Auditorías de datacenter: lo que el auditor mira y casi nadie registra

Cumplimiento y auditorías en datacenters: lo que el auditor pide y casi nadie prepara

Cuando se acerca una auditoría de datacenter (interna, de cliente o de certificación),
la mayoría de los equipos piensa primero en documentación. Sin embargo, en la práctica,
muchos desvíos no aparecen por falta de políticas, sino por falta de evidencias técnicas
y operativas del día a día.

A continuación repasamos qué suelen mirar las auditorías, especialmente bajo ISO 27001
y TIA-942, y dónde aparecen los problemas más comunes.

Qué suele pedir una auditoría de datacenter y nadie prepara

Las auditorías no solo buscan “si existe”, sino “si se usa” y “si queda registro”.
Algunos ejemplos frecuentes:

• Evidencia de que el monitoreo físico está activo y funcionando 24×7
• Historial de alarmas reales, no solo pantallas en vivo
• Registros de eventos eléctricos, térmicos o de seguridad física
• Pruebas de que las alertas llegan a alguien y generan acciones
• Procedimientos aplicados en incidentes reales, no solo simulados

Un punto crítico: muchas organizaciones tienen sistemas de monitoreo,
pero no conservan históricos suficientes o no pueden demostrar qué pasó
ante un evento concreto.

Evidencias técnicas que facilitan ISO 27001

ISO 27001 no certifica edificios, certifica la gestión de la seguridad de la información.
Pero el auditor sí va a mirar la infraestructura física cuando impacta la disponibilidad,
integridad o confidencialidad.

Evidencias que suelen facilitar mucho la auditoría:

• Registros de control de accesos físicos (quién, cuándo, dónde)
• Logs de eventos de infraestructura que impactan servicios críticos
• Alarmas documentadas de temperatura, humedad, energía o intrusión
• Trazabilidad entre un evento físico y la acción tomada
• Procedimientos de respuesta ante incidentes físicos realmente usados

Error típico: tener políticas bien escritas, pero no poder demostrar que
el monitoreo físico genera información confiable y auditable.

Evidencias técnicas que facilitan TIA-942

TIA-942 es más técnica y directa. El auditor evalúa si el datacenter cumple
con los requisitos de diseño y operación según su nivel (Rated).

Algunas evidencias clave:

• Monitoreo continuo de energía, climatización y ambientes críticos
• Registro histórico de variables ambientales y eléctricas
• Evidencia de redundancias funcionando como fueron diseñadas
• Alarmas configuradas según criticidad, no todas iguales
• Integración entre monitoreo y operación diaria

Error típico: cumplir el diseño en papel, pero no demostrar que la infraestructura
se comporta así en la operación real.

Cómo documentar eventos de infraestructura física

No hace falta un sistema complejo, pero sí consistencia.
Un evento debería dejar rastro de:

• Fecha y hora
• Tipo de evento (eléctrico, térmico, acceso, ambiente)
• Sensor o punto afectado
• Acción tomada
• Resultado

Este registro es oro para auditorías, análisis de incidentes y mejora continua.
Además, demuestra control operativo real.

Errores típicos durante auditorías de continuidad y seguridad

Algunos errores que se repiten una y otra vez:

• No guardar históricos suficientes de monitoreo
• Alarmas mal configuradas o con demasiados falsos positivos
• Eventos críticos tratados como “informales”
• Falta de correlación entre incidente y respuesta
• Dependencia excesiva de una sola persona clave

Desde el punto de vista del auditor, estos errores indican riesgo operativo,
aunque nunca haya ocurrido una caída grave.

Conclusión

Las auditorías de datacenter no buscan perfección, buscan control.
ISO 27001 y TIA-942 coinciden en algo: si un evento ocurre y no queda registrado,
para la auditoría es como si nunca se hubiera gestionado.

Prepararse para una auditoría no empieza semanas antes, empieza todos los días,
en cómo se monitorea, se registra y se responde ante los eventos físicos.