09 Ene 2017

Data centers…

Data centers certificados para las entidades financieras en Colombia

 

Desde hace varios años, la Superintendencia Financiera de Colombia está buscando implementar un proyecto que exija a las entidades financieras colombianas contar con data centers principales y alternos certificados. Aunque a la fecha esta iniciativa aún no se ha llevado a cabo, lo más probable es que se consolide durante el año 2017 o 2018. De allí la importancia de contar con el apoyo y la guía de compañías de consultoría expertas, con las cuales se puedan evaluar la infraestructura física existente, los requerimientos finales que sean promulgados y la brecha entre ambos factores, para hacer los ajustes o adecuaciones correctas, sin incurrir en gastos extras.

Específicamente, desde el año 2013, la Superintendencia Financiera de Colombia ha buscado desarrollar el Proyecto 028 del 2013 referente a los requerimientos mínimos para el procesamiento de información en las entidades financieras, incluyendo fondos de pensiones y cesantías y diferentes entidades relacionadas con operaciones en la bolsa de valores[1]. Si bien este proyecto de circular externa ha sufrido dilaciones y modificaciones, se debe destacar que sigue siendo parte de la Agenda normativa de la Superintendencia Financiera y muy posiblemente se consolide entre los años 2017 y 2018[2].

Asimismo, a pesar de que el proyecto de la superintendencia ha sido dilatado varias veces —en buena parte para permitir que las entidades financieras colombianas cuenten con más tiempo para preparar sus instalaciones de centros de cómputo— es inevitable que en algún momento la normativa se implemente. A raíz de esto, las entidades financieras deben comenzar a preparar el camino y alistar las adecuaciones, para evitar apuros a última hora con proyectos de evaluación, análisis de cumplimiento TIER, reestructuración o readecuación e incluso con proyectos de construcción de nuevos centros de cómputo, los cuales pueden tardar entre 18 y 24 meses para concretarse.

Al considerar lo anterior, INGENIUM ha desarrollado los servicios de evaluación de data center “TIER Gap Analysis” y “Data Center Assessment” con enfoque en disponibilidad. Por una parte, el servicio de “TIER Gap Analysis” busca asistir al cliente en la identificación de las inconformidades mayores y menores de la topología del diseño del data center que impiden alcanzar el objetivo de certificación del diseño bajo el estándar TIER del Uptime Institute, en este caso en particular respecto del nivel TIER III; de tal manera que, al conocer la brecha existente en el diseño o en la implementación actual —si aplicara— respecto al estándar TIER y su nivel objetivo, se pueda determinar la factibilidad de la implementación de los cambios requeridos para poder obtener la certificación TIER III del diseño de su data center y la posterior certificación de Instalación Construida.

Por otra parte, el servicio de “Data Center Assessment”, con enfoque en disponibilidad, busca asistir al cliente en la identificación de los riesgos y vulnerabilidades actuales del centro de cómputo existente desde el aspecto de la disponibilidad del sistema y los puntos únicos de falla de este, a través de la realización de un análisis y auditoría de los principales subsistemas del data center, abarcando los sistemas de potencia, arquitectónicos, aire acondicionado, telecomunicaciones y sistemas especiales (CCTV, control de acceso, detección y extinción de incendios y BMS).

A partir de estos servicios, se traza el punto de partida en la identificación de los puntos únicos de falla que afectan la disponibilidad del centro de cómputo y, por ende, el incumplimiento del criterio de mantenimiento concurrente para la viabilidad en la obtención de la certificación documental TIER III del Uptime Institute. Una vez determinado este punto de partida, es posible definir qué tipo de proyectos (por ejemplo: adecuación, reestructuración o nuevo proyecto) son necesarios para cumplir con los lineamientos del nivel TIER III del Centro Principal de Procesamiento de Datos y del Centro Alterno de Procesamiento de Datos, y posteriormente de los Planes de Recuperación de Desastres y Continuidad del Negocio.

Por lo tanto, es importante que las entidades financieras en Colombia empiecen cuanto antes a realizar las evaluaciones del nivel TIER actual de sus centros de cómputo principales y alternos, con el fin de identificar los puntos únicos de falla de estos y desarrollar los proyectos respectivos de mitigación, de forma que estén preparados adecuadamente para el momento en que la normativa sea finalmente implementada en el país.

Por: Juan Carlos Londoño – Senior Consultant Colombia – INGENIUM
[email protected]

Notas

[1] Para más información referente al cumplimiento obligatorio del Centro Principal de Procesamiento de Datos y del Centro Alterno de Procesamiento de Datos de los lineamientos del nivel TIER III, la distancia mínima aceptable entre ellos y la implementación de Planes de Recuperación de Desastres y Continuidad del Negocio, revisar: Superintendencia Financiera de Colombia. (2014). Proyectos de normatividad 2013. (https://www.superfinanciera.gov.co/jsp/loader.jsf?lServicio=Publicaciones&lTipo=publicaciones&lFuncion=loadContenidoPublicacion&id=20322&reAncha=1  )

[2] Ver tema 57 “Requerimientos mínimos para la administración de los Centros de Procesamiento de Datos (CPD), Centros Alternos de Procesamiento de Datos (CAPD), Centros de Servicio Compartido (CSC) y Continuidad del Negocio” en:  Superintendencia Financiera de Colombia. (2016). Agenda normativa 2016. (https://www.superfinanciera.gov.co/jsp/loader.jsf?lServicio=Publicaciones&lTipo=publicaciones&lFuncion=loadContenidoPublicacion&id=10084102)