custom background image

 

 

 

De la copia de seguridad a la continuidad de su actividad: ¿cómo preparar su negocio?

La continuidad de su actividad es esencial para la sostenibilidad de su negocio. Las interrupciones y corrupción de su sistema informático, ya sea por una incidencia en su infraestructura, un desastre natural o un ciberataque, pueden suponer un riesgo real para la seguridad de su actividad. En su último informe, Veeam reveló que en 2022, el 85 % de las empresas encuestadas sufrieron un ataque de ransomware. Además del impacto económico, un fallo informático o un siniestro pueden dañar, de forma temporal o definitiva, los datos de sus clientes. Estas pérdidas son dramáticas para su reputación. Por eso es importante prestar especial atención a su propio plan de recuperación ante desastres.

Con el fin de evitar cualquier amenaza para su actividad es necesario tener herramientas y procesos para paliar las consecuencias negativas que podría provocar una incidencia de este tipo. Estos dispositivos limitan los riesgos y permiten anticipar los posibles daños gracias a:

  •     la creación de backups;
  •     un plan de recuperación ante desastres (DRP en inglés para disaster recovery plan);
  •     la planificación de la continuidad de su actividad.

Contexto y situación del mercado

El aumento constante y exponencial de los datos supone un verdadero desafío para las empresas, que deben garantizar la protección de su negocio y de su infraestructura, protegiendo al mismo tiempo sus datos y los de sus clientes.

La implementación de un DRP, además de protegerle contra el cese de actividad, tiene muchas ventajas. Las consecuencias de una interrupción de los datos son numerosas. Además del aspecto financiero, una incidencia de este tipo puede afectar a su negocio en varios otros aspectos, como lo demuestra el siguiente gráfico:

 

data disruption

Así pues, es posible emprender diversas acciones con el fin de minimizar los efectos negativos de un posible ataque al sistema de información.

  • Realice copias de seguridad frecuentes y restaurables de sus datos.
  •  Establezca una estrategia de DRP realista y eficaz para su actividad.

Backup y replicación.

La resiliencia de los datos y de las infraestructuras informáticas es un factor cada vez más importante para garantizar la continuidad de su actividad. El concepto de resiliencia se puede interpretar como resistencia ante interrupciones potenciales y capacidad para mantener una actividad constante, y ello a pesar de que los datos o la infraestructura inicial no están disponibles, aunque sea temporalmente. Esta alta disponibilidad, combinada con la protección de datos a través de backups regulares y un plan de recuperación ante desastres, le permite evitar la pérdida total de sus datos y los de sus clientes. Así podrá reanudar su actividad en caso de interrupción (deterioro del disco duro, pirateo, error humano, catástrofe natural, etc.).

¿Qué es un buen backup?

Una copia de seguridad eficaz es una copia de los datos que se puede recuperar rápida y fácilmente en caso de incidencia. La restauración de estas copias de seguridad es el elemento más importante.

Regla «3, 2, 1, 1, 0»: la estrategia de backup óptima para la continuidad de su negocio

  • 3 copias de sus datos.

  • 2 soportes distintos, para evitar la pérdida, la corrupción o la piratería.

  • 1 copia almacenada en un sitio geográfico diferente.

  • 1 copia aislada de la red o «air gapped».

  • 0 datos inutilizables después de las pruebas

3-2-1 Backup

Esta estrategia le permite protegerse contra la mayor parte de la pérdida de datos, y se aplica tanto a los datos críticos como a los datos que desea proteger con medidas de seguridad y según las necesidades de su empresa.

Para entender mejor esta estrategia de backup, consideremos la empresa X. Se trata de una plataforma de Software as a Service (SaaS) médica que permite a sus equipos disfrutar de un seguimiento en línea gratuito y confidencial bajo demanda. Produce, utiliza y almacena datos críticos, personales y confidenciales de su clientela. Para garantizar su protección, la empresa ha optado por:

•    una copia de seguridad de sus datos en un servidor en Gravelines;
•    una copia de seguridad de sus datos en un disco duro externo;
•   otra copia de seguridad en un servidor remoto ubicado en Roubaix.

En caso de incidencia en Gravelines, la información podrá encontrarse en el servidor de Roubaix. Si se diera el caso poco habitual de destrucción de ambos servidores, el disco duro externo permitirá restaurar los datos en una nueva máquina. Así pues, esta solución limita el riesgo de pérdida total de datos centralizados en un mismo sitio web y en un mismo soporte.

De este modo, dispondrá de un sistema de backup completo para su arquitectura cloud. En caso de incidencia, la reanudación de la actividad se verá facilitada por las diferentes copias de los datos alojados en los servidores dedicados. Un sistema de backup semanal, diario o por horas establecidas le permite adaptar su estrategia en función de la criticidad de los datos que debe proteger.

La replicación de los datos para anticiparse a la recuperación ante desastres.

La replicación de los datos es también una estrategia de backup eficaz que puede realizarse en tiempo real y le permite crear copias de sus datos en diferentes datacenters. Así pues, en caso de incidencia en uno de los datacenters, la información seguirá activa y disponible en los demás datacenters, que toman el relevo. De esta forma, podrá garantizar la continuidad de su actividad. Para entender mejor esta estrategia, tomemos como ejemplo la empresa Y.

ForePaaS

Los datos de su plataforma de cloud management se replican en tiempo real en tres datacenters, uno de los cuales está en Norteamérica, mientras que los otros dos están ubicados en Europa en dos ciudades distintas. De esta forma, si uno de los datacenters sufre una incidencia grave, la empresa podrá recuperar sus datos en otro sitio, retomando la actividad sin mayor demora.

Sin embargo, un sistema de backup es solo una herramienta para protegerse contra la pérdida de datos. Aunque constituye la base de la continuidad de su actividad, es su responsabilidad anticipar las acciones que deben emprenderse para garantizarla, con el fin de favorecer una reanudación rápida de sus servicios en caso de interrupción.

Plan de recuperación ante desastres (DRP)

El DRP define los procesos operativos que debemos seguir para reanudar su actividad en caso de incidencia o interrupción. Los principales indicadores para definir las estrategias de su DRP son los siguientes:

RPO_RTO
  • el RPO (Recovery Point Objective) Este término hace referencia a la tasa máxima de pérdida de datos permitida. Se mide en un período determinado y se suele escalonar de la siguiente manera: ninguna pérdida, 1, 4 o 24 horas desde el último backup de datos.
  • El RTO («recovery time objetive» o tiempo de recuperación). Este concepto se refiere a la duración máxima de interrupción admisible, es decir, el tiempo durante el cual una aplicación puede permanecer fuera de servicio antes de su reanudación. El RTO está escalonado de forma similar al RPO: sin demora, 1, 4 o 24 horas antes de la reanudación de la actividad.

Estos indicadores deben predefinirse en función de la criticidad de los datos afectados por una incidencia. Un tipo de aplicación determinado no precisará necesariamente el mismo plan de recuperación ante desastres que otro. Por ejemplo, una aplicación que utiliza datos bancarios no puede permitirse el menor tiempo de interrupción o pérdida de datos. Por el contrario, una aplicación institucional, aunque sea esencial, no es crítica. Por lo tanto, existe cierto margen de tolerancia en cuanto al plazo de interrupción.

 

On Prem backaup

Aplicación no crítica RPO > 24 h | RTO > 48 h

La empresa puede trabajar sin esta aplicación más de un día.

Su aplicación funciona:

  • en un datacenter;
  • las copias de seguridad se alojan en un segundo datacenter.

La aplicación utilizará los datos de backup para restaurar la aplicación en el segundo datacenter si el primero se encuentra fuera de servicio.

Primary Secondary Backup

Aplicación esencial RPO > 1 h | RTP > 4 h

La empresa puede trabajar sin estas aplicaciones, pero no durante más de una hora.

Su aplicación funciona:

  • en un datacenter principal;
  • los datos se replican en una segunda ubicación con una distancia de varios kilómetros (+100 km);
  • en el segundo datacenter, se aprovisionan recursos para preparar la recuperación;
  • las copias de seguridad se localizan en un datacenter de terceros siguiendo la regla 3-2-1-1-0.
Load Balancing

Aplicación crítica RPO ~ 0 | RTO < min

La empresa no puede trabajar sin estas aplicaciones.

Su aplicación funciona:

  • en un datacenter principal;
  • los datos se replican en una segunda ubicación con una distancia de varios kilómetros (+100 km);
  • en el segundo datacenter, se aprovisionan recursos para preparar la recuperación;
  • las copias de seguridad se localizan en un datacenter de terceros siguiendo la regla 3-2-1-1-0.

 

Load Balancing

Aplicación muy crítica RPO ~ 0 | RTO ~ 0

La empresa no puede trabajar sin estas aplicaciones.

Su aplicación funciona:

  • en 2 datacenters con una distancia de varios kilómetros (+100 km);
  • los datos están sincronizados entre las dos localizaciones;
  • las copias de seguridad se localizan en un datacenter de terceros siguiendo la regla 3-2-1-1-0.

 

En OVHcloud, ofrecemos soporte a nuestros clientes para implementar un DRP a través de las soluciones de nuestros partners tecnológicos, ya que nos permiten ofrecerle las soluciones más comunes y con una eficacia probada para implementar su plan de recuperación ante desastres. Veeam y Zerto demuestran la importancia y el valor añadido de estas colaboraciones tecnológicas.

Disponer de un DRP permite limitar el impacto de las incidencias en su actividad y reducir las pérdidas de datos provocadas por una interrupción temporal del servicio. Sin embargo, algunas empresas, como los bancos o los proveedores de servicios informáticos, no pueden permitirse este tiempo de interrupción, ya que sus servicios deben estar disponibles en todo momento. Esto implica construir una infraestructura resiliente capaz de funcionar y permanecer accesible en cualquier circunstancia.

Construir infraestructuras resistentes es el objetivo que debe alcanzarse para garantizar la seguridad de una empresa. Sin embargo, la implementación de un plan de recuperación ante desastres eficaz es un proceso que requiere adaptación continua. El DRP debe ponerse a prueba y actualizarse con regularidad, ya que sus soluciones informáticas y su infraestructura evolucionan y, por lo tanto, sus necesidades en materia de seguridad también.

«[...] La resiliencia debe ser considerada como un enfoque global dentro de la empresa y no es, en ningún caso, responsabilidad única de los servicios informáticos o los expertos en seguridad. Desde un punto de vista empresarial más amplio, es importante desarrollar una cultura de gestión de los riesgos informáticos que esté presente en todos los ámbitos de la empresa. Cada empleado debe conocer su papel y sus responsabilidades dentro de esta estrategia global. Para poder desarrollar una estrategia de resiliencia fructífera, es indispensable comenzar con un estudio realista de los riesgos, que se revise y reajuste de forma regular. Desde OVHcloud recomendamos realizar este estudio cada seis meses en todos los puntos críticos del sistema».

Arnaud Wetzel, cofundador y CTO de KBRW, y Ronan Garet, Site Reliability Engineer

Hacia la continuidad de su actividad

Un plan de recuperación ante desastres le permite reaccionar ante cualquier acontecimiento imprevisto que pudiera dañar su negocio. Con el fin de garantizar la continuidad de su actividad, es necesario prever lo antes posible las acciones que debe emprender antes, durante y después de una incidencia, para así mantener el servicio y garantizar el funcionamiento óptimo de su empresa.

Esta planificación está basada en tres elementos:

  • Garantizar una comunicación transparente y fiable en los canales a su disposición (por ejemplo, correo electrónico, redes sociales, prensa) sobre la posible crisis. Mantenga informados a sus equipos, clientes y partners de los progresos realizados para resolver la incidencia y también cuando haya finalizado.
  • Establecer un plan de acción para su equipo en caso de incidencia. Deben saber qué hacer y con quién ponerse en contacto. Debe asegurarse de que estén actualizados regularmente sobre los cambios en la planificación y las políticas de seguridad.
  • Disponer de una infraestructura informática resiliente. Es la mejor forma de mantener sus servicios online en cualquier circunstancia. Así evitará las pérdidas o los costes derivados de las interrupciones.

Una planificación de los procedimientos a seguir le permitirá enfrentarse a la mayoría de las situaciones que amenacen a su empresa. Nuestros partners pueden ofrecerle servicios de consultoría para ayudarle a implementar un DRP o planificar la continuidad de su actividad.

«[...] el primer paso es identificar correctamente sus necesidades de resiliencia en función del servicio alojado. Por lo tanto, hay que definir, para cada uno de los servicios, su criticidad y el riesgo que implica en caso de problema de disponibilidad. Una vez realizado el análisis, entramos en una fase de diseño de arquitectura, tomando todos los elementos identificados durante el análisis realizado. [...] Hay tres paneles de infraestructura distintos en los que el cliente debe trabajar para garantizar su resiliencia:

resiliencia de la infraestructura de producción;
puesta en marcha del backup;
puesta en marcha del DRP.

Evidentemente, estas soluciones deben estar protegidas para garantizar la conservación de todos los datos del cliente».

Jean-Charles Ferrand, director general de Partitio

*Según un estudio realizado por el editor de software CA Technologies.