Prácticamente todos los profesionales que trabajan en empresas han tenido que hacer frente a situaciones en las que sus sistemas e infraestructuras habían sufrido un impacto negativo. Incendios, ciberataques o desastres naturales pueden ser catastróficos, aunque si la empresa tiene en marcha un plan de recuperación de desastres, o disaster recovery (DR), se pueden, en muchos casos, mitigar gran parte de sus consecuencias.
Cuando hablamos de qué es disaster recovery nos referimos al conjunto de procedimientos y procesos centrados en conseguir restablecer las funciones normales y habituales de un sistema después de sufrir un incidente, más o menos grave, que haya ocasionado un fallo y/o una pérdida de datos.
Es posible que también te preguntes, en disaster recovery, qué es lo que pueden incluir los planes para llevarlo a cabo. Pues procesos de reparación de servidores y software, recuperación de información y restauración de credenciales de acceso, entre otras cosas.
Índice de temas
Importancia del disaster recovery para las organizaciones
En la mayoría de áreas de las distintas organizaciones, la tecnología y los sistemas juegan un papel de máxima importancia. Tanto las aplicaciones que utilizan como los servicios que permiten poner en marcha permiten que las empresas y entidades sean más ágiles, y tengan más disponibilidad y conectividad. La consecución de estos fines ha llevado también a la adopción de la nube.
No obstante, la migración a entornos cloud, del tipo que sean, así como el trabajo remoto o híbrido, han complicado la infraestructura de las organizaciones, además de aumentar sus riesgos.
También la dependencia de la tecnología de las empresas, lo que hace que contar con planes específicos para disaster recovery sea crítico para la continuidad del negocio. Una avería del sistema o un apagón de servicios no planificado pueden tener consecuencias muy graves. Tanto económicas como operativas.
Sin un plan de disaster recovery, una empresa puede perder datos, reducir su productividad, tener que hacer frente a gastos imprevistos y sufrir un daño en su reputación
Además, diversas leyes establecen que la mayoría de empresas y organizaciones deben tener en marcha un drp o plan de recuperación de desastres. Así que, en caso de no tenerlo, o de no seguir sus pasos, pueden incumplir dichas leyes y tener que hacer frente a sanciones bastante abultadas.
Las empresas tienen que ser capaces de recuperarse de cualquier fallo o incidente serio que afecte a su funcionamiento con rapidez, sin importar su tamaño o sector. Sin un plan de disaster recovery, una empresa puede perder datos, reducir su productividad, tener que hacer frente a gastos imprevistos y sufrir un daño en su reputación. Todo lleva a una pérdida de clientes e ingresos.
Disaster recovery y copias de seguridad: diferencias
La principal diferencia entre disaster recovery y las copias de seguridad es que estas últimas permiten recuperar los datos que se pierden por causa de un fallo o de una avería del sistema que derivan en una pérdida de información. Pero un DRaaS, que es el conjunto de medidas que permite devolver sistemas al estado anterior a un error del sistema, va mucho más allá.
Un plan de drp permite recuperar todos los sistemas y servicios críticos de una compañía. Es por tanto un sistema de recuperación más completo que una copia de seguridad. Además, incorpora su uso a un plan más completo, con toda la información necesaria para que los sistemas regresen a la normalidad.
Cómo funciona un plan de disaster recovery
Un plan de disaster recovery está basado en la planificación de un plan sólido que lleve a tener la infraestructura y aplicaciones críticas de nuevo en funcionamiento después de una interrupción no planificada del servicio. Idealmente, después de ponerlo en marcha, los sistemas deberían volver a la normalidad en unos minutos.
Un plan eficaz de recuperación de desastres está compuesto principalmente por tres tipos de medidas. Las primeras son las preventivas, que son las que aseguran que los sistemas de una empresa u organización son lo más seguras y fiables posible. Para ello es aconsejable utilizar herramientas y técnicas de prevención de desastres. De esta manera se reduce en cierta medida el riesgo de sufrirlos.
Entre estas medidas están la realización de copias de seguridad de los datos más relevantes, así como la monitorización de entornos para detectar fallos de configuración e incumplimientos de normativas.
Las segundas medidas son las dedicadas a la detección de problemas, centradas en descubrir los fallos y problemas en el mismo momento en que suceden. En tiempo real. Por último, las terceras medidas son las correctivas, las que entran en vigor en un escenario en el que el servicio ha quedado interrumpido o sufre un apagón, o hay una pérdida de datos. Se encargan de devolver el sistema a la normalidad cuanto antes y de restaurar los datos.
Entre estas medidas está la copia de datos y cargas de trabajo crítico y su almacenamiento en una o varias ubicaciones alternativas. También un sistema para replicarlos y devolverlos a su sitio de manera segura cuando algo falla.
Tipos de planes de disaster recovery ante desastres
Los tipos de planes de disaster recovery que pueden utilizarse a nivel empresarial dependen de varios factores. Entre ellos la infraestructura tecnológica de la empresa, el tipo de sistema de copia de seguridad y recuperación utilizado y los activos que hay que proteger. Pero, en esencia, son los siguientes:
Backup como servicio (BaaS)
Este tipo de plan de recuperación es parecido a una copia de seguridad de datos en remoto, pero más completa, ya que las soluciones de este tipo, generalmente ofrecidas por un tercero, ofrecen copias de seguridad de datos realizadas de manera periódica.
Disaster recovery as a service (DRaaS)
Es un tipo de plan de recuperación de desastres que ofrecen terceros. Generalmente, los proveedores de servicios y alojamiento cloud en los que las empresas tienen alojadas sus cargas de trabajo, datos y aplicaciones. Estos proveedores ofrecen estos servicios en combinación con distintos planes y modelos de servicios IaaS y PaaS.
Este tipo permite hacer una copia de seguridad de datos e infraestructura TI y alojarlos en la infraestructura cloud de un proveedor externo. Si hay un fallo o un problema, será el proveedor el que ponga en marcha y ejecute tu plan de disaster recovery para recuperar el acceso y las funciones, con una interrupción de operaciones lo más reducida posible.
Imágenes point-in-time
También conocidas como copias point-in-time, son capturas del estado de datos, archivos o incluso de una base de datos completa; en un momento determinado. Estas imágenes se pueden utilizar para restaurar datos cuando se han almacenado en un punto que no ha resultado afectado por el fallo o el problema sufrido por el sistema de donde provienen originalmente.
Recuperación de desastres virtual
Son soluciones que permiten hacer copias de seguridad de datos y operaciones, e incluso generar una réplica completa de la infraestructura TI y ejecutarla en máquinas virtuales en otros sistemas.
Si hay un problema, permiten recargarlas en el sistema original y tenerlo recuperado y listo para trabajar con rapidez. Eso sí, para que sea eficaz es necesario hacer transferencias de cargas de trabajo y datos a la réplica con bastante frecuencia.
Puntos de recuperación de desastres
Son puntos que pueden utilizar las empresas y organizaciones de manera temporal para seguir prestando servicios y tener acceso a datos después de que haya un desastre que ocasione una interrupción del servicio y/o una pérdida de datos. Generalmente contienen copias de seguridad de datos y de infraestructura TI.
Cualidades que debe tener un buen plan de disaster recovery
Entre las principales cualidades que debe tener un buen plan de recuperación de desastres, o de disaster recovery, está la capacidad de recuperación del funcionamiento de procesos críticos de un sistema. Además, esta recuperación debe llevarse a cabo con la mayor agilidad y eficiencia posibles.
Un plan de DR, además, tiene que ser capaz de solucionar interrupciones que provoquen caídas de servicios concretos. Por ejemplo, bases de datos o aplicaciones con las que trabajen los servicios y con las que tengan dependencias.
Estos planes también tienen que ser reducir al mínimo los impactos y daños que causa un desastre. De esta manera, permiten que la empresa retome su actividad con casi total normalidad hasta que el problema quede solucionado por completo.
Un plan de disaster recovery tiene que contar también con copias de seguridad de todos los servicios críticos, los archivos de configuración y las bases de datos, entre otros elementos importantes
Un plan de disaster recovery tiene que contar también con copias de seguridad de todos los servicios críticos, los archivos de configuración y las bases de datos, entre otros elementos importantes. Estas copias se pueden llevar a cabo de manera manual, periódicamente, pero en la medida de lo posible es aconsejable automatizarlas.
Por supuesto, estos planes tienen que estar planificados de manera que estén indicados paso a paso las medidas a tomar cuando haya problemas. También quién tiene que tomarlas. De esta manera cada miembro del equipo encargado de la recuperación sabrá qué hacer, y el proceso será más ágil.
Prepara un plan de disaster recovery: guía paso a paso
La preparación de un plan de disaster recovery es laboriosa, e implica destinar un presupuesto notable. No obstante, en caso de que la empresa cuente con sistemas de alojamiento en la nube para datos y procesos, el proceso se facilita y abarata.
En vez de centrarse en crear un plan de recuperación y poner en marcha un punto secundario en el que almacenar las copias y duplicar su infraestructura, pueden contar con la nube para ello. Eso sí, hay que tener en cuenta que cada empresa tiene que tener un plan a su medida. Pero básicamente, los pasos a dar para un plan de disaster recovery son los siguientes:
Hacer un inventario de recursos y asignarles prioridades
Lo primero es crear un listado con los recursos de hardware y software y ponerlos en orden en función de la importancia que tengan en las tareas cotidianas de la organización. De esta forma quedará claro qué aplicaciones y datos son los más críticos y deben recuperarse en primer lugar.
Valorar los riesgos y posibles daños por fallos
Ya con las prioridades establecidas, hay que identificar a qué problemas se pueden enfrentar los sistemas, y el impacto y daño que podrían causar. Esto ayuda no solo a valorar qué nivel de seguridad tienen la información y las aplicaciones. También es clave para planificar la estrategia de recuperación de desastres y la continuidad del negocio.
Concretar los objetivos del plan
En este punto hay que definir qué es lo que se busca conseguir con el plan de recuperación de desastres. Aquí hay que concretar puntos como el tiempo máximo que puede estar la empresa sin sufrir pérdidas de importancia para establecerlo como máximo para la recuperación de sistemas. También la cantidad de datos máxima que es admisible perder, qué nivel de empeoramiento del servicio es soportable o qué impacto puede tener un error en la continuidad del negocio.
Los puntos más importantes aquí son el RTO (objetivo de tiempo de recuperación) y el RPO (objetivo de punto de recuperación). El primero es el tiempo máximo que la interrupción del servicio es asumible. El segundo, el punto al que se quieren devolver los sistemas y datos después de sufrir un desastre o incidente. Es decir, los datos que una empresa puede permitirse perder como mucho.
Elegir tecnología a emplear y optimizar el consumo de recursos
Llegados a este punto hay que seleccionar la tecnología y sistemas que se emplearán en la recuperación de desastres. Para ello se tendrán en cuenta todos los elementos y puntos mencionados.
Pero también hay que cuidar el consumo de recursos necesario para poner en marcha un plan de este tipo. Es decir, hay que optimizar el ratio entre el coste y la eficiencia del plan diseñado.
Algunos elementos, como contar con una arquitectura de backup actualizada, y activar y controlar su automatización, pueden mejorar su eficiencia y reducir sus costes, por ejemplo. Y siempre tener en cuenta los costes que acarreará el plan y los que llevarían no tenerlo en caso de que hubiese un fallo.
Independencia del sistema de recuperación
La solución que se utilice para la recuperación de desastres tiene que ser independiente de la plataforma de negocio. Por ejemplo, puede estar en remoto y estar lista específicamente para disaster recovery y restauración de copias de seguridad de forma rápida. También se puede recurrir a la georeplicación, es decir, a la clonación del sistema en otro punto distinto al principal (puede hacerse varias veces), que añadirá seguridad al sistema frente a la pérdida de información.
Establecer el protocolo y equipo de actuación, y probarlo
Cuando hay un fallo hay que tener claro quién es el que tiene que realizar cada acción para recuperar el sistema. Y qué medidas hay que tomar. También conviene tener a mano una lista de las personas y/o empresas que intervendrían en esta operación, con sus datos de contacto. Y crear un equipo de DR. Por descontado, el plan de acción debe probarse cada cierto tiempo.
El futuro del disaster recovery en las empresas
La recuperación de desastres, o disaster recovery, ha cambiado mucho en los últimos años gracias a nuevas tecnologías y a los avances en otras ya existentes. También por los cambios en las necesidades de las empresas en cuanto a sistemas e información a conservar.
Esto ha hecho que cada vez ganen más peso las soluciones de disaster recovery en la nube, principalmente por su flexibilidad y menor coste. También por su agilidad, ya que por su concepción consiguen tiempos de recuperación menores, y más redundancia.
Otra de las tecnologías, que todavía sigue evolucionando, y que ha mejorado mucho el DR es la virtualización. Con los entornos virtualizados, las empresas pueden separar las aplicaciones y los sistemas de hardware, facilitando la recuperación de máquinas virtuales en servidores distintos al principal.
Tecnologías como la inteligencia artificial (IA) y el machine learning han contribuido también ya a ello, y se espera que lo mejoren todavía más en el futuro. Todo gracias a sus capacidades, ya que incluso pueden detectar problemas y fallos antes de que se produzcan, evitando apagones de sistemas. Por tanto, estarán incluidas sin duda en el futuro del disaster recovery en las empresas.