La nube ha supuesto el acceso y la simplificación de muchas tareas que antes requerían gran esfuerzo de tiempo y dinero para las empresas. Una de ellas es el Backup como servicio o como se lo conoce comúnmente, BaaS.
En este nuevo artículo vamos a profundizar en este tema, definiendo conceptos, beneficios y requisitos para poder disfrutar de este servicio empresarial.
Índice de la importnacia de tener un servicio de Backup as a service (BaaS)
- ¿Qué es el Backup como servicio o BaaS?
- Razones de negocio para utilizar BaaS
- Protección de backup contra accidentes internos y amenazas
- Protección contra amenazas de seguridad externa con un backup
- Gestión de retención y recuperación de datos del backup
- Obligaciones legales y de cumplimiento en la instalación de un backup
- Gestionar el proceso de migración a la nube
- Ventajas claves de un servicio Backup
- Problemas en la selección de servicios gestionados de Backup
- ¿Cómo elegir el mejor proveedor de BaaS?
- Normativa legal de datos, cómo cumplirla
¿Qué es el Backup como servicio o BaaS?
El Backup como servicio o BaaS es un servicio en pago por uso que permite a empresas externalizar en un proveedor el proceso de copias de seguridad incluyendo los repositorios necesarios para las copias, el software de backup, servicios de comprobación, administración y restauración y réplica remota segura de sus copias de seguridad a ubicaciones alternativas y/o nube para garantizar la disponibilidad y cumplimiento legal.
A este tipo de servicios profesionales se le añaden diferentes enfoques, según tengan como cliente final un particular o una organización. Incluso en este último caso, dependiendo del tamaño y los requisitos de la compañía, encontramos una amplia gama de servicios profesionales.
Razones de negocio para utilizar BaaS
Las empresas de todo el mundo están moviendo sus servicios a la nube, debido a que facilita las operaciones entre localizaciones, usuarios y dispositivos.
Sin embargo, las aplicaciones en la nube tienen sus propios desafíos, relacionados con la protección de datos, la entrega de los servicios contratados y la velocidad.
Si bien la mayoría de las empresas y organizaciones son conscientes de la importancia de contar con copias de seguridad sólidas en las instalaciones, no todos los servicios ofrecidos disponen de las mismas características, funciones y requisitos de acceso.
Independientemente de los servicios contratados, las razones para utilizar el Backup como servicio son muchas y merece la pena detenerse en analizarlas una a una.
Protección de backup contra accidentes internos y amenazas
Los accidentes pueden suceder y de hecho, suceden a menudo, aunque se extremen las precauciones. Puede ser una eliminación accidental de datos por un usuario, una fusión incorrecta de los mismos o el fallo de uno de los servicios clave, por no hablar de golpes, inundaciones o cualquier otro problema que pueda afectar a la máquina en la que se encuentren almacenados.
Como comentamos en su día en nuestro artículo sobre backup de Office 365, muchas de las soluciones de productividad más utilizadas no ofrecen la garantía de recuperación de datos más elemental, por lo que conviene contar con soluciones de copia y restauración de datos por parte de terceros que nos ofrezca tranquilidad.
Protección contra amenazas de seguridad externa con un backup
En el artículo que acabamos de mencionar también comentábamos la enorme importancia que tiene hoy en día la protección contra ataques de malware, virus, robo de datos y otras amenazas de seguridad desde el exterior.
Por mencionar una cifra orientativa, la empresa de seguridad Kaspersky consiguió en 2018 bloquear casi 800 millones de ataques online ¡solo en el primer trimestre del año!
Por eso, la mejor manera de reducir la exposición frente a ataques es contar con un servicio de respaldo de terceros que proteja los datos más importantes de la empresa.
Gestión de retención y recuperación de datos del backup
Los servicios de aplicaciones en la nube son populares porque permiten trabajar en cualquier ubicación y dispositivo sin tener que estar pendiente de actualizaciones o versiones de software.
Sin embargo, el riesgo que tienen estos servicios es la pérdida de control sobre la retención y recuperación de los datos.
En el caso de Office 365, por ejemplo, lidiar con sus políticas de retención es algo complejo, debido a sus frecuentes cambios y la dificultad para administrarlos. Por algo la retención de los datos es una de las razones por las que muchas empresas se niegan a trasladar sus aplicaciones a la nube.
Puedes tener lo mejor de ambos mundos con soluciones de respaldo que te proporcionen un control completo sobre la retención de datos y la administración de la recuperación.
Obligaciones legales y de cumplimiento en la instalación de un backup
Además de dirigir un negocio y garantizar el acceso a datos y servicios clave, las empresas tienen la responsabilidad de cumplir con ciertas obligaciones legales y de cumplimiento.
Un servicio de copia de seguridad en la nube te permite recuperar datos importantes de forma instantánea y con una interrupción mínima de los sistemas empresariales que son críticos para tu negocio.
Cumplir con tus responsabilidades será más fácil con una copia de seguridad en una nube dedicada independientemente de si lo que necesitas es recuperar datos de usuarios para cumplir con el reglamento, acceder a tu buzón o cumplir con los estándares exigidos por la ley.
Gestionar el proceso de migración a la nube
A medida que más y más empresas se trasladan a la nube, es obvio que el proceso de migración no es tan perfecto como lo pintan los proveedores.
Independientemente de si deseas una solución en la nube dedicada o una combinación de servicios en la nube y locales, las soluciones de respaldo te permiten proteger y administrar tus datos durante y después de la transición sin que la ubicación de origen sea relevante.
Ventajas claves de un servicio Backup
Si bien es cierto que las ventajas estratégicas de contar con un servicio de Backup as a service son muchas, queremos resaltar las ventajas clave a las que debes prestar atención cuando te planteas la contratación de estos servicios.
1. Espacio de almacenamiento
Los proveedores de la nube disponen de planes de precios en función de la cantidad de almacenamiento que la empresa necesite.
Es, sin duda, y siempre lo será, más barato que comprar tus propios servidores de almacenamiento, aunque no puedas dejar de lado ciertos requisitos como veremos en este mismo artículo.
Uno de ellos, pero que afecta directamente al precio de la solución que contrates, es tener en cuenta el tamaño de una sola de las copias de seguridad, y luego multiplicarla por la cantidad de copias necesarias para conservar los datos intactos en cualquier momento.
2. Busca almacenamiento escalable
Si has hecho el ejercicio anterior, sabrás que el tamaño de la copia de seguridad puede variar mucho. A medida que tu empresa crece, es probable que los requisitos de almacenamiento también lo hagan y si sueles realizar proyectos de gran envergadura, es probable que necesites hacer copias temporales de los datos que estás utilizando.
Un buen proveedor de Backup como servicio te permitirá aumentar tu capacidad de almacenamiento de forma flexible “según sea necesario”, ampliando tu espacio a corto plazo si las necesidades lo requieren.
3. Alta disponibilidad
¿Podría haber algo peor que sufrir una pérdida de datos y luego descubrir que tu servidor de respaldo estaba desconectado cuando necesitas realizar la recuperación?
Sí, lo hay: descubrir que el servidor está sin conexión, por lo que tus copias de seguridad programadas no se llevaron a cabo y los datos críticos no se guardaron.
Es crucial que tu proveedor de copia de seguridad en la nube ofrezca un servicio de alta disponibilidad que garantice que estará siempre online.
Si no proporciona al 99.95% o más, mejor acude a otro lugar.
4. Recuperación del proveedor
Utilizas un servicio de copias de seguridad para estar protegido en caso de pérdida de datos.
Pero, ¿qué pasaría si el servidor de respaldo del proveedor falla? Antes de elegir un servicio de respaldo, asegúrate de que también tenga su propio plan de recuperación en funcionamiento.
La mayoría de los proveedores de este tipo de servicios tienen varias copias de sus copias de seguridad en diferentes centros de datos.
Por lo tanto, incluso si un incendio destruye un centro de datos completo, una de las copias almacenadas en otro lugar puede ponerse inmediatamente online, permitiéndote seguir con tu trabajo como si no pasara nada.
Asegúrate de que tu proveedor de servicios cuente con esta solución antes de contratar, en caso de un desastre que afecte a la integridad de algunas de sus infraestructuras, estará cubierto y por extensión, tú también.
5. Frecuencia de las copias de seguridad
Algunas empresas necesitan hacer copias de seguridad de sus datos con mayor frecuencia que otras.
Si tienes un negocio ecommerce con un gran volumen de negocio, por ejemplo, es posible que necesites copias de seguridad constantes para no perder transacciones muy recientes.
Algunos proveedores de Backup como servicio dan a los clientes el control total sobre la frecuencia de sus copias de seguridad y les permiten programarlas en los horarios que consideren más convenientes.
Otros solo ofrecen un número limitado de copias de seguridad y en los horarios programados por el proveedor.
Es importante que te asegures de elegir la opción que mejor se adapta a las necesidades de tu empresa.
6. Seguridad de la copia de seguridad
Si se supone que estás buscando una solución que te proteja contra ataques que te impidan el acceso a tus datos, sería una imprudencia no suponer que lo mismo le puede suceder a tu proveedor.
Si vas a dejar tu seguridad en sus manos, asegúrate de que también él pone todos los medios técnicos al alcance para evitar que le suceda lo mismo.
En un mundo ideal, tu proveedor de copias de seguridad debería tener un plan de prevención contra ataques, además de un cifrado de 256 bits para el almacenamiento y transferencia de datos, Secure Socket Layer (SSL) o Transport Layer Protection (TLS) y usar el almacenamiento de datos de ubicaciones múltiples como hemos mencionado con anterioridad.
Además, los centros de datos físicos también deben estar bien protegidos con personal de seguridad, CCTV y control de acceso. No sería la primera vez que lo que se produce es un ataque físico a un centro de datos.
7. RGPD y servicio de Bakup
Hemos mencionado la importancia de contemplar el cumplimiento de las obligaciones legales que debe observar el proveedor que vas a contratar.
No solo hablamos de que los datos almacenados puedan caer en malas manos que los usen para otros fines distintos a aquellos para los que fueron recabados, estamos hablando de que la regulación es cada vez más estricta.
Si posees información personal de clientes, debe cumplir con la Ley de Protección de Datos y el nuevo reglamento de GDPR.
Incluso si los datos están respaldados por un proveedor externo en la nube, la responsabilidad de la salvaguarda de esos datos sigue siendo tuya.
Por lo tanto, asegúrate de que tu proveedor cumple con los estándares de la industria y sigue las prácticas que te permitan cumplir con las normas.
8. Soporte técnico 24/7
Las copias de seguridad son esenciales si necesitas recuperarte de una pérdida de datos.
Si sucede un desastre, las dificultades técnicas que se te van a presentar para volver a esta operativo no son desdeñables.
Por eso, para esos momentos, que esperemos que no lleguen nunca, necesitas un proveedor que te ofrezca algo más que simples copias de seguridad bien almacenadas.
Para poder cumplir con el tiempo mínimo de recuperación, necesitas un proveedor que te pueda ayudar con esos problemas técnicos sin importar la hora del día.
Para garantizar que puedas acudir a él en cualquier momento, elige un proveedor que ofrezca asistencia técnica experta las 24 horas, los 7 días de la semana.
Además, es importante que esta asistencia técnica esté disponible en diferentes canales. A ser posible, debería ser por teléfono, chat online y correo electrónico.
De esta forma, si uno de los canales no está operativo, puedes recurrir a los demás. Es especialmente importante además, que el tiempo de espera sea mínimo, especialmente si tu empresa es un ecommerce global o pertenece a sectores como la banca u otro tipo de operaciones que no se detienen en ningún momento.
9. Lee los términos y condiciones del acuerdo
Tendemos a pensar que como pagamos una cantidad, a veces, bastante sustancial, no estamos obligados a saber exactamente lo que se nos ofrece, cayendo en el error fatal de pensar que este tipo de servicios se encargan de “todo”.
Muchos de los puntos que hemos mencionado, como el volumen de las copias, la hora y el número de veces que se realizan y otras muchas cosas que veremos a lo largo de este artículo, no tienen porqué estar cubiertas.
Solo lo sabrás cuando te leas con detenimiento los términos y condiciones del acuerdo del proveedor de Backup como servicio.
Debe ofrecerte garantías de que va a proporcionar un servicio eficaz en los términos que le convienen a tu empresa.
10. Qué piensan los clientes
La calidad del servicio y la forma en que se adapta a las necesidades de tu empresa deben ser siempre tu principal prioridad.
Si no estás seguro sobre si el proveedor que estás considerando será una buena opción para ti, te recomendamos que consultes las opiniones de los clientes, ya que a menudo proporcionan información útil sobre la calidad de los servicios de la empresa y la calidad de la atención que proporcionan a sus clientes.
Problemas en la selección de servicios gestionados de Backup
Si ya eres consciente de los puntos clave que debes considerar a la hora de elegir un buen proveedor de Backup como servicio, es momento de pensar en aquellos problemas que encontrarás a la hora de seleccionar el que mejor se ajuste a tus necesidades.
La oferta en el mercado es amplia, ya te lo advertimos, por eso, hemos querido recopilar los problemas que con más frecuencia se citan como determinantes en las relaciones de las empresas con estos proveedores y cuál debe ser la respuesta ideal.
1. Tiempos para descarga y subida de archivos
Si en estos momentos ocurriera un desastre, ¿con qué rapidez podrías restaurar tus archivos de respaldo? Y lo que es más importante, ¿estás seguro de que la información ha sido recuperada con éxito?
Por desgracia, para muchos usuarios online, la transferencia se puede demorar mucho más de lo deseado.
Una copia lenta, que sólo proporcione unos cuantos gigas por día, puede suponer una demora de varias semanas para una recuperación completa.
Por lo tanto, una velocidad de recuperación lenta puede suponer la ruina de un negocio, ya que determinará cuándo están disponibles tus archivos de nuevo.
2. Seguridad
¿Sabías que Dropbox basa el almacenamiento de sus archivos en un protocolo sin cifrar? Si se copia el ID de usuario de acceso a los archivos en otro dispositivo, se puede acceder en secreto a todo lo que hay en dicha cuenta.
Para evitar que esto te suceda a ti, debes asegurarte de que el servicio de respaldo es seguro y te ofrezca un soporte de calidad.
Además, como hemos mencionado anteriormente, la protección de tus datos debe ser lo primero. Encontramos en la prensa un caso conocido, el ataque a Systema Software, que comprometió 1,5 millones de registros de pacientes.
Dicho ataque accedió a informes de lesiones, números de la seguridad social y detalles de visitas médicas.
Debes asegurarte de que tu información confidencial esté a salvo de situaciones como las mencionadas.
3. Alcance de los servicios
Cuando hablamos de gestionar copias de seguridad con frecuencia pensamos en un proceso monolítico.
La realidad es bastante más compleja. Si, por ejemplo, una solución te ofrece una configuración automática, algunos de los archivos más importantes pueden verse afectados.
Se pueden agregar documentos inútiles y dejar fuera los más importantes, simplemente porque el software no es capaz de decidir qué archivos son esenciales y cuáles, no.
Además, debes asegurarte de averiguar cuánto tiempo mantiene el proveedor los archivos después de eliminarlos.
¿Mantienen varias versiones de sus archivos en caso de que la versión actual se corrompa?
Todas estas preguntas te ayudarán a estar preparado en caso de que suceda lo peor, porque precisamente para eso contratar un servicio de este tipo, como seguro en caso de que se produzca una pérdida de tus datos.
¿Cómo elegir el mejor proveedor de BaaS
El último punto clave que queremos abordar en este artículo está relacionado con las claves que necesitas considerar para elegir el mejor proveedor de BaaS.
1. Paso 1/ Confiabilidad
Con la tecnología de disco a disco, tus datos de la copia de seguridad residen en unidades de disco, que ha demostrado ser mucho más seguras que las cintas.
Cuando se completa la copia de seguridad, sabrás que los datos están seguros y accesibles en la unidad de disco.
Por el contrario, con las cintas, nunca se sabe realmente si los datos se pueden utilizar hasta que intentas restaurarlos, que puede ser demasiado tarde. Por eso, cerca del 71% de las restauraciones de la cinta contienen fallos.
2. Paso 2/ Amplitud de ofertas
Como hemos comentado, la oferta de unos proveedores a otros varía ampliamente.
Unos están diseñados para consumidores finales y otros para centros de datos empresariales.
Es importante que elijas la solución que se adapte a tus necesidades y que te ofrezca el nivel de servicio que esperas.
Por ejemplo. Como sin duda sabes, la tecnología de desduplicación mejorará el rendimiento, reducirá tu huella de datos y te ahorrará dinero.
Hasta ahí seguro que sabes llegar, pero, ¿te has planteado si la oferta de desduplicación se encuentra en el nivel de archivo o en el nivel de bloque?
No todas las ofertas del mercado podrán hacer una copia de seguridad de los servidores, los PCs y los portátiles, así como sus aplicaciones.
3. Paso 3/ Seguridad
Hemos hablado a lo largo de este artículo de lo importante que es la seguridad del proveedor de BaaS que estás considerando.
Pero vamos a entrar en detalle.
¿Sabías que el 60% de las empresas que utilizan cintas no cifran sus copias de seguridad?
El uso de cifrado con cinta provoca que las copias de seguridad se ejecuten lentamente, lo que a menudo impide a la empresa volver a estar operativa lo antes posible.
Como es lógico, la mayoría de las personas, simplemente, desactiva el cifrado, incurriendo en un enorme riesgo de seguridad para la empresa.
El estándar ideal que debes buscar en la seguridad física de la copia de disco a disco es un cifrado AES de 256 bits.
No olvides que aquella solución que encripta tus datos durante la transmisión y el almacenamiento es la que impide la aparición de “puertas traseras” dando acceso a otras personas a visualizar tus datos.
4. Paso 4/ Accesibilidad
También hemos comentado en este artículo la importancia no solo de tener frecuentes y sólidas copias de seguridad, sino la necesidad de poder recuperarlas lo antes posible en caso de fuerza mayor.
Deberías tener acceso directo a tus copias, sin que sea necesario un transporte físico, donde la restauración de los datos sea cuestión de minutos, no de días o semanas.
Por eso, asegúrate de que tu proveedor pueda cumplir con el Objetivo de Tiempo de Recuperación (RTO) y con los Objetivos de Punto de Recuperación (RPO) que determinan el tiempo máximo necesario para recuperar tus datos y que tu negocio siga en funcionamiento.
5. Paso 5/ Accesibilidad
Una empresa promedio pierde unos 80.000 € por cada hora de actividad perdida.
Si haces los cálculos, las cuentas tienen sentido: tener un sistema de backups eficiente que permita a las empresas recuperar sus datos lo más rápidamente es la opción más rentable.
6. Paso 6/ Cumplimiento
La mayoría de las empresas tienen problemas para cumplir con la regulación de privacidad, seguridad y retención de datos.
¿Cómo reconoces si un socio cumplirá con los requisitos que marca la ley?
Muy sencillo, solitia a tu posible partner en BaaS su acreditación oficial de las empresas que cumplen con la normativa o la información relativa a la auditoría que les permita acreditar que cumplen con todos los requisitos legales exigidos.
7. Paso 7/ Recuperación de desastres
La mayoría de las empresas carecen de un plan integral de desastres.
No podrás afirmar que tu área de protección de datos está completa hasta que no tengas un completo plan de recuperación de desastres a prueba.
Lo mismo puedes pedirle a tu proveedor de Backup como servicio: es necesaria tanto la combinación de productos como un equipo de profesionales que ayuden a estar preparados para el peor de los casos.
Por eso, asegúrate de que también ellos pueden configurar sus copias de seguridad para recuperarse rápidamente. O mejor aún: pídeles que te ofrezcan la formación necesaria para que si, llegado el caso, necesites recuperar los datos, tengas los conocimientos necesarios para ello.
8. Paso 8/ Facilidad de uso
Algunas empresas no pueden administrar sus copias de seguridad desde un solo lugar.
La administración de tu entorno de respaldo debe ser simple, y el software que uses debe eliminar cualquier duda que pueda llevar a la pérdida de datos.
Debes saber en todo momento si los datos están protegidos en toda la red, incluidas las oficinas remotas, simplemente mirando un panel de control.
El software que te proporcione el partner o proveedor de BaaS debe ser fácil de configurar (mejor si tiene un asistente de configuración), y al mismo tiempo, debe ser lo suficientemente potente como para satisfacer tus necesidades específicas con vistas personalizables, la posibilidad de ver cómo evolucionan los trabajos y, por supuesto, un control de seguridad basado en roles.
9. Paso 9/ Atención al cliente
Como hemos mencionado con anterioridad, el soporte al cliente varía mucho de unas soluciones a otras y, de hecho, puede ser una de las grandes diferencias que hagan que te decantes por un servicio u otro.
Normativa legal de datos, cómo cumplirla
Como te hemos comentado en otras ocasiones, los datos de carácter personal que almacena cualquier empresa están sujetos al Reglamento de Protección de Datos que entró en vigor el pasado 25 de mayo de 2018.
Los requisitos de este reglamento, comúnmente conocido como RGPD, son mucho más exigentes que la anterior regulación y afectan también a las copias de seguridad, especialmente a aquellas que no se encuentran en las instalaciones de la empresa y de las que sigues siendo responsable, independientemente de que hayas contratado los servicios de un tercero para realizarlas y almacenarlas.
Como es lógico, querrás que este servicio cumpla con la ley con el mismo rigor que lo haces tú y tener ese frente cubierto ante posibles reclamaciones judiciales, que, según prevé la ley, son de cuantiosas cantidades.
Lo primero que debes saber es que hay copias de seguridad de diferentes tipos:
1. Copias para datos de nivel básico
Los datos de nivel básico son aquellos relacionados con nombres, teléfonos, direcciones de correo electrónico y fotografías o imágenes grabadas en las que se pueda reconocer e identificar a las personas, así como los datos bancarios.
¿Sabías que la Ley exige que se realicen copias de seguridad semanales cuando hablamos de estos datos? Si quieres actualizarlos con más frecuencia, la ley no te lo impide, pero la realidad es que pocas empresas los actualizan más de una vez a la semana.
Además, la Ley contempla otros dos requisitos. El primero es que, en caso de desastre, los datos se puedan recuperar de manera previa, es decir, que se recuperen en la misma forma en la que fueron recopilados.
El segundo es que el sistema utilizado para realizar copias de seguridad debe ser revisado cada seis meses.
2. Copias para datos de nivel alto
Estas copias se diferencian de las anteriores en que recopilan datos más sensibles, como son los médicos o los relacionados con la salud de las personas.
3. Otros requisitos legales
En este caso, tener una copia de seguridad externa en una ubicación diferente a donde se están almacenando no es una opción, sino un requisito. La idea es que estos datos estén seguros, por lo que el uso de backups en el caso de este tipo de datos es más que recomendable.
Pero el cumplimiento de la Ley no termina aquí, precisamente.
Además de lo mencionado, debes cumplir con otros requisitos importantes, como por ejemplo, tener contratos en vigor y acuerdo al reglamento si hay terceros involucrados en el almacenamiento y la gestión de las copias de seguridad, como es el caso del Backup como servicio.
Además, también debes tener implementadas una serie de medidas de seguridad que no le pongan las cosas fáciles a los hackers.
Por ejemplo, debes realizar un cifrado antes de enviar las copias y tener una conexión segura con el servidor, además de una constante supervisión y seguimiento del proceso de backup.
Hay empresas que se dedican en exclusiva a asesorar sobre los requisitos de la Ley de Protección de Datos, pero baste confirmar que en ocasiones se contempla un sistema de identificación a través de contraseñas e intercambio de claves criptográficas, junto a un cifrado extremo para la protección de datos.
También es importante aclarar que en la recuperación de datos también hay puntos legales que debes tener en cuenta.
Por ejemplo, deberás anotar la pérdida y la recuperación de los datos en un libro de incidencias, autorizar al responsable si estamos hablando de datos de nivel alto, así como anotar quién realizó el proceso y qué datos se han tenido que grabar de forma manual si es el caso.
Como has podido comprobar, no son pocas las obligaciones legales relacionadas con el cumplimiento de la legalidad a la hora de realizar copias de seguridad y almacenarlas, por lo que debes tener en cuenta estas consideraciones cuando estás planteando contratar un servicio de Backup como servicio.
Hasta aquí nuestro artículo relacionado con el cada vez más popular concepto del Backup como servicio. ¿Tienes dudas sobre qué servicio contratar? Ponte en contacto con nosotros y te asesoraremos.
Jose Ángel Gómez
CISO Semantic Systems
