ubicación físisca de los equipos

Estos días pasados leí un post de Javier Cao acerca de la ubicación del CPD en una empresa según el estándar ANSI/TIA-942 en el cual se aborda dicha problemática desde 4 puntos de vista; arquitectónico, eléctrico, de comunicaciones y de seguridad y en el que se establecen cuatro niveles (denominados TIER) en base al porcentaje de disponibilidad anual de dicho CPD.

Meditando sobre algunas de las consideraciones que en dicho estándar se hacen y sobre algunas de las situaciones que he vivido como auditor, tengo la sensación que la realidad en la gran mayoría de las empresas pasa simplemente por plantearse que una mala situación de sus sistemas de información representa un problema de seguridad. He visto servidores en lugares tan poco aconsejables como un armario empotrado semicerrado y situados encima de una leja de madera. Que el armario estuviese semicerrado no era por la ventilación (la poca que pudiera tener de esa forma) sino porque junto al servidor se encontraba allí dentro un router enracable encima de otra leja y los cables de red salían del armario por la puerta. Por si todo esto fuera poco, allí también estaban como no, las respectivas regletas de corriente y un monitor para poder administrar el servidor desde el mismo estante.

La norma ISO 27001 recoge un control sobre la ubicación de los sistemas de información y hace mención a que éstos deben ubicarse físicamente de forma que se resguarden de posibles incidentes de carácter ambiental, tales como incendios o inundaciones y donde se minimicen los riesgos de acceso no autorizado. Es por ello que me gustaría dar algunas directrices sobre en qué condiciones deben encontrarse los servidores de una organización en cuanto a ubicación dentro de las instalaciones y condiciones ambientales:

1. Los servidores no deben estar directamente sobre el suelo.
2. No deben ubicarse sobre material fácilmente inflamable, como por ejemplo lejas de madera.
   
3. No deben encontrarse ubicados físicamente en un lugar de tránsito de personas.
4. Deben encontrarse protegidos por un sistema que impida su manipulación a personal no autorizado; armarios bajo llave o, en caso de ser posible y/0 necesario, habitaciones dedicadas.
5. Los cables de comunicaciones y alimentación no deben pasar o cruzar por lugares con tránsito de personas.
6. Los Servidores deben estar ubicados en un lugar con la debida refrigeración y ventilación de forma que se mantengan entre los márgenes especificados por el fabricante.

Un aspecto sumamente importante a este respecto es la monitorización de la temperatura a la que se encuentra el ordenador. Hemos visto No Conformidades de Auditores de Certificación por unas condiciones ambientales no del todo adecuadas (equipos en un rincón y con poca ventilación) que podrían haberse evitado con una monitorización de la temperatura de dichos servidores de forma que se introduce un control compensatorio. "No tengo presupuesto para más ahora mismo pero estoy monitorizándolo y me aseguro de que se mantenga entre los límites especificados por el fabricante".