La seguridad de los datos y de las infraestructuras de los clientes de DATA es una prioridad para nuestros equipos, que trabajan para mejorar continuamente nuestros procedimientos internos y las medidas organizativas y técnicas implementadas. Una de las prioridades estratégicas de seguridad adoptadas por la dirección de DATA4 es buscar la convergencia entre nuestros requisitos internos y aquellos a los que algunos de nuestros clientes, que se encuentran entre los más exigentes en términos de disponibilidad, integridad, confidencialidad y trazabilidad, puedan estar sujetos.
Estas orientaciones estratégicas se reflejan en el modelo «SPICA(1)«, en el que se promueven y aplican los principios de Segregación, Seguridad Física, Independencia, Ciberseguridad y Alineación.
Segregación
La segregación de los entornos informáticos de los clientes de DATA4 y de las infraestructuras específicas de nuestros centros de datos forma parte del ADN del grupo desde su creación. Este modelo, tanto técnico como económico, nos permite garantizar la estanqueidad de todos nuestros clientes entre los distintos sistemas de información de los que DATA es responsable del alojamiento físico, y
esta división también se refleja en las funciones y autorizaciones lógicas y físicas que de ella se derivan. Stéphane Lemée, Chief Information Systems Security Officer (CISSO) del Grupo DATA4 especifica: «Trabajamos para detectar los comportamientos denominados anormales o desviados, como el de una persona cuyo papel como agente de seguridad o técnico de mantenimiento no justificaría los accesos o rutas operados en nuestros centros de datos, salas de alojamiento o salas técnicas».
(Seguridad) Física
La seguridad física es la primera línea de defensa. Los diferentes sistemas de videovigilancia y control de acceso, junto con dispositivos biométricos, están bajo la autoridad de un director de seguridad. Las medidas pueden llegar a prohibir la introducción de objetos metálicos en el recinto de una sala con controles únicamente del personal autorizado.
También utilizamos socios reconocidos de profesionales de la seguridad física que nos ayudan a reforzar la impermeabilización de nuestros perímetros físicos y nuestras capacidades organizativas y técnicas para detectar intentos de intrusión.
Independencia
La organización interna del grupo también tiene como objetivo garantizar la independencia de los organismos encargados de promulgar las normas, aplicarlas y controlarlas. El modelo de gobierno adoptado es el de un grupo CISO adscrito a la Secretaría General, que garantiza el cumplimiento de las orientaciones estratégicas adoptadas por la dirección y los accionistas, pero también de las distintas normas reguladoras a las que nos hemos atenido, a través de la obtención y mantenimiento de diversas certificaciones a cumplir.
Externamente, DATA4 es un proveedor de infraestructura: los clientes alojados y sus respectivas interconexiones no se basan en nuestros recursos técnicos o humanos. La principal ventaja de separar la infraestructura de los servicios reside en la posibilidad de asegurar el conjunto sobre la base del principio de defensa en profundidad, como señala Stéphane Lemée, CISO: «Cuando todo es gestionado por un único proveedor, es decir, en el caso de una fuerte integración vertical, un incidente de seguridad en uno de los eslabones puede tener un impacto en toda la cadena y comprometer datos sensibles o un sistema de información crítico».
Ciberseguridad
Si la segregación resaltada en nuestro modelo – y materializada por la ausencia de equipos activos añadidos a los clientes de hosted y sus interconexiones – excluye cualquier posibilidad de análisis del tráfico de la red y de los intercambios de aplicaciones, la contribución de DATA4 tiene lugar, por ejemplo, a través de la lectura, a través de nuestra plataforma DCIM, de señales débiles como un aumento injustificado del consumo de energía o de la disipación de calor, lo que puede sugerir el despliegue de aplicaciones de «cryptojacking» de alto consumo energético en las infraestructuras de nuestros clientes.
Alineación
La orientación estratégica de la seguridad impulsada por la dirección del grupo es alinear nuestros requisitos internos en materia de seguridad lógica y física con los de nuestros clientes. La decisión resultante es alinear nuestras medidas de seguridad interna con las que se aplicarían a nuestros clientes como parte de las obligaciones impuestas a los proveedores de servicios digitales (DSP) según la definición de la Directiva europea NIS.
(1) En latín, SPICA significa «espiga», y más generalmente la cabeza, la punta, el brote de la planta. SPICA es el «pequeño nombre» de Alpha Virginis, la estrella más brillante de la Constelación de la Virgen.