21 de dez. de 2006

Segurança Física em Data Centers - Introdução

Introdução

O propósito de um data center é armazenar os equipamentos de TI de forma segura e garantir o fornecimento de serviços para os processos de negócio de uma ou mais Organizações, porém a segurança desta sala parece não importar muito para algumas empresas. Note que é muito comum que a primeira escolha caia sobre um almoxarifado que não é mais utilizado, afinal basta colocar uma porta, um ar-condicionado e pronto, problema resolvido. Infelizmente as coisas não são assim tão simples, e este tipo de abordagem pode custar muito mais caro que um datacenter bem construído e protegido, basta o ar-condicionado que estava encostado e foi lá colocado dar um problema, isso acontecer em um fim de semana de dezembro, com uma agradável temperatura de 40oC.

Em seu livro, Enterprise Data Center Design and Methodology, Rob Snevely define um data center de forma diferente, original e muito adequada:
Os elementos essenciais de um data center são a localização, o chão elevado, a infra-estrutura de rede, controles ambientais e energia. Uma distinção deve ser feita entre o data center e seu conteúdo; um data center contém servidores e outros elementos tecnológicos, mas eles não são os elementos essenciais, o data center consiste na infra-estrutura física que suporta os seus componentes e os elementos de proteção física, e não os equipamentos de TI por si só.
Isso parece óbvio, mas não é o que acontece na maioria dos lugares. Nos meus anos como consultor, vi diversas empresas de todos os portes manterem servidores e roteadores de altíssima qualidade armazenados em “salas do computador” que tinha a principal ameaça em sua estrutura, o que ficou provado pela quantidade de empresas onde ouvi estórias da “faxineira que derrubou a conexão de rede quando limpava a sala dos computadores e esbarrou a vassoura em um switch”. Você também já ouviu algo dessa natureza, ou passou por uma dessas, não?

Citando novamente Rob Snevely, existem cinco premissas que devem ser observadas na construção e administração de um data center, e elas devem ser usadas como critério para todas as ações de planejamento relacionadas e estratégias de gestão adotadas. Eu as condensei em duas:
  • Simplicidade: A arquitetura da sala deve ser fácil de entender e administrar, nada de deixar fios com vida própria ficarem se enrolando e fazendo um analista perder horas para descobrir o que está ligado em que. Ao desenhar a estrutura de forma simples, o custo de administração diminui e o tempo exigido para operacionalizar mudanças é drasticamente reduzido.
  • Flexibilidade: Se a organização deseja crescer, o data center deve ser construído pensando em expansões futuras. Um puxadinho pode ser uma forma simples de transformar um pedaço de garagem em um novo quarto para o neném que chega, mas aplicar este conceito em uma sala crítica é maluquice, apesar de muitas organizações fazerem exatamente isso. Imagine quando custa fazer e administrar uma total duplicação dos controles de segurança em duas salas diferentes, quando os mesmos poderiam ter sido aproveitados se a expansão tivesse sido planejada.
Criar um datacenter é um projeto simples, mas que como todo projeto exige que sejam definidos critérios básicos de escopo, cronograma, custos e benefícios para a Organização. Minha recomendação principal – e talvez a mais difícil de ser seguida – é que o profissional de segurança seja envolvido desde o início no processo, e por mais complicado que pareça lidar com noções de engenharia e design, busque aprender com os demais profissionais envolvidos no processo, mas sempre fazendo valer a implementação dos controles adequados de forma criteriosa e equilibrada.

Nenhum comentário:

Postar um comentário