26 Jun 2017

Artículo

 

RECUPERACIÓN ANTE DESASTRES Y CONTINUIDAD DEL NEGOCIO EN EL CENTRO DE TRABAJO

 

Scott Kinka

 

Jefe de tecnología de Evolve IP. Un veterano de tecnología, con 20 años de experiencia en virtualización, seguridad en la nube y telecomunicaciones, Kinka diseña la hoja de ruta de Evolve IP, lidera el equipo de proyecto de Evolve IP y trabaja en estrecha colaboración con clientes y socios. Kinka fue nombrado uno de los "40 under 40" de Filadelfia y seleccionado como el mejor innovador de la región por el Philadelphia Business Journal. Kinka es también un experto en tecnología reconocido a nivel nacional que ha aparecido en CBS News junto con ser citado extensamente en publicaciones como USA Today, FOX News y CIO Magazine. El comunicado de prensa vinculando a la encuesta discutida en el artículo se puede encontrar en http://www.evolveip.net/c-level-professionals-disagree-organizations-ability-recover-disaster-evolve-ip-survey-reports.

Cuando o si. Más que simples conjunciones, estos dos términos representan una brecha tecnológica cada vez más amplia y una mentalidad de riesgo que podría debilitar potencialmente toda una compañía. Para los profesionales de IT las palabras alarmantes después de estas dos conjunciones son "un gran desastre golpea" y para muchos es probable que la historia que emerge no tenga un final feliz..

Si usted pregunta a cualquier profesional de IT ellos reconocerán que los de desastres de IT, ya sean grandes o pequeños, suceden; usted probablemente puede agregarlos a la lista de muerte e impuestos. De hecho, un tercio de las organizaciones han reportado tener un incidente que requirió recuperación de desastres (Disaster Recovery / DR). Ya sea que se deba a un error de hardware, ataques cibernéticos o un evento meteorológico, estos desastres afectan a las empresas y a sus asociados.

Estas amenazas no podrían ser más reales. Recientemente hemos recibido una llamada de pánico a la 1 a.m. de un cliente en el campo de bienes raíces. Un empleado de la empresa hizo clic en un archivo malicioso y activó un virus Ransomware. Cada servidor, escritorio y documento en la empresa estaba completamente bloqueado y totalmente inaccesible. Sin embargo, en lugar de tomar semanas para reconstruir y tratar de recuperar sus sistemas, o pagar una cuota de Ransomware masiva, su profesional de IT llamó al equipo de soporte técnico. En una hora pudieron reestablecer el sistema y los equipos estuvieron completamente operativos. Desafortunadamente, este tipo de historias, sin el final feliz, es cada vez más común y menos una excepción.

Recientemente hemos realizado una encuesta a más de 500 ejecutivos de nivel C y profesionales de IT, en la cual descubrimos algunos datos fascinantes. La encuesta profundizó en la experiencia de la organización con interrupciones e incidentes relacionados, así como el contenido del plan de DR. Como es de esperar, con los riesgos creciendo cada día, los profesionales de IT están más preocupados que nunca con la recuperación ante desastres.

 

¿Qué tan preparado estás?

Los resultados de nuestra encuesta del 2016 revelaron una alarmante desconexión entre los ejecutivos de nivel C y los profesionales de IT en cuanto a qué tan preparada se encuentra su organización para manejar realmente un desastre. Mientras que aproximadamente el 70% de los ejecutivos de nivel C sienten que su organización está "muy preparada" para recuperarse de un desastre, menos de la mitad de los profesionales de IT de las mismas organizaciones comparten esta opinión. La encuesta también reveló cómo los requerimientos de cumplimiento y el uso de soluciones alojadas contribuyeron a la confianza general de una organización en sus capacidades de recuperación ante desastres.

¿Qué industrias están más preparadas?

La encuesta reveló qué industrias y sectores verticales se sienten los más preparados ante un potencial desastre.

De acuerdo a los encuestados: el 67% de los que están en la banca, el 58% en el sector gubernamental y el 55% en las empresas tecnológicas se sienten muy preparados para recuperar los activos de IT en caso de que ocurra un desastre.

Curiosamente, a pesar de sus agresivos requerimientos de cumplimiento, poco más de la mitad de los encuestados en las organizaciones de salud se sienten bien preparados para recuperarse de una interrupción o incidente. Nosotros creemos que hay un par de explicaciones de por qué los encuestados en el sector de cuidado de la salud se sintió de esta manera. En primer lugar, el 18% de las organizaciones de salud están confiando en la nube pública para su recuperación de desastres. Con las interrupciones regulares de la nube pública en las noticias este grupo esta predeciblemente nervioso. Además, un tercio de las compañías de atención médica sigue usando cintas de respaldo, y casi el 47% está utilizando un site espejo secundario. Por último, cinco de cada 10 encuestados afirman que su presupuesto de DR no es suficiente, es decir, 11,5 puntos por encima del promedio de todos los encuestados (37,5%).

Los esfuerzos de recuperación de desastres en los campos de educación y fabricación también parecen estar rezagados. Sólo el 38% de los que están en el ámbito de la educación se sienten preparados para manejar un desastre y sólo el 35% de las empresas de fabricación piensan lo mismo. El campo de la fabricación está adoptando nuevas tecnologías con mayor lentitud a diferencia de otras industrias, con más de la mitad de los encuestados reconociendo que siguen confiando en las cintas de respaldo.

¿Qué hace que los profesionales de TI se sientan preparados?

Nuestra investigación reveló factores que influyen en los profesionales de IT cuando se trata de sentirse "muy preparados" para un evento probable. El primer factor fue haber establecido los requerimientos de cumplimiento de DR. Las organizaciones con requerimientos de cumplimiento claramente definidos tienden a tener más confianza en su capacidad para recuperarse ante un desastre; en gran medida porque se vieron obligados a abordar el tema. El segundo factor se refería a las soluciones alojadas, ya que los profesionales de IT se sienten más seguros si utilizan el entorno de recuperación de desastres como servicio (Disaster Recovery as a Service / DRaaS) y/o de un proveedor de servicios administrados (Managed Service Provider / MSP). Aprovechando DRaaS, que proporcionan casi en tiempo real la recuperación de los activos de IT a través de la nube, aumentó la confianza en 17,5 puntos. Al mover la infraestructura de IT fuera del sitio mediante la implementación de un entorno de proveedor de servicios administrados, aumentó la confianza en 22 puntos.

DRaaS, a diferencia de las soluciones de respaldo tradicionales, permite la recuperación casi en tiempo real de los activos a través de la nube y la conciencia del servicio entre los encuestados ha aumentado. De hecho, el 67,5% de los encuestados estaban familiarizados con DRaaS, un 8,5% de aumento de nuestra encuesta de 2014. Sin embargo, hay una brecha de sensibilización entre los profesionales de TI y ejecutivos de nivel C con 7 de cada 10 profesionales de TI familiarizados con la tecnología, en comparación con sólo 5 de cada 10 ejecutivos. Esta brecha de conocimiento de los beneficios del servicio significa que muchos profesionales de IT necesitan comenzar a educar a sus ejecutivos antes de obtener aprobaciones de presupuesto para los esfuerzos de recuperación de desastres.

Un vistazo a la higiene de recuperación de desastres

En comparación con nuestra encuesta DR en el 2014, un número creciente de organizaciones están adoptando soluciones de recuperación ante desastres alojadas para mantener la continuidad del negocio. De los encuestados, el 22,5% está utilizando una nube pública, un aumento de 9,5 puntos y el 9% de los encuestados están utilizando DRaaS, un aumento del 55%. Por otro lado, sólo el 35% está utilizando cintas de respaldo, una disminución de unos 10 puntos.

La encuesta también reveló algunas áreas de higiene de recuperación de desastres que mostraron poco movimiento. Por ejemplo, el 42,5% de los encuestados están utilizando servidores y dispositivos adicionales en su sitio principal. Además, sólo el 16,5% de las organizaciones están utilizando un Managed Service Provider (MSP); Como se señaló anteriormente, esta oferta suele hacer que las empresas se sientan más seguras a la luz de eventos inesperados. Este porcentaje de MSP es un ligero aumento del 15% a comparación del 2014. Por último, un tercio de las empresas están utilizando un sitio dentro de las 50 millas de su centro de datos principal. Esta proximidad abre riesgos durante desastres naturales generalizados tales como inundaciones, nieve / hielo, vientos fuertes, y más.

¿Qué significa realmente una interrupción para un negocio?

Nuestra encuesta también produjo nuevos datos en cuanto al número de eventos de DR sufridos por las organizaciones. Un poco más de cuatro por cada 10 encuestados que habían sufrido una interrupción de DR indicaron que tenían que lidiar con múltiples desastres. La principal causa de interrupciones continúa siendo el fallo de hardware y los problemas con las salas de servidores, que fue reportado por 48% de los encuestados. Los ataques deliberados y maliciosos fueron señalados como la causa de interrupciones por el 13% de los encuestados, un aumento de 200% de nuestra encuesta de 2014.

Mientras que la mayoría de las empresas creían que eran capaces de recuperarse completamente de un desastre, el 56% de los encuestados que lidiaron con un incidente importante experimentaron una pérdida financiera y una de cada 10 organizaciones experimentó pérdidas permanentes de datos, aplicaciones o sistemas. Más del 12% sufrió una pérdida de $ 100,000 o más. Además, el 31,5% de las empresas reveló que la recuperación tomó un valioso tiempo al personal lo cual afectó a su negocio. Finalmente, como resultado de sus experiencias, el 11,5% de los encuestados que sufrieron un corte aumentaron su presupuesto para la recuperación de desastres.

Mientras más se prolongue el tiempo de inactividad de una empresa, área o proceso crítico, mayor será la pérdida en cuanto a la productividad y mayor será la probabilidad de perder beneficios. Es aquí donde las iniciativas de cumplimiento realmente mostraron su valor. Sólo el 42% de aquellos con requerimientos de cumplimiento tomaron más de un día hábil para recuperarse de un incidente importante, mientras que el 64% de las organizaciones sin requerimientos de cumplimiento tomó más de un día hábil. Basándonos en esos resultados, como era de esperarse, el cumplimiento de DR fue observado por los encuestados para impulsar la confianza en la capacidad de recuperar IT y activos relacionados en caso de un incidente.

Una mirada más cercana a los planes de recuperación de desastres y continuidad de negocio

 

En la comunidad de tecnología los planes de DR generalmente se consideran "imprescindibles" por los líderes de IT y más de tres cuartas partes de los encuestados han implementado un plan de DR. Alrededor del 88% de los encuestados con requerimientos de cumplimiento tienen un plan de DR, mientras que sólo el 60 por ciento de las organizaciones sin requerimientos de cumplimiento tienen implementado un plan DR/BC.

Sin embargo, aún se necesita trabajar en cómo desarrollar dichos planes. Respecto a las organizaciones encuestadas con un plan de DR, menos de tres cuartos documentan activamente los objetivos de tiempo de recuperación (Recovery Time Objectives / RTO), la cantidad de tiempo en que los procesos de la empresa deben restaurarse después de un desastre. 10% de los encuestados no estaban familiarizados con el término RTO antes de tomar la encuesta. Un número aún mayor, el 16%, no estaba familiarizado con los objetivos del punto de recuperación (Recovery Point Objectives / RPO), el momento desde el cual se recuperan los datos. Sólo el 67% de los encuestados informó que actualmente documentan RPO en su plan de DR.

Además, la encuesta reveló que el 93% de las organizaciones toman en cuenta el acceso remoto, el 88% incluye comunicaciones y el 87% definen cómo los empleados tendrán acceso a los datos recuperados, lo que es una señal de planificación eficiente de DR. Sin embargo, el acceso documentado a los escritorios se quedó corto, con sólo 63,5% señalándolo como un factor en sus planes de DR / BC.

Tener un plan es un gran comienzo, aun así, las empresas también deben financiar la infraestructura y los costos asociados de DR. Sorprendentemente, la mayoría de los encuestados gastó menos de $ 50,000 anualmente en DR y otro 6% no gastó dinero en absoluto. Como era de esperar, las organizaciones más grandes están gastando más en la recuperación de desastres con el 16,5% de las organizaciones con 2.001 a 5.000 empleados que gastan entre $ 500.000 y $ 1 millón en DR y 41,5% de las empresas con más de 5.000 empleados que gastan más de $ 1 millón. De los más preocupados por los presupuestos, según los profesionales de TI encuestados, el 30% de las organizaciones con 2.001 a 5.000 empleados y el 16% de las empresas con más de 5.000 empleados están gastando menos de $ 50.000 en la recuperación de desastres.

¿Qué significa todo esto?

Las empresas se están volviendo cada vez más conscientes de la necesidad de proteger sus activos de eventos mayores, ya sean maliciosos o no intencionales, errores humanos, errores de hardware o desastres naturales. Estas organizaciones están haciendo esfuerzos para evitar las políticas de respaldo arriesgadas, como el uso de la cinta de respaldo o la replicación en el sitio o en un sitio espejo secundario a menos de 50 millas de su centro de datos principal. En cambio, un número creciente de empresas está desarrollando un plan estratégico de recuperación de desastres y educándose sobre los beneficios de los nuevos enfoques de DR, como DRaaS.

Sin embargo, la falta de sensibilización y educación de DR en el nivel ejecutivo, se traduce como falta de presupuesto y trae como consecuencia un riesgo innegable para los negocios de hoy. Los profesionales de IT y los ejecutivos de nivel C necesitan comprometerse entre sí y evaluar su confianza en los planes actuales de DR de su organización y su capacidad para recuperarse. Además, todas las partes interesadas deben hacer un esfuerzo para comprender mejor el costo real del tiempo de inactividad a escala de la empresa, así como reconocer sus riesgos actuales de DR. Estas prácticas asegurarán que se asignen presupuestos apropiados, se mejorará la adherencia al cumplimiento y se implementarán mejores soluciones que aseguren las opciones de recuperación.