En la actualidad todas las organizaciones a nivel mundial se enfrentan a innumerables amenazas informáticas, estando éstas, en su mayoría, enfocadas en el robo de información; y es que se debe tener en cuenta que tanto los datos estratégicos de las organizaciones como los datos personales de clientes, empleados y proveedores, entre otros son fuente de poder y permiten realizar cualquier tipo de actividad sea ésta lícita o ilícita.
Para ilustrar lo anterior tomemos como ejemplo el reciente acto de hackeo y secuestro de información de cierta IPS de renombre, el cual no solo causó pérdida de innumerables registros de afiliados, sino que detuvo estrepitosamente la operación diaria de la IPS. Otro caso similar ocurrió con un reconocido dispensario de medicinas para pacientes, el cual, siendo atacado en sus sitios Web, vio disminuidas sus capacidades de servicio.
A raíz de ese inmenso mar de amenazas a la infraestructura informática aparece una inquietud en nuestras mentes: ¿Podremos asegurar adecuadamente los datos para que ante una eventual pérdida nuestra operación no se detenga?
Aquí es importante entender que las violaciones a la seguridad de los datos, las interrupciones producto de daños en la infraestructura, los eventos catastróficos inesperados, e inclusive los desastres naturales dejan secuelas a nivel informático, y es entonces cuando los responsables de la información deben desarrollar estrategias que protejan la organización, facilitando que su operación se mantenga y que se minimicen las pérdidas cuando ese tipo de eventos acontece.
En términos generales un buen planeador de estrategias observará diferentes aspectos de la pérdida de datos y definirá los requerimientos en infraestructura (hardware y software) para proteger la organización. Entre otros, tal planeador al menos deberá considerar lo siguiente:
- Riesgos: Conforme a los procesos ejecutados, la tecnología usada y la dispersión de la información, el planeador deberá determinar qué tan factible será la afectación de la organización producto de un evento inesperado, y seguidamente deberá tomar medidas adecuadas para mitigarlas; por ejemplo, si se estudian las consecuencias de un posible incendio en el centro de datos de la organización, el planeador considerará adoptar medidas para que el flujo de la información inmediatamente se transfiera a uno alterno de manera que los usuarios puedan seguir trabajando de forma ininterrumpida.
- Infraestructura: Si seguimos con el ejemplo anterior, de nada serviría tener un segundo centro de datos en la misma instalación; pues, una conflagración podría consumir toda la infraestructura; por lo tanto, el planeador deberá pensar en ubicar la información posiblemente en servidores virtuales que están en ubicaciones remotas.
- Frecuencia: En la mayoría de casos las empresas realizan copias de seguridad diariamente; sin embargo, esto puede cambiar dependiendo de las necesidades, por ejemplo: una entidad bancaria no se puede dar el lujo de detener ni demorar las transacciones a causa de un problema en algún servidor; es decir, al fallar algún elemento informático, inmediatamente se tiene que activar un sistema de respaldo que proporcione continuidad a las operaciones habituales del banco.
Al analizar este tipo de casos se visualiza un concepto de base de tiempo que comúnmente se conoce como “RTO” (Recovery Time Objective), el cual más no es otra cosa más que el tiempo que establece la organización como aceptable para restaurar los Servicios de Datos cuando éstos han sido afectados. Este factor “RTO” tiene incidencia directa en el costo de la solución de copias de respaldo, pues, el nivel de tecnología a usar es mayor cuando se requiere recuperar la información en tan solo unos pocos minutos, que cuando el objetivo es recuperarla al día siguiente.
- Normatividad: Toda organización debe cumplir con ciertas reglas que establece tanto la Ley como las Superintendencias que ejercen control, es por ello que dentro de su análisis el planeador debe considerar las acciones e inversión que implican su cumplimiento. Por ejemplo: La Ley de Protección de Datos Personales de Colombia establece en su artículo 18 el deber de conservar la información bajo condiciones de seguridad necesarias para impedir su adulteración, pérdida consulta, uso o acceso no autorizado o fraudulento.
- Cantidad de Datos: Aquí la situación es bastante entendible; pues, es muy diferente almacenar réplicas de los datos en un sistema de respaldo para unos cuantos Gigabytes de información que para cientos o quizás miles de Terabytes.
Otros aspectos interesantes que el planeador debe tener en cuenta al considerar implementar un sistema de respaldo de la información dentro de una organización son:
- Presupuesto: Sin este factor no es posible implementar un sistema de respaldo adecuado que cumpla con las expectativas de la organización. Así las cosas, no solo se deberá considerar los riesgos y el “RTO”, sino también el “RPO” (Recovery Point Objective), el cual es otro parámetro que establece el valor tolerable de pérdida de los Datos con su correspondiente menoscabo de tiempo y recursos. Con respecto al “RPO”, éste no evalúa el tiempo en que se puede restaurar la información, sino la cantidad admisible de información que necesariamente se perderá en una situación atípica. Por ejemplo, si la operación envuelve miles de transacciones por segundo, la pérdida ocasionada por cierto un siniestro equivaldría a 3.600.000 registros por hora, lo cual podría ser verdaderamente inaceptable.
- La Tecnología de Almacenamiento: Actualmente existe hardware, software o soluciones en la nube, inclusive sistemas híbridos compuestos de diferentes factores que facilitan que la información siempre esté disponible.
Los sistemas híbridos son esenciales en ciertos tipos de negocios, por ejemplo: si usted opera en la nube y ocurre un fallo en la red física de fibra óptica, probablemente su negocio se detendría por días, e inclusive meses, más aún si el daño es masivo y cobija a una ciudad entera; por tanto, sería recomendable que más bien su operación local se asegure con respaldo en la nube, de esta manera si su fallo es local usted recuperará inmediatamente los datos que reposan en esa nube, pero si el fallo es en la nube, la situación tan solo implicará que usted tenga que cambiar temporalmente los medios de resguardo, permitiendo así que su operación continúe sin ser afectada. - Puesta en marcha: Una vez que el planeador tiene claro lo que requiere y acepta la inversión para adquirir una serie de sistemas de respaldo, podrá de inmediato proceder a su implementación. Aquí se debe considerar el apoyo por parte de expertos en procesos de almacenamiento y restauración de la información; pues, es necesario desarrollar, sin contratiempo alguno, tanto la instalación tecnológica como la construcción de políticas, manuales y procedimientos adecuados que permitan ejecutar con la debida continuidad las tareas propias de la actividad.
No se debe olvidar que la puesta en marcha de la solución de respaldo implica también realizar pruebas periódicas del funcionamiento, sobre todo cuando la organización hace uso de una misma plataforma para toda su operación o al menos una gran parte de ella.
Como conclusión se debe entender que implementar soluciones de respaldo de los datos es una misión crítica que no solo involucra aspectos tecnológicos sino que requiere atención, cultura y disposición a la inversión económica.
