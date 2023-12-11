Publicado: 12 de diciembre de 2023
Colaboradores: Mesh Flinders, Ian Smalley
La recuperación ante desastres como servicio (DRaaS) es una solución de terceros que brinda protección de datos y capacidades de recuperación ante desastres (DR) a compañías bajo solicitud, a través de Internet y mediante pago por uso.
Las soluciones DRaaS replican y alojan servidores físicos y virtual servers que proporcionan conmutación por error en caso de desastre, un proceso en el que las operaciones de TI se cambian a un sistema secundario cuando falla uno principal. Un DRaaS eficaz ayuda a limitar el tiempo de inactividad y acortar los objetivos de punto de recuperación (RPO) y los objetivos de tiempo de recuperación (RTO) cuando ocurre un desastre.
Las soluciones de DR ganaron popularidad en los últimos años debido a la creciente conciencia en la comunidad empresarial sobre la importancia de la seguridad de los datos. Las compañías que adoptan el enfoque DRaaS esencialmente subcontratan su planeación de DR a un tercero. Según un reporte reciente de Global Market Insights (GMI) (el enlace se encuentra fuera de ibm.com), el tamaño del mercado para DRaaS fue de USD 11.5 mil millones en 2022 y estaba a punto de crecer un 22% este año (el enlace se encuentra fuera de ibm.com) .
¿Qué es un plan de recuperación ante desastres?
Las soluciones DRaaS se basan en planes de recuperación de desastres (DRP), que son documentos detallados que describen cómo responde una organización a un incidente imprevisto. Junto con los planes de continuidad de la actividad empresarial (PCN), los planes de RD ayudan a garantizar que las compañías estén preparadas para hacer frente a muchos tipos diferentes de amenazas, como ataques de ransomware y malware, catástrofes naturales y muchas más.
Un DRP estable puede ayudar a restaurar la conectividad y reparar la pérdida de datos luego de un desastre. En un evento no planeado, es menos probable que un proveedor externo que brinda soporte DRaaS sufra el mismo cierre que sus clientes, lo que le permite implementar el DRP del cliente de manera más efectiva que el propio cliente.
¿Qué es la conmutación por error/conmutación por recuperación?
La conmutación por error y la conmutación por recuperación son conceptos fundamentales para DRaaS, ya que ayudan a los proveedores externos a dar soporte eficaz a sus clientes e implementar su DRP independientemente de la gravedad del incidente al que se enfrenten. La conmutación por error es un proceso en el que las operaciones de TI se trasladan a un sistema secundario cuando uno principal falla debido a un corte de energía, un ciberataque u otra amenaza.
El failback es el proceso de volver al sistema original una vez restablecida la funcionalidad por completo. En un modelo de servicio DRaaS, un proveedor podría conmutar por error desde el centro de datos de un cliente a un sitio secundario donde un sistema redundante entraría en vigor al instante. Si se ejecutan correctamente, la conmutación por error y la conmutación por recuperación pueden crear una experiencia fluida en la que el usuario ni siquiera es consciente de que está siendo trasladado a un sistema secundario.
El primer paso para DRaaS es seleccionar el proveedor o proveedor principal de servicios (MSP) adecuado para su organización. Se trata de la compañía que ofrecerá capacidades DRaaS, incluido el establecimiento de RTO y RPO, y ayudará a crear un plan de continuidad de negocio (BCP). Por lo general, los MSP de DRaaS compiten para ofrecer RTO y RPO cada vez más bajos, por lo que esta es una buena métrica de la cual partir a la hora de evaluar si se ajustan a sus necesidades.
Objetivo de tiempo de recuperación (RTO): RTO se refiere a la cantidad de tiempo que llevará restaurar las operaciones comerciales luego de un incidente no planeado. En un modelo DRaaS, los acuerdos de nivel de servicio (SLA) cubren el RTO y explican cómo el MSP y la organización trabajarán juntos para lograrlo.
Objetivo de punto de recuperación (RPO): el RPO es la cantidad de datos que una organización puede permitirse perder en un desastre y aún así recuperarse. Algunas compañías requieren que sus datos se copien constantemente a un centro de datos remoto para garantizar la continuidad en caso de una filtración; otros pueden tolerar un RPO de unos minutos (o incluso horas). Establecer expectativas claras sobre el RPO de una organización es un paso crítico para configurar una solución DRaaS.
Plan de continuidad del negocio: al igual que los DRP, RTO y RPO, los planes de continuidad del negocio (BCP) son críticos para el proceso DRaaS. Los BCP suelen tener una visión más amplia de las diversas amenazas y opciones de resolución que un DRP, ya que se centran en lo que una organización y el proveedor de DRaaS deberán hacer para restaurar las funciones básicas del negocio luego de un incidente. Según el modelo DRaaS, el MSP que proporciona los servicios DRaaS suele desarrollar el BCP de una organización en estrecha consulta con el liderazgo de la organización.
DRaaS se basa en la realización de copias de seguridad de los sistemas críticos para poder restaurarlos tras un incidente imprevisto. Elegir la ubicación y el tipo de copias de seguridad que se emplearán es una de las decisiones más importantes que tomará una organización durante el proceso de DRaaS. Hay tres opciones para elegir: centro de datos, nube y copias de seguridad híbridas.
Centro de datos
Cuando una organización opta por hacer copias de seguridad de sus datos más críticos por medio de un centro de datos, éstos se trasladan fuera de las instalaciones, lo que los protege de un desastre natural o un ciberataque localizado. Debido a la necesidad de más infraestructura (como instalaciones externas y servidores físicos, sistemas y personal), las copias de seguridad en centros de datos suelen ser la opción más cara. Además, la restauración de datos desde un centro de datos externo es un proceso más largo que la restauración desde la nube y a veces puede llevar días o incluso semanas.
Cloud
Los planes de recuperación ante desastres en la nube suelen ser los más escalables y económicos porque no necesitan infraestructura física ni soporte. Los planes de recuperación ante desastres basados en la nube almacenan datos críticos en la nube, lo que permite a una organización crear una instancia de virtual machine (VM) que se puede activar en minutos, incluso segundos, en caso de un desastre.
Hybrid cloud
Los planes DRaaS híbridos emplean un entorno de nube pública y un centro de datos para fines de copia de seguridad. Los servicios de nube híbrida son los más flexibles de las tres opciones disponibles, y son una buena opción para las pequeñas y medianas empresas (PYMES) que desean capacidades DRaaS de nivel empresarial sin invertir en infraestructura física.
Muchas organizaciones que están considerando DRaaS también consideran Backup as a Service (BaaS) como una opción menos costosa. BaaS es un servicio administrado proporcionado por un proveedor externo que ayuda a las empresas a restaurar sus datos más valiosos después de un incidente. Las soluciones BaaS almacenan datos en una ubicación segura, fuera del sitio, a menudo en la nube, donde están a salvo de diferentes amenazas.
La copia de seguridad de datos BaaS puede incluir cualquier cosa de valor para una organización, como archivos, registros e incluso cargas de trabajo completas. Al igual que DRaaS, BaaS es un servicio proporcionado por un MSP y regulado por un SLA que describe todas las responsabilidades y expectativas de ambas partes.
Hay tres diferencias clave entre las soluciones BaaS y DRaaS que merece la pena tener en cuenta:
Requerimientos de backup: mientras que DRaaS realiza backups de datos e infraestructura, BaaS solo realiza backups de datos. Los MSP de DRaaS generalmente asumen la responsabilidad de mantener la infraestructura crítica como servidores, edificios de oficinas y redes disponibles y accesibles para los usuarios durante e inmediatamente después de un incidente. Los proveedores de BaaS no ofrecen tales servicios.
Tiempo de restauración: Los proveedores de BaaS pueden restaurar datos y realizar la recuperación de datos, pero lleva más tiempo que con un proveedor de DRaaS debido a la cantidad de datos involucrados. Los despliegues BaaS suelen manejar mayores volúmenes de datos que los despliegues DRaaS y miden sus RPO y RTO en horas y días. Los proveedores de DRaaS pueden medir el RPO y el RTO en minutos, y a veces incluso en segundos.
Precios de la solución: BaaS cuesta significativamente menos que DRaaS. Principalmente, esto se debe al costo de los recursos que se despliegan. En una implementación de DRaaS, las compañías pagan por recursos como el software de replicación y la infraestructura informática, además de los recursos de almacenamiento, mientras que en una implementación de BaaS la organización solo paga por los recursos de almacenamiento.
La mayoría de las organizaciones dividen la planeación de BCDR en dos procesos separados: continuidad del negocio y recuperación ante desastres. Se trata de un planteamiento eficaz porque, aunque los dos procesos comparten muchos pasos, también hay diferencias clave en cómo se elaboran, aplican y prueban los planes.
La principal diferencia es que los BCV tienden a ser proactivos, mientras que los DRP tienden a ser más reactivos. Es bueno tener esto en cuenta al construir las dos partes de su plan BCDR porque gobierna la manera en que los dos procesos se relacionan entre sí.
Una estrategia estable de continuidad del negocio se centra en los procesos, procedimientos y roles que son críticos para las operaciones del negocio antes, durante e inmediatamente después de un desastre. La planeación de DR está más orientada a reaccionar ante un incidente y tomar las medidas adecuadas para recuperar.
Ambos procesos dependen en gran medida de dos componentes críticos, el objetivo de tiempo de recuperación (RTO) y el objetivo de punto de recuperación (RPO):
1. Realizar Análisis de Impacto en el Negocio (BIA)
Para crear un BCP eficaz, primero deberá comprender los diferentes riesgos a los que se enfrenta su organización. El análisis de impacto en el negocio (BIA) desempeña un papel crucial en la gestión de riesgos y la resiliencia empresarial. BIA es el proceso de identificar y evaluar el impacto potencial de un desastre en las operaciones normales.
El BIA sólida incluye una visión general de todas las amenazas y vulnerabilidades existentes potenciales, internas y externas, así como planes detallados para la mitigación. Además, el BIA debe identificar la probabilidad de que ocurra un evento para que la organización pueda priorizar en consecuencia.
2. Diseñe respuestas
Una vez que su BIA esté completo, el siguiente paso en la creación de su BCP es planificar respuestas efectivas a cada una de las amenazas que ha identificado. Naturalmente, las diferentes amenazas requerirán diferentes estrategias de recuperación ante desastres, por lo que cada una de sus respuestas debe tener un plan detallado sobre cómo la organización va a detectar una amenaza específica y abordarla.
3. Identificar roles y responsabilidades clave
Este paso determina cómo responderán los miembros clave de su equipo cuando se enfrenten a una crisis o un evento disruptivo. Se documentan las expectativas de cada miembro del equipo, así como los recursos necesarios para que cumplan sus funciones.
Esta es una buena parte del proceso para considerar cómo se comunicarán las personas en caso de un incidente. Algunas amenazas cerrarán redes clave, como la conectividad celular o a Internet, por lo que es importante contar con métodos de comunicación alternativos en los que sus empleados puedan confiar.
4. Pruebe y actualice su plan
Para ser procesable, debe practicar y perfeccionar constantemente su plan de BCDR. Las pruebas y la capacitación constantes de los empleados conducirán a una implementación sin problemas cuando ocurra un desastre real. Ensaye escenarios realistas como ciberataques, incendios, inundaciones, errores humanos, interrupciones masivas y otras amenazas relevantes para que los miembros del equipo puedan generar confianza en sus roles y responsabilidades.
Al igual que los BCP, los DRP requieren un análisis de impacto empresarial (BIA): la descripción de roles y responsabilidades, y pruebas y refinamientos constantes. Pero debido a que los DRP son de naturaleza más reactiva, hay un mayor enfoque en el análisis de riesgos y en la copia de seguridad y recuperación de datos. Los pasos 2 y 3 del desarrollo de DRP, realizar un análisis de riesgos (RA) y crear un inventario de activos, no forman parte del proceso de desarrollo de BCP.
Este es un proceso de cinco pasos ampliamente empleado para crear un DRP:
1. Realizar el análisis del impacto en el negocio
Al igual que en su proceso de BCP, comience por evaluar cada amenaza que podría enfrentar su compañía y cuáles podrían ser sus ramificaciones. Considere cómo las amenazas potenciales podrían afectar las operaciones diarias, los canales de comunicación regulares y la seguridad de los trabajadores.
Las consideraciones adicionales para un BIA estable incluyen la pérdida de ingresos, el costo del tiempo de inactividad, el costo de la reparación de la reputación (relaciones públicas), la pérdida de clientes e inversionistas (a corto y largo plazo) y las sanciones incurridas por infracciones de cumplimiento.
2. Analizar los riesgos
Los DRP suelen requerir una evaluación de riesgos más cuidadosa que los BCP, ya que su función es centrarse en los esfuerzos de recuperación de un posible desastre. Durante la parte de análisis de riesgos (RA) de la planificación, considere la probabilidad de un riesgo y el posible impacto en su negocio.
3. Cree un inventario de activos
Para crear un DRP eficaz, debe saber exactamente qué posee su compañía, su propósito, función y condición. Hacer un inventario regular de activos ayuda a identificar hardware, software, infraestructura de TI y cualquier otra cosa que su organización pueda poseer y que sea crucial para sus operaciones comerciales. Una vez que haya identificado sus activos, puede agruparlos en tres categorías: críticos, importantes y sin importancia:
4. Establecer funciones y responsabilidades
Al igual que en el desarrollo de su BCP, deberá delinear claramente las responsabilidades y asegurar que los miembros del equipo tengan lo que necesitan para realizar sus tareas requeridas. Sin este paso crucial, nadie sabrá cómo actuar durante un desastre. Estos son algunos roles y responsabilidades que debe tener en cuenta al crear su DRP:
5. Probar y perfeccionar
Al igual que su BCP, su DRP requiere práctica y perfeccionamiento constantes para ser eficaz. Practíquelo de manera regular y actualícelo de acuerdo con cualquier cambio significativo que deba realizar. Por ejemplo, si su compañía adquiere un nuevo activo después de que se formó su DRP, deberá incorporarlo a su plan para garantizar que esté protegido en el futuro.
Es comprensible que las compañías modernas toleren cada vez menos los tiempos de inactividad.
Cada día, parece que otro ciberataque o evento no planeado aparece en los titulares y le cuesta millones a las compañías. Las soluciones de recuperación ante desastres como DRaaS brindan protección de datos efectiva y recuperación ante desastres para una variedad de amenazas.
La externalización de la implementación de su DRP y la copia de seguridad de los datos más valiosos de su organización en una ubicación separada, dos elementos clave de DRaaS, ayudan a garantizar que pueda recuperarse de forma rápida y completa en caso de desastre.
Estos son algunos de los beneficios clave de las soluciones DRaaS:
Las compañías más competitivas de hoy en día confían en la tecnología para sus operaciones comerciales más críticas. Cuando se produce una catástrofe, los días, las horas (incluso los minutos) en que los procesos normales quedan interrumpidos pueden costar millones. Además, los ciberataques y las caídas de empresas conocidas suelen aparecer en las noticias, lo que agrega costos de reputación a la lista de gastos de recuperación. Una DRaaS eficaz proporciona a las compañías protección de datos y copias de seguridad y aumenta su capacidad para recuperarse de cualquier amenaza a la que se enfrenten.
El costo de recuperarse de un desastre es más alto cada año. Veamos un solo tipo de incidente no planeado: las filtraciones de datos; el reciente Reporte del costo de la filtración de datos de IBM encontró que el costo promedio de una filtración en 2023 fue de 4.45 millones de dólares, un aumento del 15% en los últimos 3 años.
Cuando ocurre un desastre, las compañías que emplean un proveedor de DRaaS disfrutan de dos beneficios significativos sobre las que no lo hacen: sus datos respaldados y la parte responsable de ejecutar su DRP están en otra ubicación física. Esto hace que sea mucho menos probable que el proveedor de DRaaS se vea afectado por el mismo incidente que amenaza a la organización. Además, los proveedores de DRaaS ofrecen modelos basados en subscripción o de pago por uso, lo que elimina la necesidad de una inversión inicial en infraestructura de TI.
DRaaS es una solución altamente adaptable que puede ajustarse a las necesidades de casi cualquier compañía. Los proveedores de DRaaS aprovechan la funcionalidad basada en la nube y la automatización de procesos y tareas clave para maximizar la eficiencia y reducir los gastos generales. Las compañías que implementan soluciones DRaaS pueden dedicar recursos críticos a más funciones comerciales básicas pues, de otro modo, se dedicarían al desarrollo, la implementación y la gestión de su DRP.
Sectores fuertemente regulados, como la atención médica y las finanzas personales, imponen multas a las compañías que son víctimas de filtraciones de datos. A menudo, el monto de las multas está vinculado a la duración del tiempo de inactividad durante un ataque y la cantidad de datos comprometidos. DRaaS ayuda a acortar los tiempos de respuesta y recuperación, reduciendo significativamente los castigos financieros asociados con las filtraciones de datos.
Los proveedores de DRaaS despliegan las medidas de ciberseguridad y cifrado más estables disponibles por una sencilla razón: es el núcleo de su negocio. Cuando contrata a un proveedor de DRaaS, está contratando a especialistas en seguridad de datos, prevención de robos y recuperación ante desastres para que hagan lo que mejor saben hacer: mantenerlo a salvo a usted y a sus datos más importantes.
Las soluciones de recuperación ante desastres como servicio (DRaaS) vienen en tres variedades: autoservicio, DRaaS asistido y gestionado. Dependiendo de las necesidades y recursos de una organización, existen diferencias importantes entre estas opciones que vale la pena considerar.
El DRaaS de autoservicio ofrece a las organizaciones las herramientas y recursos empresariales que necesitan para crear y gestionar su propio DRP. Es una buena opción para organizaciones tecnológicamente avanzadas con equipos de TI internos dedicados que requieren un alto nivel de control sobre sus procesos.
Debido a que es tan básico, el DRaaS de autoservicio tiene opciones de precios más bajos que otros planes y es mucho más flexible. Pero las organizaciones deben saber que con una solución DRaaS de autoservicio, están solas durante las fases de planeación, prueba y gestión de su DRP.
El DRaaS asistido es un buen tipo de servicio de recuperación para las organizaciones que necesitan equilibrar su necesidad de control con un sólido soporte de un MSP de terceros. En DRaaS asistido, el MSP ayuda a construir, planificar, implementar, probar y refinar el DRP y ofrece valiosa experiencia y orientación durante todo el proceso.
Managed DRaaS es una solución DRaaS totalmente subcontratada en la que el MSP asume el control total y la responsabilidad del desarrollo y la implementación del DRP de una organización. Una opción estable para las compañías que no tienen sus propios departamentos de TI, DRaaS gestionado proporciona la oferta de DRaaS más estable disponible. Como era de esperar, a menudo también es el más caro.
