La respuesta puede ser muy extensa, pero intentaré resumirla lo máximo posible.

Primero, definir claramente que es lo que se pretende proteger.

Segundo, que la empresa tenga redactada y definida una Política de seguridad de la información. Este es el principio de todo, es como tener una "constitución" en materia de seguridad de la información.

Tercero, tener compromiso de la dirección invirtiendo en medios adecuados para que esa política de seguridad se lleve a cabo. ¿De que sirve la seguridad si la dirección cree que es un cuento chino?

Cuarto, evaluar el nivel de riesgo en función a las amenazas y vulnerabilidades que existen con respecto a la información que tiene la empresa.

Quinto, redactar los procedimientos, normas, instrucciones y registros adecuados para que la información esté protegida.

De todo lo anterior salen las medidas organizativas, físicas, técnicas y lógicas para asegurar la información.

Sexto, controlar y revisar todo lo anterior para que la seguridad se mantenga viva y no se quede arrinconada.

Las normas vigentes sobre seguridad de la información son:
UNE 71502:2004 Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI)

UNE-ISO/IEC 17799:2002 Tecnología de la Información. Código de buenas prácticas para la Gestión de la Seguridad de la Información.

Como puedes ver es un poco complicado responderte exclusivamente una cosa sobre tu pregunta, si sólo quieres saber de medidas de seguridad en una sala de servidores tendrás que tener en cuenta la seguridad física del local, la protección contra incendios y la seguridad lógica.

Un saludo.

PD. Me he olvidado reflejar que es fundamental cumplir con la legalidad vigente en materia de protección de datos personales (LOPD) y otras leyes como la LSSI, firma digital, etc.