Data Center: quando la sicurezza è critica

di Giovanni Villarosa - Laureato in Scienze dell’Intelligence e della Sicurezza, esperto di Sicurezza Fisica per Infrastrutture, CSO e DPO, membro del comitato tecnico-scientifico del CESPIS, Centro Studi Prevenzione, Investigazione e Sicurezza

Come sappiamo, un DC rappresenta, per eccellenza, l’entità critica delle grandi organizzazioni, il fulcro informatico che gestisce, in maniera costante, tutti i flussi che veicolano le informazioni critiche e i dati strategici; un’area così cruciale rappresenta un obiettivo di elevato valore per tentativi di intrusione mirati al furto, al sabotaggio o al semplice danneggiamento dimostrativo delle infrastrutture IT. Appare evidente come l’insieme di questi rischi renda indispensabile, per un professionista, una vision progettuale della security che spazi a 360 gradi, capace di integrare una sicurezza dall’aspetto eterogeneo, come sono i sistemi antincendio, antintrusione, di building automation, di videosorveglianza e di controllo degli accessi, integrandoli in un’unica soluzione interconnessa, efficacie ed efficiente. 

La sfida del professionista

Progettare - e poi realizzare una infrastruttura fisica e logica in grado di garantire costantemente una continuità operativa perfetta, stretta tra normative tecniche e precetti giuridici, obblighi previsti in materia di sicurezza delle informazioni e del trattamento dei dati, e infine creare su misura un luogo fisico dove verranno archiviati tutti i dati aziendali, conservati computer e relative apparecchiature hardware dell’infrastruttura informatica utilizzati dai sistemi IT, quali server, unità di archiviazione e sistemi di rete, è la sfida a cui è chiamato oggi il professionista, progettista o system integrator, anche sulla base dei nuovi adempimenti di cyber security e physical security previsti dalle Direttive NIS-2 e CER.

Obiettivo: continuità operativa

Una continuità operativa che dipenderà essenzialmente da una serie di prassi legate a specifiche misure e procedure di sicurezza fisica integrata, che dovranno essere attuate per bilanciare i diversi sottosettori della sicurezza nel suo insieme, tanto in ambito safety (antincendio, telecamere termiche, etc) quanto nel perimetro della physical security attiva (antintrusione, controllo accessi, videosorveglianza), e passiva (mezzi forti, blindature, recinzioni, etc). Ma il pericolo più insidioso che si corre all’interno di una infrastruttura IT, quale appunto un DC o un CED, non è solo di carattere doloso (criminogeno), perché uno dei pericoli più sentiti oggi dai responsabili aziendali rimane sostanzialmente l’incendio, situazione che può svilupparsi rapidamente all’interno dei locali paralizzando i servizi, oltre a causare danni economici e reputazionali. Questa circostanza, estremamente pericolosa, può innescarsi rapidamente a causa del surriscaldamento dei dispositivi, vista la massiccia presenza di componenti elettronici all’interno delle macchine, dunque, una sbagliata progettazione, una fallace scelta dei prodotti, o peggio ancora, una errata installazione degli impianti tecnologici, sono tra le concause principali degli incendi nei locali informatici. 

Ostacolare un accesso non autorizzato

Tuttavia, la difesa di un’infrastruttura informatica complessa, come appunto i DC, si fonda su diversi aspetti della sicurezza, e successivamente alla messa in sicurezza dai rischi incendio, si inizia dal controllo rigoroso di tutto ciò che ruota attorno al perimetro delle strutture fisiche. 

Ostacolare un accesso non autorizzato è un fattore imprescindibile, poiché chi riesce ad accedere direttamente ai server IT può danneggiare irreparabilmente le infrastrutture informatiche, compromettendo la riservatezza delle informazioni e la disponibilità dei dati, ma comunque, nella migliore delle ipotesi, interrompere i servizi essenziali. 

Integrazione impianti antintrusione e controllo degli accessi 

Ecco che, facendo degli esempi, per una corretta integrazione tra un sistema di sicurezza antintrusione e quello del controllo degli accessi operativi all’interno delle aree riservate, vanno previsti necessariamente appositi percorsi, delineati e separati, tra le diverse zone critiche dell’edificio, definendo appropriati livelli di privilegio, autorizzazioni utilizzabili esclusivamente nelle aree di competenza, valide per il tempo strettamente necessario alle operazioni. Tali segmentazioni ridurranno drasticamente le vulnerabilità, in modo particolare le superfici di attacco, rendendo più semplice tutte le attività di monitoraggio dei movimenti in realtime.

Quando il progettista fa la differenza

Oltre a ciò, la sicurezza fisica e logica di un Data Center è caratterizzata da un più ampio e complesso sistema di difese, stratificato e olistico, dove ogni layer di protezione è collaborante con gli altri, tali da creare uno schermo difensivo il più possibile impenetrabile: dalla vigilanza del perimetro più esterno fino al controllo interno accurato dei singoli rack, ogni azione e procedure andranno curate a garanzia della massima protezione dei dispositivi e la sicurezza dei dati e delle informazioni. 

Qui il progettista farà la differenza, perché dovrà progettare una fortificazione basata su quattro linee primarie di difesa, sviluppate su livelli concentrici, difese composte da elementi di sicurezza fisica attiva e passiva, integrati da componenti di sicurezza logica.

4 anelli di protezione

Il primo anello antintrusione sarà rappresentato dal perimetro esterno all’edificio, con un duplice obiettivo: scoraggiare, quindi ritardare, ma contemporaneamente rilevare istantaneamente qualsiasi tentativo di intrusione fisica. Il successivo anello, quale secondo livello, sarà caratterizzato da un sistema di controllo degli accessi fisici, importante per riconoscere, identificare e autenticare qualsiasi persona entri all’interno dell’infrastruttura tramite credenziali proprie come badge, controlli biometrici, o altre procedure di registrazione dettagliate a più fattori. Il terzo anello si concentrerà invece sulla protezione del SOC (security operations centre) e delle aree sensibili, le cosiddette aree grigie e bianche, molto spesso non sorvegliate o scarsamente considerate, ma con il rischio di trovarsi con la presenza di persone non autorizzate. 

Quarto anello: il cuore del DC

Il quarto anello, il più delicato, rappresenta il cuore dell’infrastruttura critica, il luogo fisico e digitale dove la sicurezza deve essere massima e nulla lasciato al caso, perché è qui che risiedono i server e le apparecchiature più sensibili (inestimabile patrimonio aziendale), e dunque i sistemi di sicurezza devono essere robusti e ridondanti, utilizzando serrature digitali per gli accessi (ai rack, aree riservate, locali tecnologici), sistemi elettronici di monitoraggio ambientale (qualità dell’aria, climatizzazione) e sistemi di allarme (safety e security), che rilevano qualsiasi tipologia di anomalie (fumo, temperatura, ambienti inquinati, intrusioni, allagamenti, allarmi tecnologici), assicurando selettivamente gli accessi e la presenza al solo il personale autorizzato.

Gestione unificata

Per gestire tutti questi livelli di sicurezza e le relative integrazioni dei diversi layer tecnologici, un Data Center dovrà essere dotato di una piattaforma di sicurezza unificata che fornisca una panoramica completa, facilitando così l’identificazione delle minacce e l’ottimizzazione delle risposte. Una delle piattaforme tipiche più utilizzate dai professionisti è il software PSIM (physical security information management), uno specializzato strumento di governance in grado di elaborare i diversi segnali eterogenei di input provenienti dal campo, trasformandoli in funzionali processi operativi, 

Apriamo con questo nuovo articolo la rubrica Installazione for Dummies 2026, il laboratorio guida dedicato ai professionisti della sicurezza - a 360° ma sempre con un approccio leggero - occupandoci di una tematica attualmente molto sentita: la sicurezza integrata dei Data Center (DC).