Auditoria de segurança no Data Center: saiba o que é e como se preparar para o processo

Leitura de 8 minutos
09/05/23

Os dados são cada vez mais valiosos. E se considerarmos que a sua empresa reúne não apenas os seus, mas também os dados dos clientes, qualquer tipo de vazamento ou de uso indevido desses ativos pode levar a grandes prejuízos. Por isso, a realização periódica de uma auditoria de segurança no Data Center é fundamental para assegurar as condições de armazenamento.

Para saber se as instalações são adequadas para as necessidades da sua empresa, é preciso verificar o desempenho da estrutura, os padrões de conformidade e se está pronta para operar.

Por isso, neste artigo, você conhecerá algumas atividades importantes de auditoria a serem realizadas em um Data Center. Aprenderá o que perguntar ao auditá-lo, para saber se o provedor conseguirá manter seus dados e cargas de trabalho seguros. E, também, descobrirá se o centro é certificado e como seus funcionários lidariam com eventuais quedas de energia ou desastres naturais.

Siga na leitura e veja mais a seguir:

O que é auditoria de segurança no Data Center?

De modo geral, um processo de auditoria trata do exame de documentos, livros e registros para verificar se as demonstrações realmente representam, de forma fidedigna, a situação nelas demonstradas. Para isso, realizam-se inspeções visando à obtenção de informações, assim como confirmações internas e externas, obedecendo-se às normas apropriadas.

Por sua vez, a uma auditoria de segurança no Data Center consiste de um cuidadoso processo de análise da conformidade de determinado centro de processamento de dados às normas e procedimentos que regem seu setor. E, principalmente, da avaliação da qualidade dos diversos subsistemas que o compõe, tais como: acesso, plano arquitetônico, cabeamento, climatização, sistema elétrico, monitoramento e segurança.

Assine a newsleter Data Center Insights

Visão geral do processo

O Data Center é parte integrante e essencial da infraestrutura tecnológica de uma organização, já que abriga toda a estrutura de TI e seus equipamentos de suporte.

Para garantir suas condições de segurança e eficiência, é necessária a realização uma avaliação periódica das condições do hardware, dos equipamentos periféricos e de segurança, além dos equipamentos de suporte, assim como dos sistemas de energia e refrigeração.

Na prática, o objetivo principal da realização de uma auditoria de segurança no Data Center é avaliar a adequação e eficiência dos controles em vigor para minimizar riscos, atestando a total disponibilidade e a mitigação de possíveis vulnerabilidades para as empresas que utilizam suas instalações e serviços.

Assim, evitam-se problemas como acesso não autorizado, interrupções na operação, roubo de ativos de informações e riscos ambientais, sem falar no impacto à reputação da marca quando esse tipo de incidente ocorre.


LEIA TAMBÉM: As principais ameaças cibernéticas para 2023 e os próximos anos


Escopo da auditoria

O processo de uma auditoria de segurança em um Data Center inclui diversas atividades como:

  • Apuração das condições da infraestrutura existente;
  • Verificação da eficácia dos controles de acesso físico;
  • Aferição da correta utilização dos recursos disponíveis;
  • Análise da eficiência energética e das condições de uso dos recursos hídricos;
  • Necessidade de expansão das instalações;
  • Qualificação do Data Center em conformidade com normas como a EIA/TIA 942, ABNT 27001 e 27002, referentes a Segurança da Informação, e com a Lei Sarbanes-Oxley (SARBOX, SOX).

A partir daí, é possível verificar e quantificar possíveis inconformidades, solicitando as adequações necessárias através do desenvolvimento de projetos e ações específicas.

Dependendo da base de clientes, pode ser necessário realizar apenas as auditorias padrão em seu Data Center, como a que se baseia na ISO 27001; ou pode ser necessário realizar várias, para diferentes finalidades, como PCI-DSS – requerida por empresas do mercado financeiro ou que utilizam sistemas de pagamento eletrônico.

É importante que auditorias como essas sejam realizadas pelo menos uma vez ao ano. Essa rotina não apenas permite que todos vejam que a empresa está fazendo tudo corretamente, mas também pode ajudar a esclarecer eventuais pontos problemáticos que a organização e seus funcionários possam estar enfrentando.

O desenvolvimento deste tipo de trabalho tem reflexos diretos na assertividade da estrutura e na garantia das condições de segurança, constituindo-se, assim, em uma ferramenta poderosa para as organizações que priorizam a governança corporativa em seus processos.


LEIA TAMBÉM: Compliance em Data Centers: gerando valor para o cliente


O que perguntar em um processo de auditoria no Data Center?

Normalmente, a equipe de auditoria interna, com responsabilidades de garantia ou de supervisão da estrutura, é a responsável por conduzir o processo de avaliação do Data Center. Mas, alternativamente, o proprietário do centro pode contratar uma empresa especializada, como forma de oferecer ao cliente a chancela de um órgão independente.

De modo geral, o escopo da auditoria deve abranger razoavelmente todos os aspectos do negócio, como as operações do Data Center, infraestruturas, gerenciamento e capacidade humana. A seguir, veja uma sugestão de roteiro sobre o que perguntar neste processo, com base em diversos aspectos, para garantir que o edifício tenha protocolos de qualidade e de segurança físicos e virtuais suficientes:

Segurança física

  • Ao auditar um Data Center, verifique se os protocolos de segurança são suficientes para manter seus dados seguros;
  • Confira o procedimento de cadastro de funcionários e clientes: ao contratar um funcionário, a empresa realiza a verificação de antecedentes? Quando os clientes chegam às instalações, sua identidade é conferida e, em seguida, o indivíduo recebe um cartão de acesso temporário? O edifício dispõe de sistemas de biometria para controle de acesso?
  • Descubra se há câmeras de segurança suficientes para observar quem entra e sai do prédio. Deve haver o suficiente para cobrir todos os ângulos, sem deixar pontos cegos.

Segurança virtual

  • Cheque o modo de acesso e a presença online dos dados. Existem camadas de segurança suficientes, como proteções antivírus e firewalls, para evitar malwares? Quais são os protocolos de autenticação antes que uma pessoa possa acessar os dados?
  • Criptografia: em geral, existem dois tipos – o de chave simétrica e o de chave assimétrica. Idealmente, o Data Center deve usar o tipo de criptografia apropriado para seus dados, juntamente com os algoritmos criptográficos mais recentes.

LEIA MAIS: Segurança no Data Center: integrar soluções físicas e cibernéticas amplia a proteção da rede


Performance

  • Para verificar como a instalação opera é preciso se certificar de que, diante de uma possível ocorrência de complicações técnicas, os funcionários do Data Center conseguirão corrigi-las imediatamente, sem perder nenhum de seus dados;
  • Para isso, cheque se o provedor oferece suporte remoto, prestado uma equipe técnica especializada própria, e se o serviço é oferecido em escala de 24-7-365;
  • Pergunte se os funcionários têm experiência com:
    • Montagem de racks
    • Configuração de novos servidores ou dispositivos
    • Ajuste da umidade e da temperatura em níveis ideais
    • Monitoramento de geradores, de fontes de alimentação e dos computadores da subestação, para que funcionem.

Histórico

  • Muitos provedores dizem oferecer uma garantia de disponibilidade de serviço de 100%. No entanto, qualquer tipo de sistema tem risco de falhas devido a algum imprevisto e, por isso, um acordo de nível de serviço (SLA) de 100% é um mito. Portanto, cheque o que o provedor oferece como compensação caso haja uma interrupção;
  • Descubra os parâmetros de medição, como tempo médio de recuperação (MTTR) e velocidade média de resposta (ASA);
  • Verifique o nível de transparência que a empresa oferece aos clientes quando há um problema. Se houver alguma interrupção, o provedor o notificará ou esperará que você ligue para eles para checar o que está acontecendo?
  • Peça-lhes para fornecer um relatório de suas interrupções anteriores. Verifique os relatórios de como eles notificam o cliente, o que acontece durante a resolução e o que ocorre após a resolução.

Certificações

  • Um bom Data Center deve reunir certificados reconhecidos internacionalmente, que atestam suas condições de segurança, qualidade, estabilidade, confiabilidade. E até a sua relação como meio ambiente. Então, cheque se o seu provedor dispõe de selos como LEED, ISO 9001, ISO 20000-1, ISO 27001, ISO 14001, PCI-DSS e outros.

LEIA MAIS: Certificações do Data Center: por que devo checar as credenciais do meu fornecedor?


Eficiência Energética

  • Ao auditar um Data Center, descubra se o provedor executa testes de carga estendidos em cada gerador. O teste de carga é uma atividade importante porque, por meio dele, a instalação verifica se seus geradores podem lidar com quedas de energia;
  • Além disso, cheque com que frequência os funcionários realizam os testes. O mínimo de um teste por trimestre é o ideal;

Desastres naturais e protocolos de segurança

  • Apesar de um desastre natural ser um fator imprevisível, é importante que seu provedor de serviços de Data Center disponha de um protocolo de medidas preventivas ou alternativas para contorná-las. Por isso, ao auditar um centro de dados, pergunte que tipo de incidentes são prováveis de ocorrer na zona onde a instalação está localizada;
  • Cheque quais planos de contingência a instalação oferece em caso de desastre;
  • Averigue se o Data Center dispõe de fontes de geração de energia próprias ou se depende de geradores para backup energético. Nesse caso, pergunte por quanto tempo os geradores funcionam com o suprimento normal de combustível e se, quando acabar, haverá fornecedores suficientes para serviços de reabastecimento.

LEIA TAMBÉM: Disaster Recovery: saiba por que o Colocation é essencial para evitar prejuízos em crises


Precisa de ajuda para melhorar as condições de segurança do seu Data Center?

Fale com a ODATA

E-BOOKS exclusivos

para você conhecer mais sobre o mundo do Colocation

E-Book: Tendências Tecnológicas 

Fazer o download

Melhore os índices de sustentabilidade da sua empresa

Fazer o download

Assine nossa newsletter

A ODATA utiliza cookies para melhorar sua experiência, de acordo com a nossa Política de Privacidade e, ao continuar navegando, você concorda com essas condições.