Javier Montemayor, de Interxion: «Las certificaciones son un requisito fundamental para trabajar con las AA.PP.»

Javier Montemayor, director de Operaciones de Interxion España.

MuyComputerPRO: ¿Por qué son tan importantes las certificaciones para las empresas?

Javier Montemayor: Las certificaciones acreditan una auditoria exhaustiva por un tercero de confianza especialista en la norma en cuestión. Son una garantía de que las cosas se hacen correctamente y que los procedimientos están al servicio del negocio. Una empresa, cuando se certifica, lo que le está diciendo al mercado y a sus clientes es que sigue unos determinados protocolos, que cumple con unos requisitos, que está preparada para, en definitiva, dar un servicio de calidad con todas las garantías.

Hay numerosas normas que regulan un sinfín de procedimientos. Muchas son específicas y deben ser cumplidas a rajatabla por las empresas que operen en determinados sectores. De hecho, las certificaciones cada vez se consideran requisito fundamental para obtener un contrato con la administración pública o con la empresa privada, pues es una garantía de cumplimiento.

MCPRO: ¿Y para un centro de datos?

JM: En el caso de los centros de datos también hay normas y sellos específicos.

Una de las más conocidas es la certificación TIER que evalúa la disponibilidad de una infraestructura de centros de datos. Sin embargo desde nuestro punto de vista, hay que ir un paso más allá y no solo evaluar puntualmente la infraestructura sino el día a día de dicha infraestructura.

Uno de estos pasos es el sello M&O (Management and Operations), también del Uptime Institute. En este caso, lo importante es revisar la efectividad y la existencia de un programa específico para la gestión del centro de datos y poder minimizar al máximo los errores. Los criterios en los que se basa han sido creados específicamente para la gestión de infraestructuras de misión críticas como los centros de proceso de datos (CPD). Se convierte por tanto en la mejor garantía tanto para el usuario final, como para el equipo de operaciones del CPD.

Hay más certificaciones en el sector de centros de datos, como puede ser la certificación LEED, sobre el diseño y la construcción eficiente, o las buenas prácticas que se recogen en el Código de Conductas del Centro de Datos en la UE sobre eficiencia energética.

Por otro lado, es importante cumplir con la ISO 27001, ISO 14000, ISO 20000, ISO 22301 e ISO 500001 como línea base para operar un centro de misión crítica.

MCPRO: ¿Cuáles son las certificaciones más demandadas y las que menos? ¿por qué?

JM: Lo que estamos viendo es que un centro de datos puede ayudar de manera importante a los clientes en superar y cumplir con algunas de sus certificaciones.

En el caso de Interxion, el pasado año nuestros clientes pasaron más de 50 certificaciones para las que obtuvieron nuestra ayuda. Les apoyamos sobre todo en proporcionarles los datos y evidencia documental que respaldan el cumplimiento de los requisitos exigidos por los auditores. De este modo, nuestros clientes reducen el tiempo necesario para superar las auditorías, obtienen una mayor calidad en el proceso y un mejor cumplimiento.

El 38% de las auditorías que se realizaron en 2014 con nuestra ayudada estaban orientadas a la Seguridad de la Información. Básicamente, a cumplir la ISO 27001 para la implantación de un sistema de gestiones de la seguridad de la información o la STAR, de Cloud Security Alliance o EuroCloud, destinadas a implantar las buenas prácticas en los servicios de cloud computing.

Un 33% de certificaciones estaba más enfocado a la Gestión de Operaciones donde se contempla la ISO 20000 de gestión de los servicios TI o la SSAE 16, un estándar creado por la AICPA que certifica la calidad de los procesos internos de control en las organizaciones. En este grupo también se incluyen normas propias para el cumplimiento de SOX que monitoriza las empresas que cotizan en bolsa.

En tercer lugar, con un 13% aparecen estándares relacionados con seguros y en última posición se encuentran las certificaciones específicas para el sector de juego online o el audiovisual donde se incluyen certificaciones como PCI DSS (V2 o V3).

MCPRO: ¿Cuánto tiempo de vida tiene una certificación?

JM: Dependiendo de cada certificación, habrá que realizar nuevas auditorías para volver a garantizar que los procesos se siguen llevando a cabo como marca la norma. Es decir, las certificaciones no duran de por vida, deben irse revisando de manera periódica.

MCPRO: ¿Qué certificaciones deberían existir y no existen aún?

JM: Hay un sinfín de normas, por lo que se cubren muchos aspectos de las compañías y de los distintos sectores. En el caso de los centros de datos a lo mejor habría que hacer más hincapié en el mínimo que debería de tener a nivel de certificaciones. Es decir, el centro de datos es la base de los negocios tecnológicos y por tanto, debería tener un set mínimo de certificaciones sobre gestión, mantenimiento y operativa, eficiencia energética, seguridad de la información, medioambiental y, sobre todo, continuidad de negocio.