NIS2 e infraestructura digital: inventario de activos para proveedores cloud y datacenters

El 10 de marzo de 2021, un incendio en el datacenter SBG2 de OVHcloud en Estrasburgo destruyo completamente el edificio y dano parcialmente otro. Miles de clientes perdieron datos de forma permanente. Sitios web gubernamentales, plataformas de comercio electronico y servicios de emergencias quedaron offline. La investigacion revelo que el inventario de activos fisicos del datacenter no estaba actualizado, complicando enormemente la evaluacion de danos y la recuperacion.

Si operas infraestructura digital — cloud, datacenter, DNS, CDN, telecomunicaciones — eres una entidad esencial bajo NIS2. Y necesitas saber exactamente que tienes.

Por que NIS2 afecta a la infraestructura digital

NIS2 incluye como entidades esenciales (Anexo I) a los proveedores de infraestructura digital: puntos de intercambio de internet (IXP), proveedores de DNS, registros de TLD, servicios de computacion en la nube, centros de datos, redes de distribucion de contenidos (CDN), servicios de confianza y redes de comunicaciones electronicas.

• Inventario exhaustivo de activos: cada servidor, switch, firewall y cable de fibra debe estar documentado
• Gestion de incidentes: notificacion en 24/72 horas con identificacion precisa de los activos afectados
• Continuidad de servicio: planes de recuperacion que dependen de conocer la redundancia y ubicacion de cada componente
• Multas de hasta 10 millones de euros o el 2% de la facturacion

Incidentes reales en infraestructura digital

• OVHcloud (Francia), 2021: El incendio de Estrasburgo afecto a 3,6 millones de sitios web. Muchos clientes descubrieron que sus backups estaban en el mismo datacenter que sus datos primarios. Sin un inventario detallado de donde estaba cada servidor y cada replica, la recuperacion fue caotica.
• Fastly (global), 2021: Una configuracion erronea en un solo cliente provoco una caida global de 49 minutos que afecto a Amazon, Reddit, Twitch, The New York Times y miles de sitios mas. La falta de visibilidad sobre las dependencias entre configuraciones y activos retraso el diagnostico.
• Dyn (EE.UU.), 2016: Un ataque DDoS masivo usando la botnet Mirai contra el proveedor DNS Dyn dejo inaccesibles Twitter, Spotify, Netflix y PayPal durante horas. Los dispositivos IoT comprometidos que formaban la botnet eran camaras y routers que nadie tenia inventariados.

Por que el control exhaustivo de activos es imprescindible

• Cada componente importa. En un datacenter, un switch mal configurado puede provocar una caida en cascada. Un servidor sin parchear puede ser el punto de entrada de un ataque. Necesitas conocer cada dispositivo, su configuracion y su estado.
• La escala magnifica los errores. Un proveedor cloud puede tener decenas de miles de servidores. Sin automatizacion del inventario, los errores de documentacion se acumulan y crean puntos ciegos.
• Los clientes dependen de tu infraestructura. Si eres proveedor cloud o de hosting, tus clientes confian en que sabes donde estan sus datos y que hardware los soporta. Una auditoria NIS2 verificara exactamente eso.
• La redundancia solo funciona si esta documentada. Tener dos servidores redundantes no sirve si no sabes que ambos estan en el mismo rack, alimentados por el mismo UPS. El inventario de activos incluye las relaciones de dependencia.

Que necesitas controlar

• Servidores: Fisicos y virtuales, con ubicacion en rack, configuracion de hardware, SO y servicios
• Equipamiento de red: Switches, routers, firewalls, balanceadores de carga, con puertos y VLANs
• Almacenamiento: SANs, NAS, discos, con capacidad, RAID y asignaciones
• Infraestructura de soporte: UPS, PDUs, aires acondicionados, generadores diesel
• Cableado: Fibra, cobre, patch panels, con rutas y conexiones
• Licencias y software: Hipervisores, sistemas de orquestacion, herramientas de monitorizacion

Metrica Control te ofrece el inventario detallado que la infraestructura digital necesita. Cada servidor en su rack, cada switch con sus puertos, cada UPS con su zona de cobertura. Trazabilidad completa para NIS2 y DORA.