Por lo general no solemos pararnos a pensar que puede caernos una teja en la cabeza mientras paseamos por la calle un día de viento o que nos podemos tropezar mientras volvemos de la compra con objetos delicados dentro de nuestra bolsa. Estas hipotéticas situaciones, negativas todas ellas, tienen una pequeña probabilidad en nuestro día a día, a pesar de que no se den. Algo parecido pasa con los desastres informáticos que afectan a los Data Centers. Por lo general no debe ocurrir nada negativo, sin embargo en cualquier momento puede desarrollarse un desastre natural o un ataque cibernético que deje incapacitado nuestro Data Center, y con ello, su funcionamiento. Este bloqueo acarrea pérdidas económicas, de servicio y de credibilidad de nuestros sistemas, a ojos de nuestros clientes. Por ello es importante tener en cuenta y disponer de un plan de recuperación de desastres capacitado y preparado para actuar en cualquier momento.

¿Qué es realmente la recuperación de desastres?

Se trata de un proceso mediante el cual una empresa puede anticiparse y abordar aquellos desastres que se produzcan y que estén directamente relacionados con la tecnología. Los sistemas tecnológicos, de TI, de cualquier empresa pueden sufrir algún tipo de interrupción que puede venir provocada por diversas razones, entre ellas un corte en el suministro eléctrico, fenómenos naturales o, incluso, errores en los sistemas de seguridad. Por tanto, la recuperación de desastres incluye todos los pasos y procedimientos para que la empresa se pueda recuperar con rapidez y agilidad si se diera el caso.

Robert Assink, Managing Director de Interxion, explica que la compañía se dedica a dar servicio a sus clientes para que puedan contar con un espacio seguro en que albergar sus sistemas. Para ello, de manera previa, hacen un estudio exhaustivo que les permita cerciorarse de que escogen un buen terreno libre de amenazas climáticas, por ejemplo. Para evitar complicaciones, disponen de un plan para garantizar la integridad de los equipos, como la temperatura a la que se encuentran. También velan por una buena alimentación de los sistemas. A modo de ejemplo, Assink señala que los sistemas funcionan mejor con una serie de curvas eléctricas constantes que con un sistema de electricidad lineal. El Managing Director de Interxion señala que, a día de hoy, todavía son muchas las empresas que siguen teniendo sus sistemas en instalaciones propias o en sótanos, que en la mayoría de casos no reúnen las condiciones necesarias para hacer de ellos sitios seguros y adecuados, y sólo cuando ocurre algún problema es cuando se dan cuenta de la importancia que tiene apostar por un proveedor de espacio seguro.

La importancia de contar con un buen plan

Dado que los imprevistos pueden tener lugar en cualquier momento, es importante disponer de un plan que nos permita sobreponernos -al fallo en cuestión- con las menores pérdidas posibles.

De hecho, Abelardo Lara, Country Manager de Veeam México, explica que si no se dispone de un plan de recuperación de desastres, lo que está en juego es muy grande. “Según nuestro Reporte de Tendencias de Protección de Datos Veeam 2022, los líderes de TI estiman que un minuto de inactividad tiene un coste de $1,467 dólares (1,48 €), lo que nos lleva a pensar en lo importante que es recuperarse lo antes posible ante cualquier eventualidad”, señala Lara.

En este sentido, indica que disponer de un plan adecuado de recuperación de desastres es uno de los cimientos esenciales para cualquier empresa. Pero además de ello, el Country Manager de Veeam México, detalla que éste debe estar diseñado de una manera inteligente, orquestada y flexible, para que permita restaurar los respaldos en cualquier entorno, ya sea virtual, físico o en la nube.

Por ello, para proteger nuestra información -y para hacerlo correctamente paso a paso- es necesario:

• Prevención: Es el plan que garantiza que todos los sistemas de los que disponemos son clave, seguros y fiables. La prevención sólo se aplica a los sistemas de red.
• Anticipación: Se trata de una predicción. Nos anteponemos a los posibles fallos futuros, así como desastres que se puedan desencadenar. Un ejemplo podría ser realizar una copia de seguridad para, en caso de necesitarla, tenerla disponible y evitar quedarme sin los datos pertinentes.
• Mitigación: Es la forma en la que una empresa es capaz de sobreponerse ante un imprevisto. La estrategia de mitigación pretende reducir al máximo las pérdidas ocasionadas por esos fallos o interrupciones que se pudieran producir.

Todo esto es importante porque, según una encuesta de IDC para Zerto, titulada “The State of Ransomware and Disaster Preparedness: 2022”, el 79% de las compañías han necesitado emplear una solución de recuperación de desastres en el último año. La mayoría de las complicaciones vinieron dadas por ransomware y otros tipos de malware. De esta manera se constata que los ataques cibernéticos están -prácticamente- a la orden del día y suelen ser los más críticos. Además de esto, durante el año 2021, casi el 77% cuenta con un plan de recuperación de desastres, frente al 31,5% que reconoce carecer de ello.

Según el informe de IDC, el 83% de las empresas reconoció que al menos uno de los ataques padecidos supuso la corrupción de datos y casi el 60% experimentaron una pérdida de datos que, posteriormente, les fue imposible recuperar.

Lara también hace referencia a Gartner y recuerda que “predice que el impacto financiero de los ataques a sistemas cibernéticos y físicos (CPS) que resulta incluso mortal superará los $50,000 millones para 2023, y sin tener en cuenta el valor de la vida humana, los costos para las organizaciones en términos de compensaciones, litigios, seguros, multas reglamentarias y pérdida de reputación será también significativo”. Por tanto, desde Veeam consideran que no invertir en un plan de recuperación de desastres es un error puesto que puede suponer asumir en un futuro elevados costes y riesgos. Sobre esto, el Country Manager de Veeam México añade que “de acuerdo con el Reporte de Tendencias de Ransomware Veeam 2022, en América sufrieron un ataque 47% de los servidores de centros de datos, 49% de las oficinas remotas y 46% de las instancias en la nube”. También incide en que “el 76% de las organizaciones ha tenido al menos un ataque de ransomware en el último año”.

Con el incremento de aplicaciones y datos, las empresas cada vez van a tender a derivar sus datos a entornos Cloud. De hecho, IDC estima que de aquí a 3 años, más de la mitad de las empresas (55%) habrán adoptado alguna estrategia de protección de datos ubicada en la nube.

En el caso de Robert Assink, señala que resulta esencial contar con un buen plan de continuidad del negocio porque se depende de los aspectos digitales. “Si no se dispone de estos datos podemos tener una seria repercusión en las cuentas de resultados”, dice el Managing Director de Interxion, quien añade que “si dejamos de funcionar, en el caso -por ejemplo- de un banco que deja de poder hacer transacciones, perdería muchos clientes”.

Aspectos que no hay que descuidar

Si lo pensamos, puede parecer complicado prepararse para un posible desastre del que no sabemos nada, ni si va o no a ocurrir, ni de qué manera nos afectará. Pero, a pesar de ello, hay que estar completamente preparado. Para todo ello resulta vital:

• Comunicación interna y externa: Determinar quién es el responsable de qué misión y determinar el rol de cada responsable. Éste será el encargado de documentar cada proceso y testearlo.
• Cronología de recuperación o fase de recuperación: es el proceso que trata de recuperar la normalidad. El desastre debe disminuir hasta volver al punto de partida en el cual se inició es hecho inesperado.
  • Objetivo del coste de recuperación (RCO): es el dinero o el coste que supone haber sufrido ese desastre. Se materializa en los ingresos que se han dejado de percibir.
  • Objetivo del tiempo de recuperación (RTO): es el tiempo total que transcurre entre el momento en el que se produce el imprevisto y el momento en el que se vuelve a la normalidad. Se debe determinar un tiempo máximo que no ha de sobrepasarse.
  • Objetivo del punto de recuperación (RPO): Es el tiempo máximo que puede transcurrir sin hacer una copia de seguridad. Como dato, cuanto más frecuentemente se lleven a cabo, menor probabilidad habrá de perder datos.

Los planes necesitan un punto de prioridad (es decir, qué debe recuperarse primero) y actualizarse de manera periódica, para que ningún elemento de la infraestructura TI quede fuera de la planificación, según comenta el Country Manager de Veeam México, quien además añade que es necesario aprovechar este paso para comprobar si es o no necesario añadir pasos al proceso.

• Copia de seguridad de datos: El plan que hayamos implementado para hacer frente a la recuperación de desastres determinará cómo se hará la copia de seguridad de la información. Puede realizarse de distintas maneras. Algunas de ellas pasan por el almacenamiento en un sistema de nube, copias de seguridad respaldadas por un proveedor o, incluso, copias de datos en instalaciones distintas a las que han sufrido el imprevisto (esto es para velar por la seguridad, ya que de nada serviría, por ejemplo, guardar algo en un lugar que sabemos que puede ser el objetivo de ataque). El equipo encargado de velar por la recuperación de desastres deberá determinar quién hace la copia de seguridad, dónde y qué se incluye en ella.

En el caso de Veeam México, en la estrategia completa de respaldo y recuperación de desastres aplican la regla 3-2-1-1-0. Este es un sistema que la compañía considera óptimo en caso de que se produzca algún desastre o eventualidad, ya que ahorra tiempo, recursos y estrés a las organizaciones. Consiste en tener al menos 3 copias de datos en, al menos, 2 dispositivos distintos de medios de almacenamiento y con 1 respaldo en alguna ubicación fuera del sitio, que uno de los medios esté almacenado offline y que no dé lugar a errores, según indica Abelardo Lara.

• Pruebas y optimización: Como casi todo, la práctica hace al maestro. Es importante que, una vez se tenga definido el plan de recuperación de desastres que se quiera llevar a cabo, se ponga en práctica -a modo de simulacro- al menos una o dos veces al año. De esta manera comprobaremos si es eficaz o, si por el contrario, podemos mejorar alguna brecha que hayamos podido identificar en el proceso.

Como indica Abelardo Lara, “finalmente se necesita que el personal se involucre y la ejecución de pruebas para situaciones comunes como errores de usuarios, ataques cibernéticos y eventualidades climáticas extremas”

Para establecer correctamente cada uno de estos puntos es necesario elaborar un plan en el que queden fijados todos los puntos y todas las responsabilidades. El Hospital Universitario Hernando Moncaleano Perdomo (en Colombia) ha establecido un planning detallado bajo el nombre “Manual de Comunicación en Crisis durante la Gestión del Riesgo de Desastre”.

Desde Interxion, Robert Assink asegura que ellos suelen hacer una prueba para corroborar que todo funciona según lo previsto una vez al año. Para ello hacen pruebas como si se produjera un corte eléctrico o si se diera el caso de que hubiera que evacuar de manera rápida el edificio. Sobre esto, Assink detalla que cada empresa determina sus propias políticas. Hay algunas que hacen simulacros y pruebas cada tres meses, otras de manera anual o dependiendo del diseño que se establezca. Pero incide en la importancia de contar con estas pruebas periódicas para que, en caso de que surja la necesidad de aplicar el plan de manera real, todo funcione bien.

No todos los planes son iguales

Dependiendo del tipo de plan que queramos implantar en nuestra empresa, podemos optar por distintos tipos, ya que debemos tener en cuenta que el mejor plan de recuperación implica contar con un enfoque total, combinando personas, procesos, políticas y tecnologías para que -con todo ello- podamos conseguir una solución que se adapte a nuestras necesidades y a nuestro presupuesto. Contando con ello, según explica Abelardo Lara, podemos diferenciar varios tipos:

• Uno de ellos es el plan de recuperación de desastres implantado de manera fría (cold). Este es el más simple -y a su vez limitante-. Consta de un lugar con elementos que brindan energía y capacidad de conexión en red, además de refrigeración, pero no incluye elementos de hardware, como servidores o almacenamiento. Esta opción es ideal para aquellas aplicaciones que no sean de misión crítica, ya que no requerirán una recuperación inmediata. También puede ser óptima para las empresas que necesitan un plan más económico.
• Otro tipo es el cálido (warm). En este caso sí se incluye el hardware y el almacenamiento (por ejemplo, unidades de cinta o disco, así como servidores o conmutadores). Por esta razón, estarían listos para funcionar, aunque se requiere el traslado de datos para usarlos en la recuperación en caso de que se produzca algún tipo de desastre. Este sistema significa que los datos se sincronizan de manera regular con un segundo entorno -secundario- listo para usarse.
• El último tipo es el denominado caliente (hot). Consiste en tener una ubicación de respaldo completamente funcional, ya que tiene datos críticos reflejados. Con esta vía se ofrece un respaldo activo del lugar. Es decir, es un sitio totalmente redundante -espejo- de sus sistemas de producción diarios. Tanto el lugar de copia de seguridad como el original siempre están activos y comparten la carga. Y, en caso de que suceda algún tipo de desastre, la copia de seguridad toma el relevo.

Por tanto, teniendo en cuenta todos estos aspectos, una empresa debería plantearse si está realmente preparada para afrontar contratiempos, en el caso de que se dieran, y cuál sería su grado de afectación. Contar con un buen plan de recuperación de desastres es una buena inversión para la garantía de viabilidad de una compañía.

Reciba las últimas noticias sobre la industria Data Center directamente en su bandeja de entrada