Si sucediera un imprevisto y se perdiera su base de datos de clientes, el archivo con los proyectos realizados, el histórico de transacciones... ¿estaría su empresa preparada para recuperarlos?
La disponibilidad, confidencialidad, integridad y costo son los pilares de la seguridad de la información, asegura Mauricio Solano, gerente de gestión de riesgo empresarial en Deloitte, y existen tres garantes de esos ejes: el almacenamiento, el respaldo y la recuperación.
Es posible que en un inicio soluciones como Dropbox o iCloud, o inclusive un disco duro externo, sean una buena opción. Pero, conforme la empresa va creciendo, es probable que esas opciones se queden cortas para cumplir con los nuevos requerimientos.
Además, una solución tecnológica que no esté acompañada de procedimientos de respaldo y recuperación documentados resultará insuficiente.
Almacenar adecuadamente
Como el almacenamiento se refiere al resguardo de la información para el uso diario de la empresa, lo importante es que esté protegida, y que sea accesible y ágilmente procesable según las necesidades de negocio.
Además, la solución debe estar diseñada según las tasas de crecimiento que tienen los datos de la empresa y tener tolerancia a fallas, como por ejemplo, cortes de electricidad.
Para ello, se requieren servidores de procesamiento y una solución de almacenamiento, que puede tener entre 100 y 4.000 discos duros (una PC tiene máximo dos).
En opinión de Ernesto Pineros, especialista en virtualización de EMC, virtualizar las máquinas sería lo más adecuado, porque se tendría suficiente disponibilidad con menos servidores físicos, lo cual requiere menos espacio y menos energía.
Otra opción es tercerizar, sea contratando a un proveedor del espacio físico (alquilar el lugar para que las empresas lleven su propio hardware y lo resguarde ahí) o de la infraestructura de almacenamiento y procesamiento.
¿Cuál es mejor? Si las instalaciones de la empresa no cuentan con las condiciones óptimas ambientales y de seguridad que el proveedor sí puede garantizar, es mejor optar por esa alternativa, si el presupuesto lo permite.
Respaldarlo todo
Para Solano, el factor más importante en cuanto al respaldo de los datos es que se haga en un lugar diferente de donde se almacena la información.
“Un lugar diferente no es un ‘tarro’ distinto que está en el mismo centro de datos. Un lugar diferente es uno donde un mismo evento externo no pueda impactar a ambas ubicaciones al mismo tiempo; y en eso hay que contemplar desde un incendio hasta un terremoto”, asegura.
Incluso, si el almacenamiento y el respaldo están tercerizados, lo mejor será que sea con proveedores distintos, independientemente de si están en la nube o no.
Además, no solo se debe garantizar que el respaldo esté seguro, sino que sea también accesible en cualquier momento. “De nada me servirá un proveedor que atienda en horario de oficina, si mi ciclo de negocio es 24/7”, añade.
¿Cada cuánto respaldar? Depende del objetivo de punto de recuperación (RPO) del negocio.
“¿Cuánto es lo más que puedo perder de información sin que me impacte? ¿Una hora? ¿Tres horas? ¿Un día? Lo definirá cada unidad de negocio, que deberá respaldar sus datos tan continuamente como sea necesario”, dice el especialista en riesgo.
En esta tarea también es necesario contemplar la información relacionada con el negocio que los usuarios almacenan en sus computadoras personales.
En cuanto a la cantidad de tiempo que se deben conservar esos respaldos, indica que hay regulaciones que lo establecen pero que, en todo caso, lo mejor es desechar toda información que no se vaya a usar. De lo contrario, sería un desperdicio de recursos.
Otro desperdicio sería respaldar datos duplicados. Afortunadamente, asegura Pineros, existen tecnologías que garantizan que la información no se repita al respaldarla.
Después del desastre
Pasada la tormenta, viene la recuperación, que será efectiva solo si el respaldo se hizo bien y si se tienen documentados los procedimientos requeridos y el personal capacitado para hacerlo.
En opinión de Pineros, este es precisamente el talón de Aquiles de las compañías. “Sí hemos visto un sentido de responsabilidad en cuanto al respaldo y esa es una práctica muy común en las empresas, pero a la hora de recuperar son procesos eficientes”.
En los procedimientos de recuperación se debe contemplar desde el transporte seguro al sitio de restauración, hasta el acceso a los datos respaldados.
“Hemos visto casos donde tienen el respaldo en una tecnología obsoleta y no tienen cómo acceder a él para recuperarlo. Es como tener casete sin caseteras”, dice Solano.
Por eso, recomienda hacer pruebas de recuperación de datos por lo menos dos veces al mes, cuando el proceso de respaldo está empezando y una vez al mes, cuando ya esté maduro.
Además, es importante que los planes de continuidad y recuperación de desastres contemplen planes de sucesión para los puestos estratégicos de la empresa.
Las pautas están claras. ¿Está listo para implementarlas?
Pilares de esta era
Almacenamiento: Es el centro de datos primario, físico o electrónico, donde están los datos necesarios para la operación diaria de la entidad.
Respaldo: Copia de los datos almacenados, hecha de forma segura para lograr su posterior recuperación, si la fuente principal de almacenamiento se daña. No son solo las herramientas usadas, sino también las políticas y procedimientos de respaldo, que deben ser documentados.
Recuperación: Se refiere al acceso para el posterior uso efectivo de los datos respaldados. Se lleva a cabo cuando alguna situación contingente afecta la disponibilidad o integridad de la información almacenada, y se logra por medio de las políticas y procedimientos documentados.
Fuente Mauricio Solano, Deloitte