De la copia de seguridad a la continuidad de su actividad: ¿cómo preparar su negocio?
Según Gartner, una incidencia que provoque una interrupción del servicio tiene un coste medio de 4595 euros por minuto. En el caso de las pymes, el coste medio de este tipo de incidente oscila entre los 45 130 euros y los 74 670 euros, en función del tamaño de la empresa. Además del impacto económico, un fallo informático o un siniestro pueden dañar, de forma temporal o definitiva, los datos de sus clientes. Y estas pérdidas pueden ser muy dañinas para la reputación de su empresa.
Contexto y situación del mercado
Desde hace 12 años, el uso de tecnologías de replicación, de arquitectura de datacenters multisitio, de almacenamiento de cloud público y de implementación de DRP ha aumentado considerablemente. Sin embargo, solo una parte de los encuestados (38 %) por el Instituto Forrester en 2019 afirmó estar totalmente preparada en caso de incidencia**. En su mayoría, las grandes empresas están mejor organizadas que las pequeñas o medianas empresas.
Existen varias razones por las que los profesionales tienen previsto poner en marcha un DRP. La razón principal: El 54 % de los encuestados quiere permanecer en línea las 24 horas del día. Esto es de especial importancia para las empresas de e-commerce.
Asimismo, es importante que las organizaciones mejoren la disponibilidad de sus aplicaciones críticas (para su funcionamiento interno o para sus clientes). También es importante el argumento financiero por el coste del tiempo de interrupción de los servicios.
Para dar respuesta a estas necesidades es necesario realizar dos acciones:
- realizar copias de seguridad frecuentes y restaurables de sus datos;
- establecer una estrategia de DRP realista y eficaz para su actividad.
Backup y replicación
Esta es la base de la protección de su empresa. Las copias de seguridad le permiten evitar la pérdida de sus datos y de los datos de sus clientes. Ofrecen una base sólida para relanzar su actividad y son útiles en varias situaciones. Entre ellas, el deterioro del disco duro, la piratería, un desastre natural o incluso un error humano.
¿Qué es un buen backup?Una copia de seguridad eficaz es una copia de los datos que se puede recuperar rápida y fácilmente en caso de incidencia.La restauración de estas copias de seguridad es el elemento más importante.
Según nuestro partner Veeam, la estrategia de backup óptima sigue el principio «3, 2, 1».
Lo que supone:
- tener tres copias de sus datos;
- guardadas en dos soportes distintos, para evitar la pérdida, la corrupción o la piratería;
- una de las copias se almacena en otro sitio (en caso de siniestro en la sede de su empresa).
Esta estrategia le permite protegerse contra la mayor parte de la pérdida de datos, que pueden ocurrir en varios casos.
Para entender mejor esta estrategia de backup, tomemos el ejemplo de la empresa X. Se trata de una pyme que vende online un kit para crear sus propias cápsulas de café. Por lo tanto, produce información crítica que debe proteger, como los datos personales de sus clientes. Por eso, ha optado por:
- guardar una copia de seguridad de sus datos en París, en un servidor y un disco duro externo;
- otra copia de seguridad en un servidor remoto ubicado en Lille.
En caso de incidencia en la web de París, la información podrá encontrarse en el servidor de Lille. Si se diera el caso poco habitual de destrucción de ambos servidores, el disco duro externo permitirá restaurar los datos en un nuevo servidor. Así pues, esta solución limita el riesgo de pérdida de datos centralizados en un mismo sitio web y en un mismo soporte.
Si tiene una arquitectura cloud, nuestro cliente YetiForce ha puesto en marchaun sistema de backup completo que permite reanudar su actividad rápidamente en caso de incidencia, realizando diferentes copias de sus datos en servidores dedicados, que se encuentran ubicados en un datacenter remoto. El sistema realiza copias de seguridad semanales, diarias y cada 30 minutos, según el tipo de datos que deban protegerse.
Otro mecanismo de backup eficaz es la replicación de los datos, que puede realizarse en tiempo real y le permite crear copias en diferentes datacenters. Así, en caso de incidencia en un datacenter, la información siempre está activa en los demás.
Tomemos el ejemplo de nuestro cliente ForePasS:
Los datos de su plataforma de cloud management se replican en tiempo real en tres datacenters, uno de los cuales está situado en Norteamérica. Así, si uno de los sitios sufriera una incidencia grave, la empresa puede recuperar sus datos en otro sitio, reiniciando su actividad sin demora.
Sin embargo, un sistema de backup es solo una herramienta para protegerse contra la pérdida de datos. Aunque constituye la base de la continuidad de su actividad, es importante prever de forma anticipada las acciones que deberá realizar en caso de incidencia, para poder así reiniciar sus servicios.
Plan de recuperación ante desastres (DRP)
El DRP define los procesos operativos que debemos seguir para reanudar la actividad. Los principales indicadores para definir las estrategias de su DRP son los siguientes:
- el RPO (Recovery Point Objective) Este término designa la tasa máxima de pérdida de datos admisible. Se mide durante un período de tiempo y se suele escalonar de la siguiente manera: ninguna pérdida, 1, 4 o 24 horas de datos;
- el RTO («recovery time objetive» o tiempo de recuperación). Este término designa la duración máxima en la que una aplicación puede permanecer fuera de servicio antes de ser reiniciada. El RTO está escalonado de forma similar al RPO: sin demora, 1, 4 o 24 horas.
Estos indicadores deben predefinirse en función de la criticidad de los datos afectados por una incidencia. Consideremos el ejemplo de la empresa X. Dispone de tres tipos de aplicaciones que necesitan disponer de un plan distinto de recuperación ante desastres. En primer lugar, una aplicación de datos bancarios, en la que no se puede permitir tiempo de interrupción ni pérdidas. A continuación, su sitio institucional, de carácter esencial pero no crítico. Por último, su aplicación de reserva de las salas de reunión, que tampoco es crítica. La empresa adapta un DRP distinto según la aplicación.
Cómo adaptar su plan de recuperación ante desastres
|
Application critique RPO y RTO = 0 |
Aplicación esencial RPO > 1 h y RTO > 4 h |
Aplicación crítica RPO > 24 h y RTO > 24 h |
|---|---|---|
 |
 |
 |
|
La empresa no puede trabajar sin estas aplicaciones. Su aplicación funciona:
|
La empresa puede trabajar sin estas aplicaciones, pero no durante más de una hora.
Su aplicación funciona:
|
La empresa puede trabajar sin esta aplicación durante más de un día.
Su aplicación funciona:
La aplicación utilizará los datos de backup para restaurar la aplicación en el segundo datacenter si el primero se encuentra fuera de servicio. |
OVHcloud propone soluciones de partners para ayudar a sus clientes a implementar un plan de recuperación ante desastres o DRP eficaz. Partitio, por ejemplo, ofrece a sus usuarios diferentes modelos de plan de recuperación ante desastres basados en soluciones de backup y replicación manual por Veeam, con replicación automática a través de Zerto.
Un DRP permite limitar el impacto de las incidencias en su actividad y reducir las pérdidas de datos provocadas por una interrupción temporal del servicio. Sin embargo, algunas empresas, como los bancos o los proveedores de servicios informáticos, no pueden permitirse este tiempo de interrupción, ya que sus servicios deben estar disponibles en todo momento. En estos casos, será necesario construir una infraestructura resiliente para garantizar una accesibilidad permanente a los servicios, independientemente del fallo de funcionamiento.
Nuestro cliente KBRW, que ofrece soluciones SaaS cloud nativas a empresas especializadas en la venta al por menor y la logística, confirma que una infraestructura resiliente es la mejor forma de garantizar la seguridad de una empresa. Sin embargo, creación y la implementación de un plan de recuperación ante desastres eficaz son procesos permanentes, que deben ponerse a prueba y actualizarse con regularidad. Y es que, a medida que sus soluciones informáticas y su infraestructura vayan cambiando, las exigencias en materia de seguridad deberán adaptarse a esta evolución.
«[...] La resiliencia debe ser considerada como un enfoque global dentro de la empresa y no es, en ningún caso, responsabilidad única de los servicios informáticos o los expertos en seguridad. Desde un punto de vista empresarial más amplio, es importante desarrollar una cultura de gestión de los riesgos informáticos que esté presente en todos los ámbitos de la empresa. Cada empleado debe conocer su papel y sus responsabilidades dentro de esta estrategia global. Para poder desarrollar una estrategia de resiliencia fructífera, es indispensable comenzar con un estudio realista de los riesgos potenciales, que se revise y reajuste de forma regular. Desde OVHcloud recomendamos realizar este estudio cada seis meses en todos los puntos críticos del sistema».
Arnaud Wetzel, cofundador y CTO de KBRW, y Ronan Garet, Site Reliability Engineer
Hacia la continuidad de su actividad
Un plan de recuperación ante desastres le permite reaccionar ante una incidencia. Para prever la continuidad de su actividad debe incluir las acciones que debe realizar antes, durante y después de la incidencia para así mantener el servicio y garantizar el funcionamiento óptimo de su empresa.
Esta planificación se basa en tres elementos:
- una buena comunicación en los canales a su disposición, como los emails, las redes sociales o la prensa, que avisen sobre la posible crisis. Mantenga informados a sus empleados, clientes y partners sobre el progreso realizado para resolver la incidencia y también cuando haya finalizado;
- establecer un plan de acción para sus empleados en caso de incidencia. Deben saber qué hacer y con quién ponerse en contacto. Por ejemplo, debe asegurarse de que estén actualizados regularmente sobre los cambios en la planificación y las políticas de seguridad;
- una infraestructura informática resiliente es la mejor forma de mantener sus servicios online en cualquier circunstancia. Así evitará las pérdidas o los costes derivados de las interrupciones.
La continuidad de su actividad debe ser su objetivo. Una planificación de los procedimientos a seguir le permitirá enfrentarse a la mayoría de las situaciones que amenacen a su empresa. Nuestros partners Thales y Capgemini pueden ofrecerle servicios de consultoría para ayudarle a implementar un DRP o planificar la continuidad de su actividad.
«[...] el primer paso es identificar correctamente sus necesidades de resiliencia en función del servicio alojado. Por lo tanto, hay que definir, para cada uno de los servicios, su criticidad y el riesgo que implica en caso de problema de disponibilidad. Una vez realizado el análisis, entramos en una fase de diseño de arquitectura, tomando todos los elementos identificados durante el análisis realizado. [...] Hay tres paneles de infraestructura distintos en los que el cliente debe trabajar para garantizar su resiliencia:
- resiliencia de la infraestructura de producción;
- puesta en marcha del backup.
- puesta en marcha del DRP.
Evidentemente, estas soluciones deben estar protegidas para garantizar la conservación de todos los datos del cliente».
Jean-Charles Ferrand, director general de Partitio
*Según un estudio realizado por el editor de software CA Technologies.
**Fuente: The State Of Disaster Recovery Preparedness In 2020, Forrester Research, Inc., 24 de agosto de 2020.
