¿Dónde están las películas de Netflix, nuestros datos bancarios o los mensajes de WhatsApp? Todos estos datos se alojan en data centers con elevadas medidas de seguridad, que garantizan la integridad de la información y la continuidad del servicio.

Vivimos en una sociedad digital y conectada, en la que casi cada acción que realizamos genera datos. ¿Qué sucede con ellos? Toda esa información que se origina en nuestros dispositivos se traslada a los data centers, enormes instalaciones donde se alojan los servidores que almacenan y procesan dichos datos.

Estos centros de datos son realmente el corazón de internet. Y si fallan, todo sea cae. Por eso, estas instalaciones están diseñadas para garantizar la continuidad del servicio y, sobre todo, la seguridad de los datos que albergan.

El primer aspecto importante de los data centers es su ubicación. Se trata de instalaciones muy grandes, por lo que han de emplazarse en lugares donde haya suficiente terreno disponible. Sin embargo, no pueden estar ubicados en lugares remotos, puesto que necesitan contar con infraestructuras como carreteras, redes de suministro eléctrico, etc. Además, conviene que no estén demasiado alejados de los usuarios finales, para que los datos no tengan que recorrer distancias muy grandes. Esto haría que aumentase la latencia, que es el retardo entre la transmisión y recepción de los datos.

Instalaciones muy preparadas

Un aspecto especialmente importante en los centros de datos es la refrigeración, puesto que los equipos que albergan desprenden mucho calor durante su funcionamiento. De hecho, la factura energética es uno de los principales costes de los data centers.

Los grandes centros de datos recurren a soluciones que ayudan a reducir dicho coste, situándose en lugares especialmente fríos -como en los países nórdicos-, refrigerando los servidores mediante agua del mar o pozos fríos, instalando paneles fotovoltaicos para autoabastecerse de electricidad, etc.

Asimismo, las instalaciones deben estar bien preparadas. Han de contar con alarmas y controles de temperatura y humedad, medidas de seguridad ante incendio e inundación, sistemas de seguridad física contra posibles intentos de intrusión, como cámaras de vigilancia, detectores de movimiento, controles de acceso biométricos, puertas y cámaras acorazadas para datos especialmente sensibles, etc.

Los data centers se clasifican en cuatro niveles Tier, dependiendo de la redundancia de equipos. Por ejemplo, un centro de datos básico cuenta con una sola acometida eléctrica y un único sistema de refrigeración. Sin embargo, un data center Tier IV es prácticamente imposible que se vea interrumpido, ya que dispone de múltiples rutas independientes de alimentación eléctrica y de refrigeración de los equipos, sistemas redundantes que facilitan la realización de backups y la recuperación de datos, sistemas de almacenamiento de energía, etc.

Atención a la ciberseguridad

Además de la seguridad de las instalaciones físicas, otro elemento crítico es la protección de los datos que cobijan, por lo que hay que tener en cuenta el riesgo de ciberataques. Junto a sistemas de backup y recuperación de datos, los data centers disponen de firewalls que filtran el acceso a la red e implementan medidas como el cifrado durante la transferencia de los datos o la segmentación del tráfico, acotando así el riesgo a subredes independientes.

También cuentan con sistemas de búsqueda de amenazas persistentes avanzadas (APT, por sus siglas en inglés) o de detección de intrusos, así como otros sistemas de monitorización del estado de las redes y los servicios. Su objetivo es detectar de forma temprana situaciones como el aumento del número de usuarios con elevados permisos que acceden al sistema en momentos extraños, el incremento de solicitudes que pueden llevar a un ataque de denegación de servicio distribuido (DDoS), la extracción de grandes conjuntos de datos o movimientos anómalos dentro del sistema, el aumento de intentos de phishing dirigidos a personal clave, etc.

Estas tareas suelen quedar encomendadas a un Centro de Operaciones de Seguridad (SOC, por sus siglas en inglés), ya sea propio o ajeno, es decir, operado por una compañía especialista en ciberseguridad.

Cabe recordar que el Reglamento General de Protección de Datos (RGPD) especifica que la obligación de salvaguardar los datos personales recae tanto en el responsable del tratamiento como en el encargado del mismo. De este modo, la empresa que recaba información de sus clientes debe garantizar que no se produzcan brechas de seguridad, por lo que ha de encargar el tratamiento a proveedores que, a su vez, ofrezcan garantías suficientes para cumplir las exigencias legales y aseguren la protección de los derechos de los usuarios.

El reglamento especifica que “la adhesión del encargado a un código de conducta aprobado o a un mecanismo de certificación aprobado puede servir de elemento para demostrar el cumplimiento de las obligaciones por parte del responsable”.

En definitiva, tanto el responsable como el encargado del tratamiento de datos tienen que responder solidariamente ante los daños y perjuicios causados como consecuencia de una infracción del RGPD, asumiendo la parte proporcional de la indemnización correspondiente a su responsabilidad. No obstante, el texto puntualiza que “un encargado únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones […] dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones legales del responsable”.

¿Data center local o externo?

Las empresas pueden optar por desarrollar un data center propio o contratar los servicios de alojamiento y procesamiento a un proveedor especializado. Cada opción tiene ventajas e inconvenientes.

Un centro de datos propio tiene la ventaja de que se diseña atendiendo a las necesidades específicas de la compañía. Además, toda la información es operada dentro de la propia organización, que establece los estándares de seguridad que estime oportunos. Sin embargo, supone una inversión elevada y exige contar con un equipo de expertos en tecnología, que son profesionales muy cotizados en el mercado laboral. Y la capacidad de almacenamiento es limitada, por lo que no es escalable. Habría que afrontar una nueva inversión si el negocio demande más capacidad.

También se pueden contratar servicios de hosting. En este caso, la empresa paga al propietario del data center para almacenar sus datos. Es decir, no tiene que invertir en la compra de hardware ni necesita tener en plantilla los profesionales que requiere un centro de datos propio.

La compañía puede acceder a alojamiento de dedicado, pagando por el uso completo de uno o varios servidores. Si opta por el hospedaje compartido, paga por una cantidad determinada de almacenamiento en un solo servidor, compartiendo los servicios con otros clientes. La administración y mantenimiento de los recursos queda a cargo del proveedor del hospedaje. Ésta suele ser la opción que eligen las pymes.

Las organizaciones que contratan hosting pagan por una cantidad fija y concreta de almacenamiento y procesamiento, aunque se puede ampliar puntualmente adquiriendo espacio adicional. Si la compañía tiene necesidades fluctuantes y presenta picos de tráfico, la solución más eficiente es el hospedaje facilitado por proveedores de servicios en la nube, que aprovechan la capacidad de los data centers de todo el mundo.

La opción de la nube

La principal diferencia con el hosting tradicional es que en el alojamiento en la nube los datos no están en una sola unidad, ya que estos sistemas usan servidores virtuales interconectados entre sí. Esto asegura la disponibilidad de la información y reduce la posibilidad de sufrir una pérdida total.

Las empresas que recurren al hospedaje en la nube sólo pagan por el uso real de almacenamiento. Además, este modelo ofrece capacidad prácticamente ilimitada, por lo que es completamente escalable. Otra ventaja de la nube es que los datos no se alojan en un solo servidor, por lo que hay menor riesgo de pérdida de información o parón de la actividad si se produce la caída de un servidor. Asimismo, la nube ofrece acceso a los datos desde cualquier lugar con acceso a internet.

Poco a poco, las organizaciones están apostando por el alojamiento en la nube, ya sea pública, privada o híbrida. La nube pública es la opción más usual. Aquí encontramos proveedores como Amazon Web Services, Microsoft Azure o Google Cloud. Igual que sucede con los data centers, las empresas acceden a los recursos en la nube de un proveedor de servicios, que los administra y los ofrece a través de internet. Y las compañías comparten estos recursos con otros clientes. 

Por el contrario, la nube privada es usada únicamente por una compañía. Puede alojarse en un centro de datos local o en un proveedor externo, pero con servicios e infraestructura que se mantienen en una red privada, dedicada únicamente a esa organización. Ésta es la opción escogida por organizaciones que exigen elevado control y seguridad de los datos, como instituciones gubernamentales, entidades financieras, etc.

La tercera posibilidad es la nube híbrida, que combina elementos de las dos anteriores. En este caso, los datos se mueven entre nubes públicas y privadas para obtener más flexibilidad. Por ejemplo, determinados datos y aplicaciones no críticas pueden usar la pública, dejando la privada para operaciones que requieren mayor confidencialidad y seguridad.

De este modo, la elección entre el alojamiento en un data center -propio o externo- o en la nube -pública, privada o híbrida- dependerá las necesidades concretas de cada organización.