Entendendo a Norma ISO/IEC 22237 para Infraestrutura de Data Centers: Um Guia Completo

Introdução

No mundo digital de hoje, os data centers são a espinha dorsal que suporta a vasta quantidade de dados que fluem através da internet. Com a crescente demanda por armazenamento de dados, processamento e acessibilidade, a importância de construir e manter data centers eficientes, seguros e sustentáveis nunca foi tão crítica. Neste artigo, exploraremos a norma ISO/IEC 22237, uma diretriz internacional que está sendo adotada pela ABNT no Brasil, detalhando seus conceitos, aplicações e importância para o futuro dos data centers.

Escopo da Norma ISO/IEC 22237

A série de normas ISO/IEC 22237 é a pedra angular para qualquer profissional envolvido no design, construção e operação de data centers. Ela estabelece os princípios fundamentais que orientam a criação de instalações capazes de suportar as demandas tecnológicas atuais e futuras.

Propósito Geral e Aplicabilidade

A norma ISO/IEC 22237 serve como um guia abrangente para o desenvolvimento de data centers, abordando desde a concepção inicial até a operação e manutenção contínua. Seu propósito é garantir que essas infraestruturas críticas sejam projetadas e construídas de maneira a maximizar a disponibilidade, segurança e eficiência energética. Isso é crucial em uma era onde a dependência de dados e serviços digitais está crescendo exponencialmente.

Principais Aspectos Abordados pela Norma

A parte 1 da norma (ISO/IEC 22237-1) cobre uma variedade de aspectos fundamentais para a construção e operação de um data center eficaz:

• Terminologia: Estabelece um vocabulário comum para facilitar a comunicação clara entre os profissionais envolvidos.
• Parâmetros e Modelos de Referência: Define modelos para elementos funcionais e suas acomodações, considerando tanto o tamanho quanto a complexidade do data center.
• Facilities e Infraestruturas: Descreve os aspectos gerais das instalações e infraestruturas necessárias, incluindo energia, refrigeração e segurança.
• Sistema de Classificação: Introduz um sistema baseado em critérios-chave como disponibilidade, segurança e eficiência energética, permitindo uma categorização eficaz dos data centers.
• Análise de Risco e Custo Operacional: Orienta sobre como realizar análises de risco e custo operacional, essenciais para a sustentabilidade de longo prazo do data center.

Classificação dos Data Centers Segundo a Norma

Um dos aspectos mais valiosos da ISO/IEC 22237-1 é seu sistema de classificação. Este sistema ajuda os proprietários e operadores de data centers a identificar o nível de serviço necessário para atender às suas necessidades específicas. A classificação é dividida em três categorias principais:

Disponibilidade: Refere-se à capacidade do data center de permanecer operacional, mesmo diante de falhas ou manutenção.

Segurança: Abrange a segurança física, garantindo a proteção dos dados contra acessos não autorizados ou danos.

Eficiência Energética: Enfatiza a importância de operar o data center de maneira sustentável, minimizando o consumo de energia e o impacto ambiental.

Descrição das Sete Partes da Norma ISO/IEC 22237

A norma ISO/IEC 22237 é dividida em várias partes, cada uma abordando diferentes aspectos relacionados a data centers, desde o design até a gestão e operações.

• Parte 1: Generalidades: Esta parte estabelece o escopo da série de normas, definindo os termos, princípios fundamentais e a estrutura básica para a classificação de data centers. Ela fornece uma visão geral e introduz conceitos comuns aplicáveis a todas as outras partes da norma.
• Parte 2: Construção: Foca nos requisitos de construção para data centers, incluindo considerações sobre a escolha do local, design arquitetônico, resistência a desastres naturais e segurança física. Esta parte visa garantir que a estrutura física do data center atenda aos requisitos de resiliência e segurança.
• Parte 3: Energia Elétrica: Aborda os sistemas de energia elétrica dentro do data center, incluindo distribuição de energia, redundância, proteção contra interrupções e eficiência energética. Esta parte é crucial para garantir a disponibilidade contínua dos serviços de TI e a eficiência operacional do data center.
• Parte 4: Climatização: Esta parte trata dos sistemas de climatização, incluindo refrigeração, gestão do fluxo de ar e controle de umidade e temperatura. O objetivo é manter as condições ambientais ideais para o funcionamento ótimo dos equipamentos de TI.
• Parte 5: Cabeamento: Foca nos sistemas de cabeamento de telecomunicações e outros sistemas de cabeamento necessários para a operação de um data center. Inclui diretrizes para o design, instalação e gestão do cabeamento para garantir a alta disponibilidade e a escalabilidade das conexões de rede.
• Parte 6: Segurança de Sistemas: Aborda os aspectos de segurança dos sistemas de informação utilizados em data centers, incluindo proteção contra acessos não autorizados, ameaças cibernéticas e garantia de integridade e confidencialidade dos dados.
• Parte 7: Gestão e Operações: Esta parte fornece diretrizes para a gestão eficaz e operações de data centers, incluindo manutenção, monitoramento, gestão de mudanças e aspectos de sustentabilidade. O objetivo é garantir a operação eficiente e contínua do data center ao longo de seu ciclo de vida.

Cada parte da norma ISO/IEC 22237 oferece um conjunto detalhado de diretrizes e requisitos projetados para abordar especificamente os diversos aspectos críticos na construção, manutenção e operação de data centers. Juntas, essas partes formam um framework abrangente para o design, implementação e gestão de infraestruturas de data centers que são seguras, eficientes e resilientes.

Atualmente, as 7 partes da norma ISO/IEC 22237 estão em processo de nacionalização pela Associação Brasileira de Normas Técnicas (ABNT), marcando um passo significativo para a padronização das infraestruturas de data centers no Brasil. Essas partes serão adotadas na íntegra pela ABNT, porém, com a adição de notas brasileiras que visam informar sobre algumas especificidades no ambiente normativo nacional. Isso garantirá que as normas sejam aplicáveis e relevantes ao contexto brasileiro, abordando particularidades locais que podem influenciar a implementação e operação de data centers no país. Até o momento, as partes 1, 3, 4 e 5 já foram publicadas pela ABNT, demonstrando um progresso considerável neste processo de nacionalização. Este processo de nacionalização e consulta é um passo crucial para a harmonização das práticas de infraestrutura de data centers com padrões internacionais, ao mesmo tempo em que se considera as particularidades do ambiente brasileiro.

Terminologia e Modelos de Referência

A norma ISO/IEC 22237-1 não apenas estabelece os princípios fundamentais para a construção e operação de data centers, mas também introduz uma terminologia específica e modelos de referência que são essenciais para a compreensão e implementação desses princípios.

Importância da Terminologia Padronizada

A terminologia padronizada é crucial em qualquer campo técnico, pois garante que todos os envolvidos tenham um entendimento comum dos termos e conceitos utilizados. No contexto da ISO/IEC 22237-1, isso é particularmente importante devido à complexidade e à natureza técnica dos data centers. Por exemplo, o termo “disponibilidade” é definido como a capacidade de um item estar em um estado para executar uma função requerida sob condições dadas, em um instante ou período de tempo específico, assumindo que os recursos externos necessários sejam fornecidos. Esta definição clara ajuda a estabelecer expectativas precisas para a concepção e avaliação de sistemas de data center.

Modelos de Referência

Os modelos de referência fornecidos pela norma oferecem uma estrutura sobre a qual os data centers podem ser projetados e avaliados. Eles abordam elementos funcionais e suas acomodações, levando em consideração tanto o tamanho quanto a complexidade do data center. Esses modelos são fundamentais para garantir que todos os aspectos críticos de um data center sejam considerados durante o planejamento e a implementação, desde a infraestrutura física até a estratégia operacional.

Terminologia Chave e Conceitos

Alguns dos termos e conceitos mais importantes introduzidos pela norma incluem:

• Data center: uma estrutura, ou grupo de estruturas, dedicada à acomodação centralizada, interconexão e operação de equipamentos de tecnologia da informação e telecomunicações de rede que fornecem serviços de armazenamento, processamento e transporte de dados, juntamente com todas as instalações e infraestruturas para distribuição de energia e controle ambiental, além dos níveis necessários de resiliência e segurança requeridos para fornecer a disponibilidade de serviço desejada.
• Data center corporativo: data center que é operado por uma empresa que tem o propósito único de fornecer e gerenciar serviços para seus funcionários e clientes.
• Data center de co-hosting: data center no qual múltiplos clientes têm acesso a redes, servidores e equipamentos de armazenamento nos quais operam seus próprios serviços/aplicações.
• Data center de co-location: data center no qual múltiplos clientes instalam suas próprias redes, servidores e equipamentos de armazenamento.
• Tempo de inatividade não planejado: tempo inesperado necessário, após uma falha de capacidade funcional, para reparar a infraestrutura relevante junto com o tempo de “reinicialização” necessário para recuperar a capacidade funcional após esse reparo.

Estes são apenas alguns exemplos da terminologia detalhada na norma, cada um desempenhando um papel vital na compreensão e implementação das melhores práticas para o desenvolvimento de data centers.

Aplicação dos Modelos de Referência

Os modelos de referência servem como guias para o design e avaliação de data centers, abrangendo aspectos como arquitetura, alimentação elétrica, climatização, cabeamento, segurança patrimonial, entre outros. Eles permitem que os profissionais visualizem o data center como um sistema integrado, onde cada componente tem um papel específico e interdependente. Isso é essencial para criar instalações que não apenas atendam às necessidades atuais, mas também sejam capazes de se adaptar às demandas futuras.

Princípios Gerais para Data Centers

A norma ISO/IEC 22237 estabelece uma série de princípios gerais que são essenciais para o design, construção e operação eficazes de data centers. Estes princípios abrangem uma ampla gama de considerações, desde a infraestrutura física até a eficiência operacional e a sustentabilidade. Vamos explorar esses princípios gerais com mais detalhes para entender como eles formam a base para a criação de data centers resilientes, seguros e eficientes.

Modularidade e Escalabilidade

Um dos princípios fundamentais para data centers modernos é a capacidade de serem modulares e escaláveis. Isso significa que a infraestrutura deve ser projetada de forma a permitir expansões ou modificações sem interrupções significativas nas operações existentes. A modularidade e escalabilidade são críticas para atender às demandas de crescimento de capacidade e tecnologia, permitindo que os data centers se adaptem rapidamente às mudanças nas necessidades de negócios e tecnologia.

Eficiência Energética e Sustentabilidade

A eficiência energética é outro princípio chave, dada a alta demanda de energia dos data centers e o impacto ambiental associado. A norma enfatiza a importância de projetar data centers com sistemas de energia e refrigeração eficientes, visando não apenas reduzir os custos operacionais, mas também minimizar a pegada de carbono. A adoção de energias renováveis, sistemas de refrigeração inovadores e práticas de gestão de energia inteligente são incentivadas para promover a sustentabilidade.

Disponibilidade e Resiliência

A disponibilidade contínua dos serviços de TI é essencial para as operações de negócios. A norma ISO/IEC 22237 destaca a importância de projetar data centers com redundância e tolerância a falhas em mente, para garantir a continuidade dos serviços mesmo diante de falhas de equipamentos ou interrupções de energia. A classificação de disponibilidade, conforme definido na norma, ajuda a determinar o nível de redundância e resiliência necessários para atender aos objetivos de negócios específicos.

Segurança Física

A segurança é uma preocupação primordial. A norma orienta sobre a implementação de controles de acesso rigorosos, monitoramento por vídeo e detecção de intrusão para proteger contra acessos não autorizados.

Eficiência Operacional

Além da construção e design físico, a norma também aborda a eficiência operacional. Isso inclui a implementação de processos de gestão e operação que otimizem o desempenho do data center, reduzam os riscos operacionais e garantam a conformidade com as regulamentações relevantes. A eficiência operacional também se estende à gestão de recursos, como o uso eficiente do espaço e a otimização do fluxo de ar.

Adaptação às Mudanças Tecnológicas

Os data centers devem ser projetados com a flexibilidade para se adaptar às rápidas mudanças tecnológicas. Isso inclui a capacidade de suportar novas tecnologias de hardware, plataformas de virtualização e soluções de armazenamento e processamento de dados. A norma reconhece a importância de uma infraestrutura que possa evoluir com as tendências tecnológicas, garantindo que o data center permaneça relevante e eficaz ao longo do tempo.

Análise de Risco e Custo Operacional

A análise de risco é um componente crítico no planejamento e operação de data centers, conforme destacado na norma ISO/IEC 22237-1. Ela serve como uma ferramenta de gestão para comparar o risco total aceitável e mostrar as tendências resultantes de atividades de mitigação. No contexto de data centers, a análise de risco ajuda a identificar e avaliar os riscos associados a eventos que podem interromper as operações, afetando a disponibilidade e a confiabilidade dos serviços de TI.

Importância da Análise de Risco

• Identificação de Eventos Potenciais: A análise começa com a identificação de eventos possíveis que podem afetar negativamente as instalações e infraestruturas do data center, interrompendo a prestação de serviços.
• Avaliação de Impacto e Probabilidade: Após a identificação, o próximo passo é determinar o impacto desses eventos e sua probabilidade de ocorrência. Isso inclui considerar tanto os custos diretos (como perda de receita e custos para restaurar serviços) quanto os custos indiretos (como danos à reputação do negócio e perda de clientes).

Aplicação na Decisão de Design

• Decisões Baseadas em Risco: A análise de risco informa decisões de design que podem reduzir o risco associado a eventos identificados. Isso pode envolver a redução do impacto ou da probabilidade desses eventos através de melhorias na infraestrutura e nos processos operacionais.
• Custo de Inatividade: Embora o custo seja frequentemente considerado ao analisar a inatividade, outros impactos também devem ser considerados. Informações vitais para a vida, legais, médicas e criminais contidas nos data centers podem ter consequências reconhecidas individualmente devido à inatividade não programada.

Métodos de Análise de Risco

A norma não define métodos específicos de análise de risco, mas sugere que padrões como ABNT NBR ISO 31000 e ABNT NBR IEC 31010 podem fornecer orientações úteis. Esses padrões oferecem um quadro para a gestão de riscos, incluindo princípios e diretrizes para a implementação de processos de gestão de riscos eficazes.

Custo Operacional

O custo operacional de um data center é diretamente influenciado pelos resultados da análise de risco. A identificação e mitigação de riscos podem levar a investimentos em infraestrutura mais resiliente e processos operacionais mais eficientes, potencialmente aumentando os custos iniciais, mas reduzindo custos operacionais a longo prazo através da minimização de inatividades e interrupções.

Considerações de Custo

• Eficiência Energética: Investimentos em sistemas de energia e refrigeração eficientes podem reduzir significativamente os custos operacionais ao longo do tempo.
• Manutenção e Atualizações: A análise de risco pode destacar a necessidade de manutenção proativa e atualizações de infraestrutura para evitar falhas e interrupções, afetando o planejamento de custos operacionais.

Design e Implementação de Data Centers

A seção correspondente ao processo de design e implementação detalha um processo estruturado e fases críticas para o desenvolvimento eficaz de data centers, conforme delineado na norma ISO/IEC 22237-1. Este processo é essencial para garantir que os data centers sejam projetados e construídos para atender aos requisitos de disponibilidade, segurança, eficiência energética e operacionalidade.

Introdução ao Design e Implementação

A norma enfatiza que um design eficaz de data center requer a divisão do projeto em fases distintas, cada uma com suas entradas e saídas específicas. Essas fases seguem uma linha do tempo sequencial, culminando no plano final do projeto e na emissão de um contrato para a instalação do data center, o que permite que a fase operacional comece. É importante notar que essas fases podem ser executadas várias vezes, se necessário, para alcançar os objetivos acordados ou definidos.

Fases do Processo de Design e Implementação

1. Estratégia: Esta fase envolve a análise da demanda atual, custos, e a previsão da demanda futura de infraestrutura (espaço, energia, localizações) e estratégia operacional.

2. Objetivos: Conversão da estratégia em objetivos, incluindo benchmarks de design, análise de riscos do projeto, seleção de localizações, definição de fluxo de trabalho, cronogramas e impactos de atrasos.

3. Especificações do Sistema: Definição das especificações-alvo para todas as infraestruturas.

4. Proposta de projeto: Desenvolvimento de um conceito de design detalhado, incluindo layouts de espaço e zonas de segurança.

5. Decisão: escolha do projeto a partir de opções de projeto e estimativa de custos.

6. Projeto funcional: O projetista converte a escolha do proprietário em um projeto funcional.

7. Aprovação : Revisão e aprovação final dos planos de design e contratos.

8. Projeto final e planejamento do projeto: O projetista define o volume ou as partes de todas as infraestruturas aprovadas e são definidos o fluxo de trabalho e os cronogramas do plano de implementação.

9. Contrato: Emissão de um contrato para a instalação do data center, permitindo o início da fase operacional.

10. Construção: Supervisão da construção, incluindo verificação de aceitação (testes e comissionamento) de todas as infraestruturas até que o data center esteja em serviço.

11. Operação: Transição para a operação, com a entrega ao proprietário para operação contínua.

Cada fase é crucial para garantir que o projeto do data center atenda aos objetivos definidos, com ênfase na disponibilidade, segurança, gestão e operação eficazes do data center.

Considerações Importantes

• Estratégia Operacional: Os proprietários de data centers devem estar cientes do impacto da estratégia operacional na disponibilidade do data center, no conceito de segurança, na gestão e operação do data center. Um conceito operacional deve ser discutido e definido já na fase de design para avaliar a eficiência energética prevista.
• Melhores Práticas e Eficiência Energética: O design do data center deve considerar as melhores práticas para eficiência energética, seguindo diretrizes e recomendações de documentos normativos relevantes.

Classificações de Resiliência e Segurança

A seção correspondente às classificações de resiliência e segurança” aborda os aspectos críticos para garantir que os data centers sejam capazes de resistir a interrupções e manter a continuidade operacional em face de falhas ou desastres. Este tópico é essencial para o planejamento e design de data centers, pois define os níveis de resiliência e segurança necessários para atender aos requisitos operacionais e de negócios.

Classificações de Disponibilidade

A norma ISO/IEC 22237-1 introduz classificações de disponibilidade para data centers, que são divididas em quatro níveis, do 1 ao 4. Essas classificações representam crescentes níveis de capacidade de um data center para operar sem interrupções significativas. As classificações são determinadas com base na estrutura, redundância e capacidades operacionais do data center.

• Classe 1: Representa o nível mais básico de disponibilidade, com uma única via de distribuição e sem componentes redundantes. É adequado para operações que podem tolerar interrupções.
• Classe 2: Introduz componentes redundantes em uma única via de distribuição, reduzindo o risco de interrupção devido a falhas de um único componente.
• Classe 3: Oferece múltiplas vias de distribuição, mas apenas uma ativa, com redundância de componentes, adequada para operações que exigem alta disponibilidade.
• Classe 4: O nível mais alto de disponibilidade, com múltiplas vias de distribuição ativas e redundância de componentes, garantindo operação contínua mesmo durante manutenção e falhas.

Segurança Física

A segurança física é abordada como um componente fundamental para a resiliência do data center. A norma detalha requisitos e práticas para proteger o data center contra acessos não autorizados, intrusões e eventos ambientais internos e externos. As medidas de segurança física são categorizadas em classes de proteção, cada uma abordando diferentes níveis de segurança para espaços de data center e vias de acesso.

• Proteção contra acesso não autorizado: Implementação de controles de acesso físico para limitar o acesso a áreas críticas do data center a pessoal autorizado.
• Proteção contra intrusão: Sistemas de detecção e prevenção de intrusões para identificar tentativas de acesso não autorizado ou violações de segurança.
• Proteção contra eventos ambientais: Medidas para proteger contra eventos naturais ou causados pelo homem que possam afetar a operação do data center, como inundações, incêndios e terremotos.

Considerações de Resiliência e Segurança

• Análise de Risco: A seleção das classes de disponibilidade e segurança deve ser baseada em uma análise de risco detalhada, considerando os impactos potenciais de interrupções e a probabilidade de eventos adversos.
• Investimento Proporcional: O investimento em resiliência e segurança deve ser proporcional ao valor dos ativos protegidos e ao custo potencial de interrupções para a operação e o negócio.
• Estratégias de Mitigação: Além das medidas de resiliência e segurança física, as estratégias de mitigação podem incluir redundância de dados, backup e recuperação de desastres para garantir a continuidade operacional.

Conclusão

A norma ISO/IEC 22237 é um marco na padronização de data centers, oferecendo um guia abrangente para projetar, construir e operar instalações eficientes e seguras. Sua adoção pela ABNT reforça a importância dessas diretrizes no Brasil, preparando o caminho para um futuro digital mais robusto e sustentável. À medida que mais partes da norma são publicadas e implementadas, os profissionais da área têm uma oportunidade única de aprimorar suas práticas e contribuir para a evolução dos data centers em todo o mundo.