Los servidores dedicados de OVH obtienen la certificación ISO 27001

El pasado 14 de marzo, OVH obtuvo la certificación ISO/IEC 27001:2013 para el sistema de gestión de la seguridad de la información (ISMS, por sus siglas en inglés) de sus servidores dedicados.

Certificación de los servidores de OVH

Dicha certificación, obtenida tras una auditoría independiente realizada por el Laboratorio Nacional de Metrología y Ensayos (LNE) francés, ofrece una sólida garantía a los clientes y usuarios de los servicios alojados en nuestros servidores.

Certificación ISO

¿En qué consiste el estándar ISO 27001 y su correspondiente certificación?

La norma ISO/IEC 27001 es un estándar internacional que especifica los «requisitos para el establecimiento, la implementación, el mantenimiento y la mejora continua de un sistema de gestión de la seguridad de la información» (ISMS) y describe los procedimientos organizativos que deben ponerse en marcha para garantizar la confidencialidad, la integridad, la disponibilidad y la trazabilidad de un sistema de información.

Seguridad permanente

Desde el nacimiento de OVH, la seguridad ha sido uno de los principales objetivos para los equipos que diseñan, gestionan y desarrollan los servicios. El propósito de un ISMS es velar para que el funcionamiento de los medios desplegados para garantizar la seguridad sea sistemático, comparable y demostrable.

En el plano operativo, el ISMS se traduce en el establecimiento, el mantenimiento, la monitorización y la mejora continua de las herramientas y procesos que permiten:

  • identificar y consolidar las obligaciones y compromisos de OVH en materia de seguridad de la información;
  • fijar objetivos de seguridad de la información adecuados, comprensibles y coherentes;
  • aplicar un enfoque basado en riesgos para definir y priorizar las posibles mejoras de la seguridad;
  • establecer, industrializar y aplicar medidas de seguridad;
  • facilitar la comunicación y la coordinación con todos los agentes internos y externos implicados.

En la práctica, un ISMS permite gestionar todas las actividades que implican un riesgo para el servicio, como permisos de acceso, configuraciones del sistema y de los dispositivos, actualizaciones de software, mejoras de la infraestructura, borrado de datos, particionamiento entre entornos, monitorización e incidencias. Garantizar una seguridad absoluta no es una meta realista, pero este sistema permite identificar vulnerabilidades, errores y fallos de funcionamiento de forma más rápida y fiable, y garantiza la rápida aplicación de las medidas correctivas, así como un seguimiento posterior de las mismas.

Trabajo en equipo

Un equipo de expertos en seguridad trabaja con los equipos encargados del diseño y la gestión del servicio, el soporte técnico, el departamento de ventas y la dirección de OVH para priorizar estas mejoras. La coordinación de estas diferentes perspectivas con un enfoque basado en riesgos integrado en el ciclo de vida del producto garantiza una adaptación rápida, pragmática e industrial de los sistemas y procesos frente a estas cambiantes amenazas.

La auditoría de certificación

Las auditorías de certificación son realizadas por empresas acreditadas. En nuestro caso, la encargada ha sido la entidad pública francesa LNE, acreditada por el comité francés de acreditación. Esta auditoría, basada en requisitos formales y con un estricto formato, supone un reto tanto para los equipos como para el propio auditor quien, basándose en sus visitas a las oficinas y los centros de datos, las entrevistas con los equipos, un exhaustivo análisis de la documentación y la observación de los sistemas durante varias semanas, emite su opinión sobre la pertinencia de las medidas implementadas, su eficacia y, por supuesto, su conformidad con los requisitos de la norma ISO 27001. El auditor también debe identificar los posible ejes de mejora.

¿Cuál es el ámbito de aplicación?

Un ISMS abarca la puesta a disposición, la conectividad, el mantenimiento en condiciones operativas y la desconexión de los servidores dedicados; los recursos atribuidos a los clientes para la configuración, el uso y la monitorización de las infraestructuras asignadas; y la gestión del servicio por parte de los equipos de OVH. Así pues, el ISMS se centra en gran medida en el servicio ofrecido al cliente.

‘Security as code’

El ISMS cubre todo el parque de servidores físicos administrados por OVH, es decir, cientos de miles de servidores repartidos entre los diferentes datacenters del grupo. Para entender y gestionar la seguridad de forma eficiente y sostenible en un perímetro tan extenso, es necesario que todas las decisiones se ajusten a los principios de estandarización y automatización que vertebran el modelo industrial de OVH. En la cadena de valor de OVH, todas las actividades humanas repetitivas están llamadas a desaparecer con el tiempo. Por lo tanto, la mejora del ISMS y de la seguridad pasa por la automatización de las actividades diarias y el desarrollo de herramientas que permitan gestionar el servicio de forma totalmente segura. La intervención de los equipos debe limitarse únicamente a aquellos casos que requieran un análisis profundo o una coordinación compleja. Este modelo permite un escalado exponencial del sistema de gestión, limitando los recursos necesarios para su funcionamiento.

Un ISMS modular

Todos los productos de OVH comparten, en mayor o menor medida, estos sistemas de información, que, a su vez, se alojan en servidores dedicados. Elaborar un diagrama de las dependencias y responsabilidades internas es, en cierto modo, una historia interminable. Sin embargo, era un requisito indispensable para poder definir una organización de seguridad clara y comprensible que permitiera el correcto funcionamiento del ISMS. Para ello, se utilizó un enfoque modular para segmentar y estructurar las responsabilidades de cada equipo implicado. Estas relaciones están determinadas por un conjunto de acuerdos de servicio internos definidos y monitorizados en el ISMS.

Los datacenters, por ejemplo, tienen un ISMS independiente para garantizar la seguridad física de las instalaciones de alojamiento y la seguridad de las operaciones. El ISMS de los datacenters cuenta con su propia certificación y es el punto de partida para la conformidad del servicio.

La certificación del ISMS de los servidores dedicados se basa, pues, en la certificación del datacenter y cubre la totalidad de los servidores alojados en nuestros centros de datos certificados que, a día de hoy, son los de Roubaix 2, 3, 5, 6 y 7 y todos los de Estrasburgo, Beauharnois, Singapur y Sídney. El datacenter de París (P19), que alberga parte del sistema de información, también cuenta con la certificación, aunque en él no se encuentra ningún servidor dedicado asignado a clientes. A pesar de que el ISMS engloba todos los servidores del grupo, la certificación solo cubre los datacenters anteriormente mencionados.

¿Y ahora qué?

La norma ISO 27001 es un estándar genérico que responde a las inquietudes de la mayoría de nuestros clientes, estableciendo un marco y una organización concretos para garantizar la seguridad del servicio. Sin embargo, conviene recordar que esta norma no tiene en cuenta los requerimientos específicos de sectores concretos, pero sí ofrece la posibilidad de añadirlos. El ISMS de los servidores dedicados está precisamente diseñado con ese fin, integrando progresivamente nuevas medidas específicas que permitan, por ejemplo, cubrir las necesidades del alojamiento de datos personales relativos a la salud, los requisitos del sector bancario o las especificidades reglamentarias del sector público en los diferentes países en los que OVH ofrece sus servicios.

En paralelo, los equipos trabajan para ampliar el perímetro de la certificación con el fin de incluir en él todos datacenters del grupo y, en particular, los centros de datos de Londres (UK), Fráncfort (DE), Varsovia (PL) y Gravelines (FR). El objetivo es ofrecer a todos los clientes de OVH el mismo nivel de garantía en materia de seguridad, independientemente del datacenter elegido.

Por último, nuestro equipo seguirá trabajando con los equipos de producto para completar el catálogo de servicios certificados y extender gradualmente esta certificación a todas las soluciones IaaS de OVH.   Julien Levrard, responsable de Conformidad y Seguridad