¿Qué es la recuperación ante desastres como servicio (DRaaS)?

Las soluciones DRaaS replican y alojan servidores físicos y virtuales que proporcionan conmutación por error en caso de desastre, un proceso en el que las operaciones de TI se cambian a un sistema secundario cuando falla el principal. Una DRaaS eficaz ayuda a limitar el tiempo de inactividad y a acortar los objetivos de punto de recuperación (RPO) y los objetivos de tiempo de recuperación (RTO) cuando se produce un desastre.

Las soluciones de DR han ido ganando popularidad en los últimos años debido a la creciente concienciación de la comunidad empresarial sobre la importancia de la seguridad de los datos. Las empresas que adoptan el enfoque DRaaS básicamente externalizan su planificación de DR a un tercero. Según un informe reciente de Global Market Insights (GMI), el tamaño del mercado del DRaaS era de 11 500 millones de dólares estadounidenses en 2022 y se prevé que crezca un 22 % este año.

Las soluciones DRaaS se basan en planes de recuperación ante desastres (DRP), que son documentos detallados que describen cómo responde una organización a un incidente no planificado. Junto con los planes de continuidad del negocio (BCP), los planes de DR ayudan a garantizar que las empresas estén preparadas para hacer frente a muchos tipos diferentes de amenazas, incluidos ataques de ransomware y malware, desastres naturales y muchos más.

Un DRP sólido puede ayudar a restablecer la conectividad y reparar la pérdida de datos tras una catástrofe. En un caso imprevisto, es menos probable que un proveedor externo que ofrezca asistencia DRaaS sufra el mismo apagón que sus clientes, lo que permite al proveedor DRaaS poner en marcha el DRP del cliente con mayor eficacia que el propio cliente.

La conmutación por error y la conmutación por recuperación son conceptos centrales en DRaaS, que ayudan a los proveedores externos a prestar un apoyo eficaz a sus clientes y a aplicar su DRP independientemente de la gravedad del incidente al que se enfrenten. La conmutación por error es un proceso en el que las operaciones de TI se trasladan a un sistema secundario cuando el principal ha fallado debido a un corte de energía, un ciberataque u otra amenaza. 

La conmutación por recuperación es el proceso de volver al sistema original una vez que se ha restaurado la funcionalidad completa. En un modelo de servicio DRaaS, un proveedor podría conmutar por error desde el centro de datos de un cliente a un sitio secundario donde un sistema redundante entraría en vigor al instante. Si se ejecuta correctamente, la conmutación por error y la conmutación por recuperación pueden crear una experiencia fluida en la que el usuario ni siquiera es consciente de que está siendo trasladado a un sistema secundario.

El primer paso para DRaaS es seleccionar el proveedor o proveedor principal de servicios (MSP) adecuado para su organización. Esta es la empresa que ofrecerá las capacidades de DRaaS, incluido el establecimiento de RTO y RPO, y ayudará a crear un plan de continuidad del negocio (BCP). Normalmente, los proveedores de servicios gestionados (MSP) de DRaaS compiten para ofrecer RTO y RPO cada vez más bajos, por lo que esta es una buena métrica de la que partir a la hora de evaluar si se ajustan a sus necesidades.

Objetivo de tiempo de recuperación (RTO): el RTO se refiere al tiempo que se tarda en restaurar las operaciones comerciales tras un incidente no planificado. En un modelo DRaaS, los acuerdos de nivel de servicio (SLA) cubren el RTO y explican cómo el MSP y la organización trabajarán juntos para lograrlo.

Objetivo de punto de recuperación (RPO): el RPO es la cantidad de datos que una organización puede permitirse perder en caso de desastre y aún así recuperarse. Algunas empresas exigen que sus datos se copien constantemente a un centro de datos remoto para garantizar la continuidad en caso de brecha; otras pueden tolerar un RPO de unos pocos minutos (o incluso horas). Establecer expectativas claras sobre el RPO de una organización es un paso fundamental para configurar una solución DRaaS.

Plan de continuidad del negocio: al igual que los DRP, los RTO y los RPO, los planes de continuidad del negocio (BCP) son cruciales para el proceso DRaaS. Los BCP suelen tener una visión más amplia de las distintas amenazas y opciones de resolución que un plan de continuidad de negocio, centrándose en lo que una organización y un proveedor de DRaaS tendrán que hacer para restaurar las funciones empresariales básicas después de un incidente. Bajo el modelo DRaaS, el BCP de una organización suele desarrollarlo el MSP que proporciona los servicios DRaaS en estrecha consulta con la dirección de la organización.

DRaaS se basa en la realización de copias de seguridad de los sistemas críticos para que puedan ser restaurados después de un incidente imprevisto. Elegir la ubicación y el tipo de copias de seguridad que se utilizarán es una de las decisiones más importantes que tomará una organización durante el proceso de DRaaS. Hay tres opciones para elegir: centro de datos, nube y copias de seguridad híbridas.

Centro de datos

Cuando una organización opta por hacer copias de seguridad de sus datos más críticos utilizando un centro de datos, estos se trasladan fuera de las instalaciones, lo que los protege de un desastre natural o un ciberataque localizado. Debido a la necesidad de más infraestructura, como instalaciones externas y servidores físicos, sistemas y personal, las copias de seguridad en centros de datos suelen ser la opción más cara. Además, restaurar los datos desde un centro de datos externo es un proceso más largo que restaurarlos desde la nube y a veces puede llevar días o incluso semanas.

Nube

Los planes de recuperación ante desastres en la nube suelen ser los más escalables y económicos porque no necesitan infraestructura física ni soporte. Los planes de recuperación ante desastres basados en la nube almacenan datos críticos en la nube, lo que permite a una organización crear una instancia de Virtual Machines (VM) que se puede activar en minutos, incluso segundos, en caso de desastre.

Cloud híbrido

Los planes DRaaS híbridos utilizan tanto un entorno de nube pública como un centro de datos para fines de copia de seguridad. Los servicios de cloud híbrido son la más flexible de las tres opciones disponibles, y son una buena opción para las pequeñas y medianas empresas (pymes) que desean capacidades DRaaS de nivel empresarial sin invertir en infraestructura física.

Muchas organizaciones que se plantean la DRaaS también consideran la copia de seguridad como servicio (BaaS) como una opción menos costosa. BaaS es un servicio gestionado proporcionado por un proveedor externo que ayuda a las empresas a restaurar sus datos más valiosos después de un incidente. Las soluciones BaaS almacenan los datos en una ubicación segura y externa (a menudo en la nube) donde están a salvo de diversas amenazas. 

El backup de datos BaaS puede incluir cualquier cosa de valor para una organización, como archivos, registros e incluso cargas de trabajo completas. Al igual que DRaaS, BaaS es un servicio prestado por un MSP y regido por un SLA que describe todas las responsabilidades y expectativas de ambas partes.

Hay tres diferencias clave entre las soluciones BaaS y DRaaS que merece la pena tener en cuenta:

Requisitos de copia de seguridad: mientras que DRaaS realiza copias de seguridad tanto de datos como de infraestructura, BaaS solo realiza copias de seguridad de datos. Los MSP de DRaaS suelen asumir la responsabilidad de mantener infraestructuras críticas como servidores, edificios de oficinas y redes disponibles y accesibles para los usuarios durante e inmediatamente después de un incidente. Los proveedores de BaaS no ofrecen este tipo de servicios.

Tiempo de restauración: los proveedores de BaaS pueden restaurar datos y realizar la recuperación de datos, pero lleva más tiempo que con un proveedor de DRaaS debido a la cantidad de datos involucrados. Las implementaciones de BaaS suelen tratar con mayores volúmenes de datos que las implementaciones de DRaaS y miden sus RPO y RTO en horas y días. Los proveedores de DRaaS pueden medir el RPO y el RTO en minutos, a veces incluso en segundos.

Precios de las soluciones: BaaS cuesta bastante menos que DRaaS. Esto se debe principalmente al coste de los recursos que se implementan. En una implementación DRaaS, las empresas pagan por recursos como el software de replicación y la infraestructura informática, además de los recursos de almacenamiento, mientras que en una implementación BaaS la organización sólo paga por los recursos de almacenamiento.

La mayoría de las organizaciones dividen la planificación de la recuperación ante desastres para la continuidad del negocio (BCDR) en dos procesos separados: continuidad del negocio y recuperación ante desastres. Se trata de un enfoque eficaz porque, aunque los dos procesos comparten muchos pasos, también existen diferencias clave en la forma de elaborar, aplicar y probar los planes.

La principal diferencia es que los BCP tienden a ser proactivos, mientras que los DRP tienden a ser más reactivos. Conviene tener esto en cuenta al elaborar las dos partes del plan de BCDR, ya que rige la relación entre ambos procesos.

Una estrategia sólida de continuidad del negocio se centra en los procesos, procedimientos y roles que son críticos para las operaciones comerciales antes, durante e inmediatamente después de un desastre. La planificación de DR está más orientada a reaccionar ante un incidente y tomar las medidas adecuadas para recuperarse de él.

Ambos procesos dependen en gran medida de dos componentes críticos, el objetivo de tiempo de recuperación (RTO) y el objetivo de punto de recuperación (RPO):

• Objetivo de tiempo de recuperación (RTO): el RTO se refiere a la cantidad de tiempo que se tarda en restaurar los procesos empresariales después de un incidente no planificado. Establecer un RTO razonable es una de las primeras cosas que deben hacer las empresas al crear su DRP.
• Objetivo de punto de recuperación (RPO): el RPO de su empresa es la cantidad de datos que puede permitirse perder en caso de desastre y aún así recuperarse.recuperarse. Dado que la protección de datos es una capacidad fundamental de muchas empresas modernas, algunas copian constantemente los datos en un centro de datos remoto para garantizar la continuidad en caso de una violación masiva. Otros establecen un RPO tolerable de unos minutos (o incluso horas) para que los datos empresariales se recuperen de un sistema de copia de seguridad y saben que son capaces de recuperar lo que se haya perdido durante ese tiempo.

1. Realice un análisis de impacto empresarial (BIA)

Para crear un BCP efectivo, primero hay que conocer los distintos riesgos a los que se enfrenta la empresa. El análisis del impacto en el negocio (BIA) desempeña un papel crucial en la gestión de riesgos y la resiliencia empresarial. El BIA es el proceso de identificar y evaluar el impacto potencial de un desastre en las operaciones normales.

Un BIA sólido incluye una visión general de todas las posibles amenazas y vulnerabilidades existentes (internas y externas), así como planes detallados para mitigarlas. Además, el BIA debe identificar la probabilidad de que se produzca un evento para que la organización pueda priorizar en consecuencia.

2. Diseñe respuestas

Una vez completado su BIA, el siguiente paso en la construcción de su BCP es planificar respuestas eficaces a cada una de las amenazas que haya identificado. Naturalmente, las distintas amenazas requerirán diferentes estrategias de recuperación ante desastres, por lo que cada una de sus respuestas debe contar con un plan detallado sobre cómo la organización detectará una amenaza específica y la abordará.

3. Determine las funciones y responsabilidades clave

Este paso dicta cómo responderán los miembros clave de su equipo cuando se enfrenten a una crisis o evento disruptivo. Documenta las expectativas de cada miembro del equipo, así como los recursos necesarios para que cumplan sus funciones.

Esta es una buena parte del proceso para considerar cómo se comunicarán las personas en caso de incidente. Algunas amenazas interrumpen redes clave, como la conectividad móvil o a Internet, por lo que es importante contar con métodos alternativos de comunicación en los que puedan confiar sus empleados.

4. Pruebe y actualice su plan

Para ser procesable, debe practicar y perfeccionar constantemente su plan de BCDR. Las pruebas y la formación constantes de los empleados permitirán una implementación fluida cuando se produzca un desastre real. Ensaye escenarios realistas como ciberataques, incendios, inundaciones, errores humanos, cortes masivos y otras amenazas relevantes para que los miembros del equipo puedan adquirir confianza en sus funciones y responsabilidades.

Al igual que los BCP, los DRP exigen un análisis del impacto empresarial (BIA), la definición de funciones y responsabilidades, y constantes pruebas y mejoras. Pero como los DRP son de naturaleza más reactiva, se centran más en el análisis de riesgos y en la recuperación y copia de seguridad de datos. Los pasos 2 y 3 del desarrollo de DRP, la realización de análisis de riesgos (RA) y la creación de un inventario de activos, no forman parte del proceso de desarrollo de BCP.

He aquí un proceso de cinco pasos ampliamente utilizado para crear un PRD:

1. Realizar un análisis de impacto empresarial

Al igual que en su proceso de BCP, empiece por evaluar cada una de las amenazas a las que podría enfrentarse su empresa y cuáles podrían ser sus ramificaciones. Considere cómo podrían afectar las amenazas potenciales a las operaciones diarias, a los canales de comunicación habituales y a la seguridad de los trabajadores.

Otras consideraciones para un BIA sólido incluyen la pérdida de ingresos, el coste del tiempo de inactividad, el coste de la reparación de la reputación (relaciones públicas), la pérdida de clientes e inversores (a corto y largo plazo) y cualquier sanción derivada de infracciones de la normativa.

2. Analizar los riesgos

Los DRP suelen requerir una evaluación de riesgos más minuciosa que los BCP, ya que su función es centrarse en los esfuerzos de recuperación ante una posible catástrofe. Durante la parte de la planificación dedicada al análisis de riesgos (RA), hay que considerar la probabilidad de un riesgo y su posible impacto en la empresa.

3. Crear un inventario de activos

Para crear un DRP efectivo, debe saber exactamente qué es lo que posee su empresa, su propósito y función y su estado. Hacer un inventario regular de los activos ayuda a identificar el hardware, el software, la infraestructura de TI y cualquier otra cosa que su organización pueda poseer y que sea crucial para sus operaciones empresariales. Una vez que haya identificado sus activos, puede agruparlos en tres categorías: críticos, importantes y sin importancia:

• Crítico: solo etiquete los activos como críticos si son necesarios para las operaciones comerciales normales.
• Importante: Otorgue esta etiqueta a los activos que se utilizan al menos una vez al día y que, si se interrumpen, tendrían un impacto en las operaciones empresariales (pero no los cerrarían por completo).
• Sin importancia: se trata de activos que su empresa utiliza con poca frecuencia y que no son esenciales para el funcionamiento normal de la empresa.

4. Establecer funciones y responsabilidades

Al igual que en el desarrollo de su BCP, tendrá que definir claramente las responsabilidades y asegurarse de que los miembros del equipo tienen lo que necesitan para desempeñar las funciones que se les exigen. Sin este paso crucial, nadie sabrá cómo actuar durante un desastre. Estas son algunas funciones y responsabilidades que debe tener en cuenta a la hora de crear su DRP:

• Informador de incidentes: Alguien que mantiene la información de contacto de las partes relevantes y se comunica con los líderes empresariales y las partes interesadas cuando se producen eventos perturbadores.
• Supervisor de DRP: el supervisor de DRP garantiza que los miembros del equipo realicen las tareas que se les han asignado durante un incidente.
• Gestor de activos: Alguien cuyo trabajo es asegurar y proteger los activos críticos cuando ocurre un desastre. 
• Enlace externo: la persona que coordina con cualquier proveedor externo o proveedor de servicios que haya contratado como parte de su DRP y actualiza a las partes interesadas en consecuencia sobre cómo va el DRP.

5. Probar y perfeccionar

Al igual que su BCP, su DRP requiere práctica y perfeccionamiento constantes para ser eficaz. Practíquelo con regularidad y actualícelo en función de los cambios significativos que deban realizarse. Por ejemplo, si su empresa adquiere un nuevo activo después de haber formado su DRP, deberá incorporarlo a su plan para garantizar su protección en el futuro.

Es comprensible que las empresas modernas tengan cada vez menos tolerancia al tiempo de inactividad. 
Cada día, parece que otro ciberataque o evento no planificado ha aparecido en los titulares, costando millones a las empresas. Las soluciones de recuperación ante desastres como DRaaS proporcionan una protección de datos eficaz y recuperación ante desastres para una variedad de amenazas.

Externalizar la implementación de su DRP y realizar copias de seguridad de los datos más valiosos de su organización en una ubicación separada (dos elementos clave de DRaaS) ayudan a garantizar que pueda recuperarse rápida y completamente en caso de un desastre.

Estos son algunos de los beneficios clave de las soluciones DRaaS:

Las soluciones de recuperación ante desastres como servicio (DRaaS) se presentan en tres variedades: autoservicio, DRaaS asistido y gestionado. Dependiendo de las necesidades y recursos de una organización, existen diferencias importantes entre estas opciones que vale la pena considerar.

El DRaaS de autoservicio ofrece a las organizaciones las herramientas y recursos empresariales que necesitan para crear y gestionar su propio DRP. Es una buena opción para organizaciones tecnológicamente avanzadas con equipos de TI internos dedicados que requieren un alto nivel de control sobre sus procesos.

Al ser tan básico, el DRaaS de autoservicio tiene opciones de precios más bajos que otros planes y es mucho más flexible. Pero las organizaciones deben saber que con una solución DRaaS de autoservicio, están solas durante las fases de planificación, prueba y gestión de su DRP.

La DRaaS asistida es un buen tipo de servicio de recuperación para las organizaciones que necesitan equilibrar su necesidad de control con un sólido soporte de un MSP externo. En la DRaaS asistida, el MSP ayuda a crear, planificar, implementar, probar y perfeccionar el DRP y ofrece una valiosa experiencia y orientación durante todo el proceso.

La DRaaS gestionada es una solución DRaaS totalmente externalizada en la que el MSP asume el control total y la responsabilidad del desarrollo y la implementación del DRP de una organización. Una opción sólida para las empresas que no tienen sus propios departamentos de TI, la DRaaS gestionada proporciona la oferta DRaaS más sólida disponible. Como era de esperar, a menudo también es la más cara.