Por Daniel Ávila Ledesma, e-CISO, Asesor de Seguridad de la información, Continuidad de negocio y Gestión de riesgos.
La visión de continuidad del negocio ha evolucionado con la adopción de servicios en la nube. Antes, era un asunto técnico manejado por TI, enfocado en respaldos y recuperación. Hoy se trata de sostener la operación, sin importar el lugar ni las condiciones, con una infraestructura que permita seguir funcionando incluso en situaciones adversas.
En las organizaciones que ya operan en la nube, el nivel de madurez varía. Algunas han construido modelos consistentes, aprovechando las capacidades del entorno para integrar continuidad en su operación. Otras, en cambio, han migrado infraestructura, sin revisar sus planes de continuidad, confiando en que el cambio tecnológico resolvería por sí mismo los problemas operativos.
Persisten conceptos erróneos. Hacer respaldo en la nube no equivale a contar con un esquema de recuperación ante desastres. Muchas empresas siguen sin distinguir entre almacenar datos y estar listas para continuar operando. Una solución moderna implica automatización, monitoreo constante, validación periódica y la capacidad de estar listos para que el negocio siga funcionando incluso en medio del caos.
Evaluar la preparación ante una interrupción comienza por identificar qué procesos no pueden detenerse. Luego se define cuánto tiempo es tolerable estar fuera de línea y se estima el impacto en términos operativos y financieros. La existencia de un plan no garantiza su efectividad si no ha sido probado con regularidad porque tener un plan sin probarlo es como tener un extintor decorativo.
Aunque algunas organizaciones han incorporado la recuperación ante desastres en su estrategia cloud, muchas todavía no lo hacen. En algunos casos, por falta de información. En otros, por una falsa sensación de seguridad. Estar en la nube no implica estar cubierto. La infraestructura sigue expuesta a fallas de configuración, ataques, errores humanos o interrupciones del proveedor. La nube no te salva si no existe una estrategia detrás de ella. Recordemos que la nube es el Data Center de otro.
En esa medida, es importante diferenciar entre respaldo local y esquemas DRaaS (Disaster Recovery as a Service). DRaaS permite restaurar sistemas completos en cuestión de minutos y desde cualquier ubicación. El respaldo tradicional, aunque sigue siendo útil, tiene tiempos de recuperación más largos, procesos manuales y una fuerte dependencia del entorno físico.
Diseñar un plan DRaaS operativo requiere un inventario actualizado de aplicaciones críticas, definición clara de tiempos de recuperación, acuerdos de servicio, estimación de costos y pruebas programadas. No todas las cargas deben tratarse igual. La priorización se establece mediante un Business Impact Analysis (BIA). Las aplicaciones con RTO más cercano a cero son como un candidato a DRaaS.
La cultura organizacional respecto a la prevención y el tiempo de recuperación, lastimosamente todo sigue siendo crítico y debe recuperarse cuanto antes. Aún no se entiende que la recuperación conlleva un costo y normalmente los ejercicios de levantamiento BIA debe volver a repetirse.