Segurança para data center: Três pilares e uma abordagem multidisciplinar

O artigo discute os aspectos digitais, físicos e humanos para a segurança de data centers e como a soma dessas partes produz uma estratégia poderosa.

Vanderlei Rigatieri, fundador e CEO da WDC Networks

Em artigo anterior, relacionado aos esforços necessários para reconstrução do Rio Grande do Sul, mencionei dois casos de mudanças de data center – migração física e de dados para nuvem – realizados para mitigação dos danos causados pelas cheias, que impressionaram pelo porte da tarefa. Isso me levou a refletir sobre as diferentes abordagens necessárias para a segurança de estruturas de TI, pois não raro uma ação ganha mais prioridade ou peso de investimentos, em detrimento de outras iniciativas também essenciais na proteção de dados sensíveis, como a implementação de barreiras de acesso físico ao painel de controle do data center, por exemplo.

Neste artigo, discutirei os aspectos digitais, físicos e humanos da segurança para data centers e como a soma dessas partes produz uma estratégia poderosa.

Segundo registros do portal Data Center Map, o Brasil possui 135 data centers que oferecem serviços de colocation, cloud e conectividade. Ante a pulverização do trabalho remoto e popularização do uso de nuvem, é praticamente impossível atuar na segurança digital dos data centers sem utilizar inteligência artificial e machine learning para processar, analisar e aplicar com velocidade as defesas necessárias a ciberataques diante da profusão de terminais de acesso e da quantidade crescente de dados dos usuários.

Essas ferramentas se incorporaram aos firewalls e softwares para detecção de ataques que fazem parte da vertente básica da segurança digital, junto com criptografia de dados, que pode ser configurada por hierarquia de acesso. Vale ressaltar que é preciso estar em dia com as atualizações do parque tecnológico para fazer frente às novas estratégias e vulnerabilidades exploradas pelos cibercriminosos, ou a segurança digital pode estar comprometida em sua própria base.

 

Segurança física

 

O monitoramento do espaço de um data center é muito mais que o uso de CFTV – Circuito Fechado de TV nos pontos estratégicos, e aqui também a inteligência artificial pode ser aplicada, com o uso de câmeras capazes de fazer reconhecimento facial e leitura de placas de veículos. A IA está presente ainda no sistema de ar condicionado, para monitoramento da temperatura, mitigação de calor e gestão energética, especialmente em data centers que precisam alternar o abastecimento entre energia elétrica e solar.

O controle de acesso é outro ponto vital e precisa ser mais que uma “porta”. É importante fazer uso de crachás, senhas ou leitura facial para entrada, restringindo as autorizações à medida em que aumenta a criticidade das áreas, com diferentes permissões entre a torre de refrigeração e o painel do servidor, por exemplo. Este é o cerne do ZTNA – Zero Trust Network Access, ou acesso de confiança zero à rede, modelo de privilégio mínimo que tem o maior crescimento em segurança de rede – 31% em 2023 e que pode chegar a 70% em 2025, segundo o Gartner – por seu sucesso no gerenciamento remoto de datacenters, com aplicações tanto no acesso físico quanto na proteção de dados sensíveis.

Completando a gestão do espaço físico estão as estratégias de combate a incêndios e proteção a vazamentos, chuvas ou inundações, alinhadas com mapas de áreas de risco, planos de atuação em diferentes cenários, além de uma equipe devidamente treinada e capacitada para intervenções. E por falar em “equipe”, isto nos leva ao próximo item no tripé da segurança de data centers: o fator humano.

 

Política de segurança

 

Lidar com pessoas é o desafio de todo gestor, especialmente quando se trata de mudar comportamentos. Por isso, antes de implementar uma rotina consistente de treinamentos em segurança, incluindo como responder a ameaças cibernéticas, e atualizações técnicas para usar ao máximo os novos sistemas ou ferramentas incorporados ao manejo do data center, o provedor deve ter bem definida a política de segurança do seu negócio. Isso inclui regras claras, protocolos alinhados, compartimentalização (separar por compartimentos) e acesso a dados sensíveis, estabelecendo inclusive o uso de senhas fortes. Com essas medidas, é possível identificar aquele colaborador que desobedece às boas práticas de segurança e o compliance, representando potencial risco ao negócio, para lidar com ele de forma preventiva, e não após uma crise.

A política de segurança é essencial ainda para ajudar no planejamento sobre o futuro do empreendimento, dando suporte à expansão do negócio sem diminuir a qualidade do serviço ofertado aos clientes já existentes. Isso também se aplica ao “negócio data center” como um todo no Brasil, enquanto políticas públicas necessárias para auxiliar na competitividade e melhoria do cenário de tecnologia no país. Para este fim, a ABDI – Agência Brasileira de Desenvolvimento Industrial e o MDIC – Ministério do Desenvolvimento, Indústria, Comércio e Serviços conduziram o estudo “Estratégia para a implementação de política pública para atração de Data Centers”.

Este levantamento foi publicado no final de 2023 e traz uma ampla pesquisa envolvendo desde as oportunidades na cadeia produtiva dos datacenters ao impacto dos encargos tributários no ambiente de negócios, extrapolando assim as oportunidades de melhoria que cabem aos gestores públicos e privados no segmento.

Dois dados chamaram particularmente minha atenção neste estudo: o consumo de energia para operação do datacenter é seu maior gasto mensal e pode chegar a 32% do OPEX, e os custos com hardware e software representam quase 62% do CAPEX no investimento para um data center. Esses dados são essenciais porque mostram o espaço para redirecionamento de forças que o provedor pode ganhar ao aderir a modelos As a Service, como a própria Cibersegurança As a Service, por exemplo, e focar melhor no desempenho e competitividade do seu negócio.

Desta forma, concluímos que não há bala de prata em termos de segurança de dados de um data center, por isso, desconfie sempre de quem quer vender “fórmulas mágicas”. É a conjugação de medidas sérias nos três âmbitos – digital, físico e humano – que confere a solução correta em segurança, dando mais confiança a quem trabalha e paz a quem usa o data center, seja para colocation, cloud ou conectividade.