Seguritecnia 505

/ Enero-Febrero 2024 218 Opinión generales”, habrá que acudir a los ope- radores adecuados y contratar, además, el servicio de asistencia técnica que dis- ponga de un menor tiempo de reacción. En resumen, aunque de momento la legislación ni lo recoge expresamente ni tampoco lo prohíbe, trabajar en cloud es una realidad imparable. Sin embar- go, si se utiliza esta tecnología debe ser responsabilidad de la CRA comprobar el nivel de fiabilidad y disponibilidad de sus proveedores, tanto del CPD externo como del operador de las vías de interconexión. Conclusión final Para ser eficaces y minimizar la posibili- dad de interrupción del servicio en una CRA hay que tener en cuenta múltiples factores. Como vimos en la primera en- trega, en la eficacia influyen aspectos externos, como el buen asesoramiento y profesionalidad del instalador, las deci- siones que toma el cliente respecto a la contratación o no del sistema recomen- dado y el contexto legal. Pero también internos como vimos en las siguientes entregas, todos relacionados con la decisión de invertir: capacidad técnica adecuada y correctamente dimensiona- da de recepción y proceso, obtención de certificaciones de aseguramiento de la calidad y seguridad de la información, planificación de medidas para controlar los riesgos que puedan suponer una in- terrupción parcial o total de la actividad, definición de planes de recuperación ante incidentes graves, aplicar políticas adecuadas con los recursos humanos, procedimentar los procesos y generar registros de toda actuación. Quien no tuviese clara la compleja realidad que hay detrás de una buena CRA, ahora la conoce y puede valorar mejor su labor. Y si eres usuario y preci- sas este servicio de seguridad, cuentas con mayor criterio para seleccionar un buen proveedor. cas para su diseño, construcción y opera- ción, o que cuenten con un nivel alto en la clasificación ‘Tier’ del estándar ANSI/ TIA-942 ( Telecommunications Infras- tructure Standard for Data Centers ). Esta clasificación indica su nivel de fiabilidad según cuatro niveles y exigencias prede- finidas, donde a mayor número de ‘Tier’, mayor garantía de disponibilidad. En este sentido, lo recomendable será trabajar con CPD de nivel ‘Tier’ III con disponibilidad garantizada del 99,982 por ciento o, lo que es lo mismo, con in- terrupciones de servicio inferiores a 1,6 horas al año. O preferiblemente trabajar con ‘Tier’ IV que aseguran el 99,995 por ciento o, lo que es lo mismo, interrupcio- nes menores a 26 minutos al año. En la práctica, lo normal será que, trabajando con un CPD de nivel ‘Tier’ III o IV, no note- mos prácticamente nunca interrupciones del servicio. Y a los fabricantes de siste- mas de alarma que trabajan igualmente con sus sistemas en cloud , que cada vez son más, se les deber exigir lo mismo. Asimismo, la vía de interconexión de la CRA con un CPD remoto debe contar con capacidad suficiente, asegurando su disponibilidad, contando con redun- dancia y securizando las comunicacio- nes. Acudiendo de nuevo a normas, si cumplimos con el nivel DP4 (el nivel más alto de los 10 existentes en la clasifica- ción de funcionamiento y resistencia de los sistemas de transmisión) de la norma EN 50136-1 sobre “Sistemas y equipos de transmisión de alarmas, requisitos bles, ayudado de nuevo por las direc- trices normativas y el personal propio y proveedores especializados. De esta realidad se desprende que, en mayor medida, los sistemas para recibir y gestionar las alarmas no se alojan lo- calmente en la CRA, sino que trabajan en cloud total o parcialmente contra centros especializados externos de pro- cesamiento de datos u otra buena CRA de categoría I, según la norma UNE-EN 50518:2020 (Centros de Supervisión y Recepción de Alarmas). Y no por traba- jar en cloud se reduce el nivel de segu- ridad, al contrario, posiblemente mejore respecto al nivel que puede alcanzar ella misma con un conocimiento técnico y una capacidad de inversión en seguri- dad lógica mucho más limitada. Aunque la legislación de seguridad privada aún no lo contempla expresa- mente, trabajar en cloud es una realidad ineludible y una posibilidad que ya con- templa la norma mencionada. Eso sí, es fundamental que la CRA se asegure del nivel de autoprotección y disponibilidad de dichos centros, ya que delegará en ellos la gestión de la información, pero no la responsabilidad si fallasen. Esos centros de procesamiento de da- tos (CPD) remotos deben cumplir a su vez con normas que garanticen su fiabilidad y disponibilidad. Por ejemplo, que cumplan con la norma UNE-EN 50600 (Tecnología de la información. Infraestructuras e ins- talaciones de centros de datos), donde se establecen condiciones y buenas prácti- Aunque la legislación de seguridad privada aún no lo contempla expresamente, trabajar en ‘cloud’ en las CRA es una realidad imparable