¿Qué es la recuperación ante desastres como servicio (DRaaS)?

Las soluciones DRaaS replican y alojan servidores físicos y virtual servers que proporcionan conmutación por error en caso de desastre, un proceso en el que las operaciones de TI se cambian a un sistema secundario cuando falla uno principal. Un DRaaS eficaz ayuda a limitar el tiempo de inactividad y acortar los objetivos de punto de recuperación (RPO) y los objetivos de tiempo de recuperación (RTO) cuando ocurre un desastre.

Las soluciones de DR ganaron popularidad en los últimos años debido a la creciente concientización en la comunidad empresarial sobre la importancia de la seguridad de los datos. Las empresas que adoptan el enfoque DRaaS esencialmente subcontratan su planeación de DR a un tercero. Según un informe reciente de Global Market Insights (GMI), el tamaño del mercado para DRaaS era de 11.5 mil millones de dólares en 2022 y estaba a punto de crecer un 22% este año.

Las soluciones DRaaS se basan en planes de recuperación ante desastres (DRP), que son documentos detallados que describen cómo responde una organización a un incidente imprevisto. Junto con los planes de continuidad de negocio (BCPs), los planes de DR ayudan a garantizar que las empresas estén preparadas para hacer frente a muchos tipos diferentes de amenazas, incluyendo ataques de ransomware y malware, desastres naturales y muchas más.

Un DRP estable puede ayudar a restaurar la conectividad y reparar la pérdida de datos luego de un desastre. En un evento no planeado, es menos probable que un proveedor externo que brinda soporte DRaaS sufra el mismo cierre que sus clientes, lo que le permite implementar el DRP del cliente de manera más efectiva que el propio cliente.

La conmutación por error y la conmutación por recuperación son conceptos fundamentales para DRaaS, ya que ayudan a los proveedores externos a dar soporte eficaz a sus clientes e implementar su DRP independientemente de la gravedad del incidente al que se enfrenten. La conmutación por error es un proceso en el que las operaciones de IT se trasladan a un sistema secundario cuando uno principal falla debido a un corte de energía, ataque cibernético u otra amenaza.

El failback es el proceso de volver al sistema original una vez restablecida la funcionalidad por completo. En un modelo de servicio DRaaS, un proveedor podría conmutar por error desde el centro de datos de un cliente a un sitio secundario donde un sistema redundante entraría en vigor al instante. Si se ejecutan correctamente, la conmutación por error y la conmutación por recuperación pueden crear una experiencia fluida en la que el usuario ni siquiera es consciente de que está siendo trasladado a un sistema secundario.

El primer paso para DRaaS es seleccionar el proveedor o proveedor principal de servicios (MSP) adecuado para su organización. Se trata de la empresa que ofrecerá capacidades DRaaS, incluyendo el establecimiento de RTOs y RPOs y ayudará a crear un plan de continuidad de negocio (BCP). Por lo general, los MSPs de DRaaS compiten para ofrecer RTOs y RPOs cada vez más bajos, por lo que esta es una buena métrica de la cual partir a la hora de evaluar si se ajustan a sus necesidades.

Objetivo de tiempo de recuperación (RTO): RTO se refiere a la cantidad de tiempo que llevará restaurar las operaciones comerciales luego de un incidente no planeado. En un modelo DRaaS, los acuerdos de nivel de servicio (SLA) cubren el RTO y explican cómo el MSP y la organización trabajarán juntos para lograrlo.

Objetivo de punto de recuperación (RPO): el RPO es la cantidad de datos que una organización puede permitirse perder en un desastre y aún así recuperarse. Algunas compañías requieren que sus datos se copien constantemente a un centro de datos remoto para garantizar la continuidad en caso de una filtración; otros pueden tolerar un RPO de unos minutos (o incluso horas). Establecer expectativas claras sobre el RPO de una organización es un paso crítico para configurar una solución DRaaS.

Plan de continuidad del negocio: al igual que los DRP, RTO y RPO, los planes de continuidad del negocio (BCP) son críticos para el proceso DRaaS. Los BCP suelen tener una visión más amplia de las diversas amenazas y opciones de resolución que un DRP, ya que se centran en lo que una organización y el proveedor de DRaaS deberán hacer para restaurar las funciones básicas del negocio luego de un incidente. Según el modelo DRaaS, el MSP que proporciona los servicios DRaaS suele desarrollar el BCP de una organización en estrecha consulta con el liderazgo de la organización.

DRaaS se basa en la realización de copias de seguridad de los sistemas críticos para poder restaurarlos tras un incidente imprevisto. Elegir la ubicación y el tipo de copias de seguridad que se emplearán es una de las decisiones más importantes que tomará una organización durante el proceso de DRaaS. Hay tres opciones para elegir: centro de datos, nube y copias de seguridad híbridas.

Centro de datos

Cuando una organización opta por hacer copias de seguridad de sus datos más críticos por medio de un centro de datos, éstos se trasladan fuera de las instalaciones, lo que los protege de un desastre natural o un ciberataque localizado. Debido a la necesidad de más infraestructura (como instalaciones externas y servidores físicos, sistemas y personal), las copias de seguridad en centros de datos suelen ser la opción más cara. Además, la restauración de datos desde un centro de datos externo es un proceso más largo que la restauración desde la nube y a veces puede llevar días o incluso semanas.

Nube

Los planes de recuperación ante desastres en la nube suelen ser los más escalables y económicos porque no necesitan infraestructura física ni soporte. Los planes de recuperación ante desastres basados en la nube almacenan datos críticos en la nube, lo que permite a una organización crear una instancia de virtual machine (VM) que se puede activar en minutos, incluso segundos, en caso de un desastre.

Nube híbrida

Los planes DRaaS híbridos emplean un entorno de nube pública y un centro de datos para fines de copia de seguridad. Los servicios de nube híbrida son los más flexibles de las tres opciones disponibles, y son una buena opción para las pequeñas y medianas empresas (PYMES) que desean capacidades DRaaS de nivel empresarial sin invertir en infraestructura física.

Muchas organizaciones que están considerando DRaaS también consideran Backup as a Service (BaaS) como una opción menos costosa. BaaS es un servicio administrado proporcionado por un proveedor externo que ayuda a las empresas a restaurar sus datos más valiosos después de un incidente. Las soluciones BaaS almacenan datos en una ubicación segura, fuera del sitio, a menudo en la nube, donde están a salvo de diferentes amenazas. 

La copia de seguridad de datos BaaS puede incluir cualquier cosa de valor para una organización, como archivos, registros e incluso cargas de trabajo completas. Al igual que DRaaS, BaaS es un servicio proporcionado por un MSP y regulado por un SLA que describe todas las responsabilidades y expectativas de ambas partes.

Hay tres diferencias clave entre las soluciones BaaS y DRaaS que merece la pena tener en cuenta:

Requerimientos de backup: mientras que DRaaS realiza backups de datos e infraestructura, BaaS solo realiza backups de datos. Los MSP de DRaaS generalmente asumen la responsabilidad de mantener la infraestructura crítica como servidores, edificios de oficinas y redes disponibles y accesibles para los usuarios durante e inmediatamente después de un incidente. Los proveedores de BaaS no ofrecen tales servicios.

Tiempo de restauración: Los proveedores de BaaS pueden restaurar datos y realizar la recuperación de datos, pero lleva más tiempo que con un proveedor de DRaaS debido a la cantidad de datos involucrados. Los despliegues BaaS suelen manejar mayores volúmenes de datos que los despliegues DRaaS y miden sus RPOs y RTOs en horas y días. Los proveedores de DRaaS pueden medir el RPO y el RTO en minutos, a veces incluso en segundos.

Precios de la solución: BaaS cuesta significativamente menos que DRaaS. Principalmente, esto se debe al costo de los recursos que se despliegan. En una implementación de DRaaS , las empresas pagan por recursos como el software de replicación y la infraestructura informática, además de los recursos de almacenamiento, mientras que en una implementación de BaaS la organización solo paga por los recursos de almacenamiento.

La mayoría de las organizaciones dividen la planificación de la continuidad de negocio y recuperación ante desastres (BCDR) en dos procesos separados: la continuidad de negocio y la recuperación ante desastres. Se trata de un planteamiento eficaz porque, aunque los dos procesos comparten muchos pasos, también hay diferencias clave en cómo se elaboran, aplican y prueban los planes.

La principal diferencia es que los BCV tienden a ser proactivos, mientras que los DRP tienden a ser más reactivos. Es bueno tener esto en cuenta al construir las dos partes de su plan BCDR porque gobierna la manera en que los dos procesos se relacionan entre sí.

Una estrategia estable de continuidad del negocio se centra en los procesos, procedimientos y roles que son críticos para las operaciones del negocio antes, durante e inmediatamente después de un desastre. La planeación de DR está más orientada a reaccionar ante un incidente y tomar las medidas adecuadas para recuperar.

Ambos procesos dependen en gran medida de dos componentes críticos, el objetivo de tiempo de recuperación (RTO) y el objetivo de punto de recuperación (RPO):

• Objetivo de tiempo de recuperación (RTO): el RTO se refiere a la cantidad de tiempo que lleva restaurar los procesos de negocio después de un incidente no planeado. Establecer un RTO razonable es una de las primeras cosas que las compañías deben hacer cuando crean su DRP.
• Objetivo de punto de recuperación (RPO): el RPO de su compañía es la cantidad de datos que puede permitirse perder en un desastre y aún así recuperarse. Dado que la protección de datos es una capacidad central de muchas empresas modernas, algunas copian constantemente los datos a un centro de datos remoto para garantizar la continuidad en caso de una filtración masiva. Otros establecen un RPO tolerable de unos minutos (o incluso horas) para que los datos del negocio se recuperen de un sistema de copia de seguridad y saben que pueden recuperarse de lo que se haya perdido durante ese tiempo.

1. Realizar Análisis de Impacto en el Negocio (BIA)

Para crear un BCP eficaz, primero deberá comprender los diferentes riesgos a los que se enfrenta su organización. El análisis de impacto en el negocio (BIA) desempeña un papel crucial en la gestión de riesgos y la resiliencia empresarial. BIA es el proceso de identificar y evaluar el impacto potencial de un desastre en las operaciones normales.

El BIA sólida incluye una visión general de todas las amenazas y vulnerabilidades existentes potenciales, internas y externas, así como planes detallados para la mitigación. Además, el BIA debe identificar la probabilidad de que ocurra un evento para que la organización pueda priorizar en consecuencia.

2. Diseñe respuestas

Una vez que su BIA esté completo, el siguiente paso en la creación de su BCP es planificar respuestas efectivas a cada una de las amenazas que ha identificado. Naturalmente, las diferentes amenazas requerirán diferentes estrategias de recuperación ante desastres, por lo que cada una de sus respuestas debe tener un plan detallado sobre cómo la organización va a detectar una amenaza específica y abordarla.

3. Identificar roles y responsabilidades clave

Este paso determina cómo responderán los miembros clave de su equipo cuando se enfrenten a una crisis o un evento disruptivo. Se documentan las expectativas de cada miembro del equipo, así como los recursos necesarios para que cumplan sus funciones.

Esta es una buena parte del proceso para considerar cómo se comunicarán las personas en caso de un incidente. Algunas amenazas cerrarán redes clave, como la conectividad celular o a Internet, por lo que es importante contar con métodos de comunicación alternativos en los que sus empleados puedan confiar.

4. Pruebe y actualice su plan

Para ser procesable, debe practicar y perfeccionar constantemente su plan de BCDR. Las pruebas y la capacitación constantes de los empleados conducirán a una implementación sin problemas cuando ocurra un desastre real. Ensaye escenarios realistas como ciberataques, incendios, inundaciones, errores humanos, interrupciones masivas y otras amenazas relevantes para que los miembros del equipo puedan generar confianza en sus roles y responsabilidades.

Al igual que los BCP, los DRP requieren un análisis de impacto empresarial (BIA)—la descripción de roles y responsabilidades, y pruebas y refinamientos constantes. Pero debido a que los DRP son de naturaleza más reactiva, hay un mayor enfoque en el análisis de riesgos y en la copia de seguridad y recuperación de datos. Los pasos 2 y 3 del desarrollo de DRP, realizar un análisis de riesgos (RA) y crear un inventario de activos, no forman parte del proceso de desarrollo de BCP .

Este es un proceso de cinco pasos ampliamente empleado para crear un DRP:

1. Realizar el análisis del impacto en el negocio

Al igual que en su proceso de BCP, comience por evaluar cada amenaza que podría enfrentar su compañía y cuáles podrían ser sus ramificaciones. Considere cómo las amenazas potenciales podrían afectar las operaciones diarias, los canales de comunicación regulares y la seguridad de los trabajadores.

Las consideraciones adicionales para un BIA estable incluyen la pérdida de ingresos, el costo del tiempo de inactividad, el costo de la reparación de la reputación (relaciones públicas), la pérdida de clientes e inversionistas (a corto y largo plazo) y las sanciones incurridas por infracciones de cumplimiento.

2. Analizar los riesgos

Los DRP suelen requerir una evaluación de riesgos más cuidadosa que los BCP, ya que su función es centrarse en los esfuerzos de recuperación de un posible desastre. Durante la parte de análisis de riesgos (RA) de la planificación, considere la probabilidad de un riesgo y el posible impacto en su negocio.

3. Crear un inventario de activos

Para crear un DRP eficaz, debe saber exactamente qué posee su compañía, su propósito, función y condición. Hacer un inventario regular de activos ayuda a identificar hardware, software, infraestructura de TI y cualquier otra cosa que su organización pueda poseer y que sea crucial para sus operaciones comerciales. Una vez que haya identificado sus activos, puede agruparlos en tres categorías: críticos, importantes y sin importancia:

• Crítico: solo etiquete los activos como críticos si son necesarios para las operaciones comerciales normales.
• Importante: Asigne esta etiqueta a los activos que se emplean al menos una vez al día y que, en caso de interrupción, tendrían un impacto en las operaciones de la compañía (pero no las paralizarían por completo).
• Sin importancia: estos son activos que su negocio utiliza con poca frecuencia y que no son esenciales para las operaciones normales del negocio.

4. Establecer roles y responsabilidades

Al igual que en el desarrollo de su BCP, deberá delinear claramente las responsabilidades y asegurar que los miembros del equipo tengan lo que necesitan para realizar sus tareas requeridas. Sin este paso crucial, nadie sabrá cómo actuar durante un desastre. Estos son algunos roles y responsabilidades que debe tener en cuenta al crear su DRP:

• Informante de incidentes: alguien que mantiene la información de contacto de las partes relevantes y se comunica con los líderes empresariales y los stakeholders cuando ocurren eventos que afectan el negocio.
• Supervisor de DRP: El supervisor de  DRP garantiza que los miembros del equipo realicen las tareas que se les asignaron durante un incidente.
• Gestor de activos: alguien cuyo trabajo es asegurar y proteger los activos críticos cuando ocurre un desastre. 
• Enlace con terceros: La persona que coordina con cualquier proveedor externo o proveedor de servicios que haya contratado como parte de su DRP y actualiza a los stakeholders en consecuencia sobre cómo va el DRP.

5. Probar y perfeccionar

Al igual que su BCP, su DRP requiere práctica y perfeccionamiento constantes para ser eficaz. Practíquelo de manera regular y actualícelo de acuerdo con cualquier cambio significativo que deba realizar. Por ejemplo, si su compañía adquiere un nuevo activo después de que se formó su DRP, deberá incorporarlo a su plan para garantizar que esté protegido en el futuro.

Es comprensible que las compañías modernas toleren cada vez menos los tiempos de inactividad. 
Cada día, parece que otro ciberataque o evento no planeado aparece en los titulares y le cuesta millones a las compañías. Las soluciones de recuperación ante desastres como DRaaS brindan protección de datos efectiva y recuperación ante desastres para una variedad de amenazas.

La externalización de la implementación de su DRP y la copia de seguridad de los datos más valiosos de su organización en una ubicación separada, dos elementos clave de DRaaS, ayudan a garantizar que pueda recuperarse de forma rápida y completa en caso de desastre.

Estos son algunos de los beneficios clave de las soluciones DRaaS:

Las soluciones de recuperación ante desastres como servicio (DRaaS) vienen en tres variedades: autoservicio, DRaaS asistido y gestionado. Dependiendo de las necesidades y recursos de una organización, existen diferencias importantes entre estas opciones que vale la pena considerar.

El DRaaS de autoservicio ofrece a las organizaciones las herramientas y recursos empresariales que necesitan para crear y gestionar su propio DRP. Es una buena opción para organizaciones tecnológicamente avanzadas con equipos de IT internos dedicados que requieren un alto nivel de control sobre sus procesos.

Debido a que es tan básico, el DRaaS de autoservicio tiene opciones de precios más bajos que otros planes y es mucho más flexible. Pero las organizaciones deben saber que con una solución DRaaS de autoservicio, están solas durante las fases de planeación, prueba y gestión de su DRP.

El DRaaS asistido es un buen tipo de servicio de recuperación para las organizaciones que necesitan equilibrar su necesidad de control con un sólido soporte de un MSP de terceros. En DRaaS asistido, el MSP ayuda a construir, planificar, implementar, probar y refinar el DRP y ofrece valiosa experiencia y orientación durante todo el proceso.

Managed DRaaS es una solución DRaaS totalmente subcontratada en la que el MSP asume el control total y la responsabilidad del desarrollo y la implementación del DRP de una organización. Una opción estable para las compañías que no tienen sus propios departamentos de TI, DRaaS gestionado proporciona la oferta de DRaaS más estable disponible. Como era de esperar, a menudo también es el más caro.