DRaaS: LA RECUPERACIÓN DE DESASTRES COMO SERVICIO EN EL CLOUD

Como consecuencia de la creciente preocupación de las empresas para preservar su continuidad en el tiempo, aparece la Norma ISO 22301:2012 sobre Gestión de la Continuidad del Negocio.

Se trata de un nuevo estándar internacional, que especifica los requisitos para configurar y gestionar de forma eficaz un SGCN o Sistema de Gestión de la Continuidad de Negocio. En inglés BCMS (Business Continuity Management System).

Aunque no nos basemos en la Norma, lo que al menos se debería tener siempre es un BCP (Business Continuity Plan) o en su defecto un DRP (Disaster Recovery Plan).

(Recovery Time Objective / Objetivo de Tiempo de Recuperación): Es el tiempo dentro del cual, un proceso o procesos empresariales deben ser restituidos después de un desastre (o interrupción)con determinado nivel de servicio, con el fin de evitar consecuencias inaceptables asociadas a una ruptura en la continuidad del negocio.

Tabla cortesía de SearchDisasterRecovery

Tabla c ortesía de SmartCloud Virtualized Server Recovery de IBM

NOTA DEL EDITOR: Puede consultarse un artículo sobre las Cláusulas Contractuales en entornos de Cloud Computing, en éste mismo Blog, mediante el siguiente enlace:

Al ceder parte de la Gestión al proveedor de servicios, la empresa debe estar absolutamente segura de que es capaz de ofrecer un servicio ininterrumpido dentro del SLA, definido tanto para los casos de entorno primario, como para los de entorno DR.

En función de los datos que se van a restaurar, funcionalidades como la compresión y, más importante aún, la deduplicación, pueden facilitar y hacer viable las restauraciones de datos desde la nube, hacia la infraestructura en las instalaciones de la empresa.

Se contrató el servicio de implantar el DRP a un CSP, con un RPO de 12 a 24 horas y un RTO de 4 a 8 horas, ambos comprobables.
Todo se contrató en modalidad de "pago por uso" mensual (OPEX frente a CAPEX).

Los escritorios virtuales se pueden clonar y ampliarse a toda la plantilla en el momento de desastre para que puedan trabajar desde su casa o ir a la sala de conferencias contratada en un hotel. Sólo tienen que acceder mediante un navegador aun sitio de Internet y los empleados volverán a trabajar con sus aplicaciones y datos corporativos.

En caso de que la conectividad de red no esté disponible con la configuración física de DR, las operaciones manuales pueden ser necesarias para reanudar las operaciones del sitio. Sin embargo, un DRaaS se pueden activar desde cualquier sitio, incluso con un ordenador portátil dotado de una conexión 3G a Internet.

Si una organización tiene restricciones en cuanto a la ubicación geográfica donde residen los datos (Regulaciones tipo ENS y/o legislación en materia de protección de datos tipo LOPD), como pueden ser las AA.PP. (Administraciones Públicas), debe estudiarse el caso con detenimiento. Una solución pasa por elegir un proveedor nacional, o bien contratar el DRaaS en un CSP que nos de a escoger entre sus diferentes CPDs, optando por uno que esté ubicado en España, en el EEE (Espacio Económico Europeo) o en su defecto, en un país considerado por la AEPD (Agencia Española de Protección de Datos) con nivel adecuado de protección.

NOTA DEL EDITOR: Para ampliar conceptos en relación a la problemática legislativa de llevar datos personales al CLOUD, puede consultarse en éste mismo Blog, los siguientes artículos:

NOTA DEL EDITOR: Para ampliar conceptos en relación a los Backups en general, puede consultarse en éste mismo Blog, el siguiente artículo:

Marco esencial para la auditoría de servicios en la era posterior a la Ley Sarbanes-Oxley. El SAS 70 (Statement on Auditing Standard 70) y sus antecesores, han sido la Norma de los Estados Unidos para presentar información acerca de los controles de las organizaciones de servicios, que con el ISAE 3402 evoluciona hacia una norma global.

8. BIBLIOGRAFIA CONSULTADA

- TechTarget. (SearchDisasterRevovery). "Disaster recovery and business continuity tutorials".

"Disaster recovery in the cloud explained". August 2011. - Jacob Gsoedl. SearchDisasterRecovery.

Todas las imagines bajo licencia 123RF Internacional o extraídas de los documentos referenciados en el apartado BIBLIOGRAFÍA CONSULTADA.

La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.

Es asociado sénior de la José Luis Colom Planas es auditor y consultor empresarial especializado en protección de datos y gestión de la seguridad de la información.A partir de su dilatada experiencia, edita el Blog temático "Aspectos Profesionales" relacionado con el Derecho digital en sentido amplio. APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro deObservatorio Iberoamericano de Protección de Datos ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática) y ENATIC Abogacía 2.0 (Asociación de expertos nacionales de la abogacía TIC), habiendo sido ponente o colaborado en casi todas ellas. También es colaborador de la iniciativa del .