. Verifique os relatórios de como eles notificam o cliente, o que acontece durante a resolução e o que ocorre após a resolução.
Certificações
- Um bom Data Center deve reunir certificados reconhecidos internacionalmente, que atestam suas condições de segurança, qualidade, estabilidade, confiabilidade. E até a sua relação como meio ambiente. Então, cheque se o seu provedor dispõe de selos como LEED, ISO 9001, ISO 20000-1, ISO 27001, ISO 14001, PCI-DSS e outros.
LEIA MAIS: Certificações do Data Center: por que devo checar as credenciais do meu fornecedor?
Eficiência Energética
- Ao auditar um Data Center, descubra se o provedor executa testes de carga estendidos em cada gerador. O teste de carga é uma atividade importante porque, por meio dele, a instalação verifica se seus geradores podem lidar com quedas de energia;
- Além disso, cheque com que frequência os funcionários realizam os testes. O mínimo de um teste por trimestre é o ideal;
Desastres naturais e protocolos de segurança
- Apesar de um desastre natural ser um fator imprevisível, é importante que seu provedor de serviços de Data Center disponha de um protocolo de medidas preventivas ou alternativas para contorná-las. Por isso, ao auditar um centro de dados, pergunte que tipo de incidentes são prováveis de ocorrer na zona onde a instalação está localizada;
- Cheque quais planos de contingência a instalação oferece em caso de desastre;
- Averigue se o Data Center dispõe de fontes de geração de energia próprias ou se depende de geradores para backup energético. Nesse caso, pergunte por quanto tempo os geradores funcionam com o suprimento normal de combustível e se, quando acabar, haverá fornecedores suficientes para serviços de reabastecimento.
LEIA TAMBÉM: Disaster Recovery: saiba por que o Colocation é essencial para evitar prejuízos em crises
Precisa de ajuda para melhorar as condições de segurança do seu Data Center?
E-BOOKS exclusivos
para você conhecer mais sobre o mundo do Colocation
E-Book: Tendências Tecnológicas
Fazer o downloadMelhore os índices de sustentabilidade da sua empresa
Fazer o download