Il paradosso della sicurezza fisica nei data center
Quando si parla di protezione delle informazioni, l’attenzione si concentra quasi sempre su firewall, crittografia e attacchi informatici. La realtà operativa, però, racconta un’altra storia: la maggior parte degli incidenti di sicurezza che coinvolgono server room e datacenter passa da un accesso fisico non controllato. Un armadio rack lasciato aperto, un tecnico esterno che circola senza accompagnamento, un badge scaduto ancora attivo sono falle concrete, documentate in numerosi report ENISA e casi di cronaca. Il D.Lgs. 81/2008 (art. 64) obbliga il datore di lavoro a mantenere i luoghi di lavoro sicuri e a limitare l’accesso alle aree a rischio. Il GDPR, all’art. 32, impone misure fisiche e organizzative per proteggere i dati personali. E la ISO 27001, punto di riferimento per i sistemi di gestione della sicurezza delle informazioni, traduce questi principi in controlli verificabili. Chi gestisce un data center, anche piccolo, ha bisogno di un approccio strutturato al controllo accessi, pena sanzioni, perdita di certificazioni e danni reputazionali.
ISO 27001: cosa prescrive per l’accesso fisico a server room e data center
La norma ISO/IEC 27001:2022, nell’Annex A, dedica l’intera sezione 7 (Physical controls) alla protezione fisica. Tre controlli, in particolare, sono cruciali per chi progetta gli accessi a una server room:
- Controllo 7.1 (Physical security perimeters): impone di definire perimetri di sicurezza fisica – muri, porte, sistemi di chiusura – per proteggere le aree che contengono informazioni e altre risorse associate. La server room deve essere delimitata da barriere fisiche e a essa si accede solo attraverso varchi presidiati o controllati elettronicamente.
- Controllo 7.2 (Physical entry): qui si entra nel dettaglio operativo. Le organizzazioni devono proteggere le aree sicure con meccanismi di controllo degli accessi che consentano l’ingresso solo al personale autorizzato. Non basta una porta chiusa a chiave: serve un sistema che verifichi l’identità, registri ogni passaggio e permetta di revocare tempestivamente i diritti. Badge, codici PIN, riconoscimento biometrico, combinati, sono la prassi.
- Controllo 7.3 (Securing offices, rooms and facilities): richiede un’analisi del rischio specifica per ambienti come i CED. L’accesso deve essere ristretto in base al ruolo, loggato e periodicamente rivisto. Inoltre, la gestione dei visitatori esterni – tecnici, manutentori, consulenti – deve prevedere procedure documentate che includono registrazione, identificazione, badge temporaneo e, soprattutto, accompagnamento continuativo durante tutta la permanenza nell’area.
La ISO 27001 non è prescrittiva sulle tecnologie, ma esige tracciabilità e verificabilità. Il log degli accessi deve riportare almeno data, ora, identificativo della persona, varco attraversato ed eventuale esito (consentito / negato). I registri devono essere conservati per il periodo definito dalla politica aziendale, spesso anni, e prodotti durante gli audit di sorveglianza. E non dimentichiamo il controllo 8.15 (Logging), che estende l’obbligo di registrazione anche agli eventi di sicurezza fisica: un tentativo di accesso fallito può fare la differenza nella rilevazione di un attacco.
Le linee guida ENISA: una piramide di protezione per i data center
L’Agenzia dell’Unione Europea per la Cybersicurezza (ENISA) ha pubblicato linee guida specifiche per la sicurezza fisica dei data center. Il documento “Data Centre Security: Physical Security Guidelines” struttura la protezione su più livelli, dal perimetro esterno fino al singolo rack. Per la “Computer Room” (il locale server vero e proprio), ENISA raccomanda:
- Autenticazione a più fattori per l’accesso al locale, combinando qualcosa che si possiede (badge), qualcosa che si conosce (PIN) e qualcosa che si è (impronta digitale);
- Accompagnamento obbligatorio di qualunque visitatore, senza eccezioni, da parte di personale interno autorizzato;
- Badge visivamente riconoscibili e a scadenza temporale, che cambiano colore o riportano in chiaro la validità giornaliera, per identificare a colpo d’occhio eventuali presenze fuori luogo;
- Videosorveglianza e porte a tenuta (mantrap) per prevenire il tailgating.
Queste raccomandazioni, sebbene non siano vincolanti come un decreto, rappresentano lo standard professionale di riferimento e vengono spesso richiamate nelle valutazioni di conformità delle grandi aziende e dei fornitori di servizi cloud. In Italia, poi, si innestano su obblighi cogenti: il D.M. 2 settembre 2021 (Regola tecnica di prevenzione incendi per i locali CED) prescrive, per i centri elaborazione dati con determinate caratteristiche, il controllo dell’accesso alle aree e la registrazione delle presenze, proprio per conciliare sicurezza delle informazioni e sicurezza antincendio. Anche il DPR 151/2011, che elenca le attività soggette a controllo dei Vigili del Fuoco, può coinvolgere i locali server quando questi ospitano sistemi di condizionamento o gruppi elettrogeni che rientrano nelle attività elencate. E se la server room è inserita in uno stabilimento a rischio di incidente rilevante ai sensi del D.Lgs. 105/2015 (Seveso III), il gestore deve estendere il controllo degli accessi fisici a tutti i locali critici, CED compreso, nel quadro del rapporto di sicurezza.
Dal badge al log: gli strumenti operativi per la conformità
Tradurre queste norme in pratica quotidiana richiede una piattaforma di gestione accessi che leghi insieme identificazione, registrazione e reportistica. Vediamo i pilastri operativi.
Badge identificativo, non “chiave universale”. Ogni persona che varca la porta della server room deve avere un badge che la identifichi univocamente. Per il personale interno, il tesserino aziendale con fotografia, abbinato a un lettore di prossimità, è la soluzione più diffusa. Per i visitatori, invece, servono badge temporanei, rilasciati a fronte di un documento d’identità, con indicazione dell’area autorizzata e della data. Un badge temporaneo non deve mai consentire l’accesso autonomo, ma solo identificare la persona durante l’accompagnamento.
Registrazione automatica e immodificabile. Il sistema deve produrre un log digitale a prova di manomissione, che riporti per ogni evento: identità, data e ora, varco, e, se possibile, la motivazione dell’accesso (es. “manutenzione programmata”, “audit”, “visita ispettiva”). I registri cartacei, ancora diffusi in molte PMI, sono inadeguati perché possono essere alterati, persi o semplicemente compilati in modo approssimativo.
Accompagnamento come procedura documentata. Non è sufficiente dire ai dipendenti “accompagna il tecnico”. Deve esistere una procedura scritta, approvata dal responsabile della sicurezza, che definisce chi può fare da accompagnatore, quali percorsi seguire, quali attività sono consentite all’ospite e come gestire eventuali emergenze. La procedura va integrata nel regolamento interno.
Conservazione e audit. I log devono essere archiviati per un periodo coerente con le politiche di retention, tipicamente 3-5 anni per allinearsi ai cicli di verifica ISO 27001 e alle esigenze probatorie in caso di incidente GDPR. Quando arriva il team di audit, la capacità di esibire un report dettagliato in pochi minuti cambia la percezione del sistema di gestione.
I rischi che corri se non controlli l’accesso fisico
Saltare uno di questi passaggi espone l’organizzazione a rischi concreti. Il furto o la manomissione di server, storage e apparati di rete possono causare la perdita irreversibile di dati e fermi produzione prolungati, con costi che vanno ben oltre le eventuali sanzioni amministrative. In caso di data breach causato da accesso fisico non autorizzato, il Garante Privacy può elevare sanzioni fino al 4% del fatturato annuo, senza contare l’azione di responsabilità civile. E anche un evento apparentemente minore, come un tecnico che fotografa gli apparati senza supervisione, viola le policy e può innescare un incidente di sicurezza documentabile.
Sotto il profilo della sicurezza sul lavoro, una server room non presidiata correttamente può diventare un luogo pericoloso: cavi sotto tensione, rischio elettrico, fluidi refrigeranti. Il D.Lgs. 81/2008 richiede al datore di lavoro di separare le aree pericolose e di impedire l’accesso ai non autorizzati (art. 64 e 83). Non basta un cartello “Vietato l’ingresso”: serve un controllo attivo, altrimenti in caso di infortunio l’azienda si trova scoperta.
Infine, la mancata tenuta di un registro accessi fisici può far decadere la certificazione ISO 27001 alla prima verifica ispettiva, con ricadute commerciali su commesse e contratti che richiedono la certificazione.
In tutti questi scenari, un sistema di visitor management digitale e automatizzato fa la differenza perché sposta il controllo dalla buona volontà del singolo operatore a un processo tracciato e verificabile. Piattaforme come Varcora, progettate per ambienti regolamentati, integrano registrazione, badge personalizzati e report di audit, aiutando i responsabili IT e gli RSPP a dimostrare la conformità senza accumulare carta.
Tutto questo, sul piano operativo, si traduce in procedure chiare e automatismi che non dipendono dalla memoria di un singolo responsabile. Ogni accesso alla server room diventa tracciabile: il visitatore esterno riceve un badge temporaneo, scade automaticamente al termine dell’appuntamento e il sistema registra data, ora e movimenti. Se domani un auditor chiede di vedere la lista delle persone entrate nel perimetro sensibile, il dato esiste già, strutturato secondo i requisiti ISO 27001 e pronto per essere esportato.
Una piattaforma come Varcora permette di gestire tutto questo in un unico flusso, dalla pre-registrazione all’uscita. Per i tecnici che ruotano frequentemente e per la reportistica di compliance, avere un sistema strutturato per il controllo accessi server room elimina i rischi legati a badge condivisi e registri cartacei. Richiedi una demo per vedere come adattare il controllo degli accessi fisici alla tua realtà operativa.