Cristina Leon Vera | 10/07/2025
Os centros de dados enfrentam diferentes riscos, como quedas de energia, condições ambientais extremas, falhas humanas, ciberataques ou incêndios que podem comprometer seu funcionamento. Para minimizar esses impactos, é essencial implementar medidas preventivas e sistemas de detecção precoce que permitam uma resposta rápida.
Os centros de proteção de dados (CPD), também conhecidos como data centers, são a base sobre a qual reside a infraestrutura de serviços informáticos. Neles, são processados e distribuídos grandes volumes de informação e seu tamanho pode variar de uma planta a prédios inteiros. Para operar com confiabilidade, essas instalações exigem condições de construção e tecnológicas específicas. Mas quais são, de fato, os riscos que realmente enfrentam? Conversamos sobre isso com Francisco José Herrera Luque, especialista em cibersegurança e risco operacional do Banco Central Europeu e professor do Mestrado em Segurança Cibernética da Universidade Pontifícia Comillas (ICAI).
“Do ponto de vista da segurança, o risco principal é a disponibilidade do serviço oferecido pelo data center, ou seja, que os servidores nele alojados possam continuar operando normalmente“, explica Herrera. Essa disponibilidade pode ficar comprometida por diferentes fatores: de quedas no fornecimento elétrico, os conhecidos blecautes, a uma conectividade insuficiente com o exterior, passando por falhas nas condições físicas ou ambientais demandadas pelos servidores, ou por problemas na própria estrutura do edifício que os aloja. Em todos esses casos, ocorre uma indisponibilidade do serviço que pode representar um alto custo econômico para as empresas que dependem desses sistemas. Por isso, é fundamental estar preparados diante de qualquer ameaça que coloque em risco a operatividade.
Principais riscos enfrentados por um data center
Entre os diversos riscos enfrentados por um data center, encontram-se as ameaças ambientais, especialmente quando está localizado em áreas suscetíveis a enchentes ou terremotos. Essas instalações demandam características de construção específicas, pois a instalação em edifícios não adequados pode originar o colapso do prédio. Outro risco crítico é a falta de fornecimento elétrico: não contar com potência suficiente e com uma conectividade de rede robusta e adequada que permita a continuidade do serviço. Além disso, é fundamental controlar as condições físicas e ambientais, porque o excesso de temperatura, umidade ou poeira pode causar falhas e cortar os serviços.
No entanto, os riscos mais frequentes costumam vir de erros humanos e de falhas técnicas. “Em operações de manutenção podem acontecer erros, configurações inadequadas que interrompam um trecho da rede ou algo que deixe de funcionar por uma configuração defeituosa”, disse Herrera. Além disso, os elementos técnicos possuem um tempo de vida útil, “por isso, é importante a manutenção preventiva e sua troca antes da ocorrência da falha”. Mesmo assim, as incidências nos data centers não são muito frequentes, de acordo com o especialista em cibersegurança. “Toda mudança de configuração deve ser realizada seguindo um plano pré-estabelecido, e em caso de ocorrer algum incidente durante a execução ou algum evento não previsto, é possível voltar ao estado anterior”.
Herrera também diferencia entre ciberataques e ciberincidentes: ambos comprometem a confidencialidade, a integridade ou a disponibilidade das informações ou dos sistemas, mas diferem em sua origem. Se o evento for intencional, considera-se um ciberataque; se for o resultado de um erro, falamos de um ciberincidente. No primeiro grupo, podem ser incluídas as sabotagens, como frear um serviço derrubando o CPD onde estão os servidores, interrompendo a conectividade da rede ou o fluxo elétrico, ou infiltrando pessoas nas empresas de manutenção para alterar os sistemas ou instalando malware para espionagem.
Medidas de prevenção
Nos centros de dados, é aplicado com rigor o ditado “prevenir é melhor do que remediar”. Por isso, eles incorporam medidas de prevenção e contam com múltiplos recursos redundantes. “Uma mitigação muito grande, a mais potente para a falta de disponibilidade, é contar com os elementos redundantes. Então, se qualquer coisa falhar, ela pode ser a redirecionada. É o que oferece maiores garantias”, menciona Herrera. Por exemplo, contar com conexões externas bem dimensionadas e duplicadas evita o isolamento do data center.
Embora existam sistemas de monitoramento, detecção e protocolos de resposta, a chave da segurança em um centro de dados continua sendo a prevenção. Desde aspectos básicos como a localização, o design estrutural ou o tipo de solo, até componentes importantes, como o fornecimento de energia elétrica, a conectividade, os racks ou os sistemas de resfriamento. “Os CPD são instalações que podem custar centenas de milhões de euros. Existem elementos mais configuráveis, como a detecção de problemas: controles ambientais, de umidade, de poluentes, controles de acesso, detectores de movimento, etc. Mas a maior parte do custo está nos controles preventivos”, destaca o especialista.
Controles de segurança e medidas de detecção
Além da disponibilidade do serviço, a segurança em um data center envolve também a proteção da confidencialidade e a integridade das informações. Para isso, são aplicados controles de segurança física na sala de servidores, “para que ninguém ingresse, coloque ou configure dispositivos indevidos“, e controles de segurança lógica, “para que não ocorram espionagens ou alterações”.
O acesso à sala de servidores é bem restrito: é necessária autorização prévia, um plano específico de atuação e um tempo determinado. Todas as entradas nessa sala possuem um registro. Existe outra área onde se encontram os funcionários, que devem ser capacitados e estar cientes de qualquer perigo, pois além de executar suas funções, podem ser alvo de engenharia social, porque eles também representam um controle”, explica Herrera.
Para identificar qualquer incidente, os centros possuem sistemas que monitoram todos os parâmetros críticos que garantem o adequado funcionamento dos servidores. Também estão equipados com circuitos fechados de televisão, sensores de intrusão, barreiras físicas, portas corta-fogo, vigilância de segurança ou sistemas de extinção de incêndios, entre outros.
Os servidores costumam estar organizados em armários pretos, em salas equipadas com filtros contra poluentes e sistemas de combate a incêndios. Em outro espaço, os operadores controlam os sistemas de monitoramento e controle. “Quando ocorrem alertas, os operadores seguem seus procedimentos de atuação: redirecionar o tráfego, adaptar a temperatura… Dependendo do tamanho e da complexidade das instalações, são controles mais ou menos sofisticados”, esclarece Herrera.
Resposta a incidentes: planejamento e redundância
Em caso de falhas nos servidores, são acionados os planos de continuidade, que possibilitam a manutenção das operações essenciais até a resolução da incidência. Para isso, os data centers dispõem de sistemas de alimentação ininterrupta, geradores diesel, várias máquinas de resfriamento, caso uma apresente uma falha, ou diversos sistemas eletrônicos de backup. Também são estabelecidos contratos com prestadores que garantem o fornecimento e que assumem penalidades em caso de descumprimento dos compromissos com o cliente.
“O custo de paralisação é tão elevado que vale a pena ter tudo redundado em vários lugares”, observa Herrera, defensor de distribuir os servidores em diferentes centros de dados. De fato, de acordo com um relatório do Ponemon Institute, o custo médio de uma falha não planejada em um centro de dados pode alcançar 8.000 euros por minuto.
Ainda assim, Francisco José Herrera assinala que não basta elaborar planos de contingência: também devem ser testados regularmente. “As capacidades contingencias são concebidas e testadas em tempos de estabilidade, porque quando o incidente ocorre, não há margem para o improviso. Se isso não funcionar, você está perdido”, conclui.
ESTE ARTIGO TEVE A COLABORAÇÃO DE…
Francisco José Herrera Luque é especialista em cibersegurança e risco operacional na Diretoria Geral de Infraestruturas de Mercado e Pagamentos do Banco Central Europeu, e Professor do Mestrado em Cibersegurança da Universidade Pontifícia de Comillas (ICAI) de Madri. Engenheiro de Telecomunicação pela Universidade Carlos III de Madri, acumula 15 anos de experiência na área da cibersegurança em diferentes posições, que abrangem as três linhas de defesa e compreendem os âmbitos acadêmico, como pesquisador na Universidade Carlos III de Madri e na Deutsche Telekom Laboratories, das operações de segurança, como Engenheiro de Segurança na Airbus Military, da consultoria e dos serviços de segurança gerenciada, como Chefe de Equipe e Gerente na Deloitte Cyber), e da central bancária, como Inspetor de Riscos Tecnológicos para o Mecanismo Único de Supervisão no Banco da Espanha e como Especialista em cibersegurança para a cibersegurança interna do Banco da Espanha e para a governança da segurança do Banco Central Europeu.
