Volver

Análisis de riesgos y selección de localidad: Dos pilares imprescindibles

La experiencia profesional ha demostrado que las etapas de análisis de riesgos y selección de localidades en la planificación estratégica de centros de datos con frecuencia son obviadas

El análisis de los factores de riesgo que pueden atentar contra la seguridad de un centro de datos exige entender su naturaleza como almacén de información sensible que debe ser protegida. El diseño de estas estructuras debe realizarse tomando en cuenta las debidas precauciones relativas a seguridad física, control ambiental, incendios, calidad de energía eléctrica, instalaciones y equipos, entre otros. De igual manera, durante la etapa inicial de este proceso ha de incluirse el análisis detallado de los riesgos externos al centro de datos propiamente dicho, así como el estudio de las condiciones de infraestructura en la localidad a seleccionar.
 
La experiencia profesional ha demostrado que las etapas de análisis de riesgos y selección de localidades en la planificación estratégica de centros de datos con frecuencia son obviadas, cuando en un proyecto exitoso deben ser sus pilares imprescindibles. 
 
A continuación se presentan algunas recomendaciones considerando normas internacionales y las mejores prácticas a criterio profesional del autor. De igual manera se presenta un análisis de la metodología que utilizamos en nuestras consultorías para llevar a cabo esta tarea, ventajas, desventajas y casos reales de éxito.
 
Recomendaciones generales
 
Las recomendaciones técnicas consideran variables de desastres naturales y climatológicos tales como sismos, tormentas, huracanes, sequías, volcanes, deslaves, deslizamientos, inestabilidad de terrenos, tsunamis o inundaciones entre otros, además de la vulnerabilidad al sitio seleccionado.
 
La absoluta eliminación de posibilidad de ocurrencia de un evento de desastres naturales haría muy compleja y costosa la construcción del centro de datos, incluyendo su operación y mantenimiento. Lo que en realidad se pretende es mitigar la mayor cantidad de riesgos y aquellos con mayor probabilidad de ocurrencia e impacto. Este tipo de desastres pueden ocasionar fallas en los servicios de suministro de electricidad y telecomunicaciones, fallas en las vías de comunicaciones y transporte público, así como afectar a la población, a la zona y a los empleados.
 
Las recomendaciones técnicas también consideran desastres no naturales, tales como áreas con altos riesgos industriales, ataques terroristas, vulnerabilidades sociales, seguridad ciudadana, zonas de seguridad del país, instalaciones militares, pandemias y desastres futuros hipotéticos. 
 
Mitigar factores que provienen de acciones provocadas por el ser humano, requiere considerar la proximidad a vías públicas para evitar colisiones o derrames de sustancias tóxicas o inflamables; la proximidad a tráfico aéreo, férreo o marítimo para reducir la posibilidad de accidentes de aterrizaje, descarrilamiento y ataques terroristas, entre otros.
 
Asimismo se deben evaluar las localidades adyacentes al centro de datos y el uso de los terrenos y edificaciones. No se recomienda cercanía a lotes vacíos, plantas nucleares, aeropuertos, embajadas, consulados u otras edificaciones con objetivos políticos, autopistas principales o estaciones de gasolina. Por el contrario, se recomienda la proximidad a un área metropolitana, estaciones de bomberos, policía, hospitales y vías de acceso secundarias con poco tráfico.
 
La calidad de servicios en la localidad seleccionada es un factor clave para garantizar su éxito, y principalmente los servicios de electricidad y telecomunicaciones. Los centros de datos requieren de servicios de electricidad y telecomunicaciones con altos niveles de confiabilidad y disponibilidad, por lo cual se recomienda descartar las localidades que no satisfagan estas premisas. Los anteriores servicios usualmente dependen o se encuentran regulados por entes gubernamentales. También
hay que evaluar otros servicios como aguas blancas, red de saneamiento de aguas negras y aguas de lluvias, diésel, gas natural y otras fuentes de energía convencional y renovable. 
 
Igualmente importante resulta el evaluar el personal y los incentivos para el negocio, tales como personal calificado, tendencias poblacionales, políticas e incentivos gubernamentales, disponibilidad de terrenos o edificaciones, geografía de la ciudad, seguridad, análisis financieros, seguros, seguridad social, costos de operación y mantenimiento.
 
En el caso de que se considere un centro de datos alterno, es determinante reducir la probabilidad de que el data center principal y el alterno se vean afectados por la ocurrencia de un mismo evento. En la selección de la localidad del centro de datos principal o alterno pueden existir factores determinantes en el esquema de selección y las alternativas disponibles, como lo son el tiempo y el costo de ejecución.
 
Metodología para el cálculo de riesgo
 
 
El objetivo del análisis de riesgos es poder identificar todas las potenciales amenazas o vulnerabilidades, y cuantificar el riesgo que éstas involucran. La metodología propuesta en este artículo es el resultado de la mezcla de dos metodologías comúnmente utilizadas, y simplificada en cuatro pasos sencillos.
 
El objetivo del análisis de riesgos es poder identificar todas las potenciales amenazas o vulnerabilidades, y cuantificar el riesgo que éstas involucran. La metodología propuesta en este artículo es el resultado de la mezcla de dos metodologías comúnmente utilizadas, y simplificada en cuatro pasos sencillos.   El primer paso consiste en identificar todas las posibles amenazas y vulnerabilidades según las recomendaciones presentadas anteriormente, clasificándolas en categorías y subcategorías. Por ejemplo, una categoría es ‘riesgos naturales’, a la cual se asigna un peso del 20%, y una sub-categoría es ‘inundaciones’, a la cual se asigna un 8% del 20%, tal como se muestra en la Tabla 1.   El segundo paso consiste en cuantificar la probabilidad de ocurrencia del evento, utilizando tablas de valores desarrolladas a criterio del consultor. Para cada una de las amenazas identificadas, se procede a asignar un valor que determina su probabilidad o posibilidad de ocurrencia, como se indica en la Tabla 2. Cuando no es posible obtener información precisa, se aplica el principio de Varnes, que plantea que lo ocurrido en el pasado y presente sirve de guía para saber qué ocurrirá en el futuro.  El tercer paso involucra determinar las consecuencias de la ocurrencia del evento, considerando las acciones o controles para mitigar el impacto del mismo. Para cuantificar el impacto se establecen niveles y se asignan valores a criterio del consultor, como se indica en la Tabla 3.  En el cuarto paso se calcula el riesgo de cada amenaza y el riesgo ponderado total de la localidad evaluada. El nivel de riesgo es la probabilidad de que se produzca un acontecimiento que conlleve a pérdidas materiales o humanas, y resulta del producto de la probabilidad de ocurrencia del evento por el impacto del evento, por la ponderación del mismo. La Tabla 4 muestra un ejemplo de la evaluación de riesgos naturales desde la identificación de las amenazas hasta la cuantificación de las mismas.  De acuerdo a esta metodología, el resultado de la ponderación total de riesgos tiene un rango de 1 a 20, donde ‘1’ representa la localidad con el menor riesgo posible y ‘20’ representa la localidad con el mayor riesgo. En caso de disponer de distintas alternativas para la futura localidad del centro de datos, se recomienda realizar un análisis comparativo para seleccionar la localidad que presente el resultado de ponderación total más bajo o menos riesgoso.
 
El primer paso consiste en identificar todas las posibles amenazas y vulnerabilidades según las recomendaciones presentadas anteriormente, clasificándolas en categorías y subcategorías. Por ejemplo, una categoría es ‘riesgos naturales’, a la cual se asigna un peso del 20%, y una sub-categoría es ‘inundaciones’, a la cual se asigna un 8% del 20%, tal como se muestra en la Tabla 1.
 
 
Tabla 2
 
 
El segundo paso consiste en cuantificar la probabilidad de ocurrencia del evento, utilizando tablas de valores desarrolladas a criterio del consultor. Para cada una de las amenazas identificadas, se procede a asignar un valor que determina su probabilidad o posibilidad de ocurrencia, como se indica en la Tabla 2. Cuando no es posible obtener información precisa, se aplica el principio de Varnes, que plantea que lo ocurrido en el pasado y presente sirve de guía para saber qué ocurrirá en el futuro.
 
 
Tabla 3
 
 
El tercer paso involucra determinar las consecuencias de la ocurrencia del evento, considerando las acciones o controles para mitigar el impacto del mismo. Para cuantificar el impacto se establecen niveles y se asignan valores a criterio del consultor, como se indica en la Tabla 3.
 
 
Tabla 4
 
 
En el cuarto paso se calcula el riesgo de cada amenaza y el riesgo ponderado total de la localidad evaluada. El nivel de riesgo es la probabilidad de que se produzca un acontecimiento que conlleve a pérdidas materiales o humanas, y resulta del producto de la probabilidad de ocurrencia del evento por el impacto del evento, por la ponderación del mismo. La Tabla 4 muestra un ejemplo de la evaluación de riesgos naturales desde la identificación de las amenazas hasta la cuantificación de las mismas.
 
De acuerdo a esta metodología, el resultado de la ponderación total de riesgos tiene un rango de 1 a 20, donde ‘1’ representa la localidad con el menor riesgo posible y ‘20’ representa la localidad con el mayor riesgo. En caso de disponer de distintas alternativas para la futura localidad del centro de datos, se recomienda realizar un análisis comparativo para seleccionar la localidad que presente el resultado de ponderación total más bajo o menos riesgoso.
 
 
 
Experiencia
 
La metodología presentada ha generado en la práctica resultados muy positivos con nuestros clientes. Este proceso no solamente invita a tener en consideración todas las posibles amenazas y vulnerabilidades a las cuales la futura localidad del centro de datos estará expuesta, sino que también permite determinar el impacto de cada uno de los riesgos. Partiendo de este análisis, nuestros clientes han tenido la oportunidad no solamente de escoger la localidad más apropiada para su centro de datos, sino también de preparar estrategias de mitigación y control de los riesgos, reduciendo el posible impacto con suficiente anticipación.
 
Adicional a todas las ventajas que nuestra metodología ofrece en cuanto a estandarización del proceso y cuantificación del riesgo, siempre existen retos que el consultor o especialista debe enfrentar. Se debe entender que cada cliente es diferente y tiene sus propias necesidades, por lo cual es tarea del consultor comprender y definir las distintas amenazas y vulnerabilidades, así como revisar las ponderaciones de cada categoría de amenazas según los requerimientos.
 
Adicionalmente, los valores de probabilidad de ocurrencia e impacto pudieran estar influenciados por las experiencias y subjetividad del experto, por lo que un análisis exhaustivo resulta indispensable, basado en información real, argumentos sólidos y un análisis a profundidad por parte del equipo consultor.
 
En resumen, la metodología desarrollada es una guía amplia, detallada y replicable para realizar el análisis de riesgos colaborando con la toma de decisiones para la selección de la localidad más óptima del futuro centro de datos.
 
Este artículo apareció publicado por primera vez en el número 20 de la revista Focus que puede consultar de forma digital aquí
 
 
 
 
INGEAL, Expertos en Innovación para Green Data Centers

Volver