6 aspectos para evaluar un proveedor de DRaaS o DRP en la nube

proveedor de DRaaS o DRP

[vc_row][vc_column][vc_column_text]

Disaster Recovery as a Service (o DRaaS) es el servicio que las empresas pueden contratar, a manera de tercerización, que incluye infraestructura y actividades requeridas para establecer un ambiente de recuperación en caso de una contingencia. Por obvias razones, la infraestructura de respaldo debe encontrarse en una situación de riesgo menor, o por lo menos amenazado por distintos riesgos, que el ambiente principal, siempre esperando que cuando una contingencia suceda, no afecte al mismo tiempo a ambos sitios.

Además, se espera que el proveedor que ejecuta las actividades de instalación, operación diaria y operación en contingencia, sea uno con el expertise, conocimiento  y experiencia necesarios para hacerlo dentro de los tiempos establecidos y pactados, y de preferencia, incluso mejor de lo que podría hacerlo la propia compañía contratante.

DRaaS es importante para aquellas empresas que necesiten recuperarse de una contingencia y no quieren o pueden hacerlo por sí mismas, además de que normalmente también son requerimientos de entidades gubernamentales, corporativas y de mercados. Tanto así que, según estudios especializados, para el año 2018 se espera que la mitad de las empresas que tengan  un DRP, lo tengan en formato DRaaS.

[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_single_image image=”692″ img_size=”full” alignment=”center”][/vc_column][/vc_row][vc_row][vc_column][vc_column_text]

Evaluar al potencial proveedor de DRaaS requiere poner atención en características específicas. Un buen proveedor de DRaaS no es necesariamente nuestro proveedor de cloud, porque procesamiento no es el único requerimiento, tampoco lo es nuestro proveedor de Managed Services, porque no es lo mismo operar en estado regular que de contingencia.

Estas 5 preguntas podrán ayudarlo a encontrar al mejor proveedor:

  1. ¿Cuál es el RTO y RPO reales? Comencemos por el principio. RTO o Recovery Time Objective, es el tiempo que pasa entre la detonación de la contingencia, hasta que los sistemas están up & running (lo que sea que eso signifique). El RPO o Recovery Timer Objective es el punto en el tiempo pasado a partir del cual tengo información disponible.Ahora, la pregunta tiene una palabra clave: “real”. Pregunte a su potencial proveedor los valores reales y, sobre todo, cuándo es que considera los servicios up & running. Muchos proveedores, sobre todo los de Cloud, miden su RTO hasta el momento en que los servidores de respaldo están encendidos, cuando en realidad en ese momento, aun no son útiles, ¡solo están encendidos! Resta la carga de información, configuración de bases de datos, instalación de aplicaciones, conexión de usuarios, etcétera, etcétera. El RTO real se cumple cuando sus usuarios pueden hacer el trabajo que esperaban hacer.Entonces, conocer el RTO y RPO reales que el proveedor ofrece es primordial para saber si se cumplen los objetivos de negocio y, de manera muy práctica, para saber cuánto tiempo tardaremos en recuperar la operación y con qué periodo de pérdida de información. Solicite que su contrato muestre estos valores a manera de SLA (Niveles de Servicio Acordados), y que sean medidos  periódicamente en pruebas y comprometidos para una contingencia.
  1. ¿Qué actividades realiza el proveedor y cuáles yo mismo? Como dijimos en el punto anterior, levantar la infraestructura es solo una parte del proceso de recuperación. Así que pregunte a su proveedor qué actividades quedarán en la responsabilidad de quién en cuatro  momentos principales:
    1. Implementación
    2. Operación diaria
    3. Operación de contingencia
    4. Regreso a casa
    5. Un verdadero DRaaS deberá ofrecer un servicio integral que deje en manos del proveedor prácticamente la totalidad de las tareas en todas las etapas. Si acaso, deben quedar en su responsabilidad algunas relacionadas al manejo de licencias o cuestiones de seguridad de información.
    6. Solicite un contrato claro que indique qué actividades realiza cada quién y la frecuencia con que se harán, además de los entregables relacionados a la ejecución de las tareas.
  2. ¿Cómo administro el servicio? Un DRaaS no es un grupo de servidores extras que administrar, por lo tanto, las herramientas de gestión deben ser lo más simples posibles, enfocadas principalmente en brindar información relacionada al inventario de servidores contratados y la interfase que permita declarar una contingencia para uno, varios o todos los servidores de respaldo.En un momento de emergencia real, es muy seguro que usted no contará con todas las herramientas que normalmente utiliza. Su computadora por ejemplo. Así que contar con alternativas de medios para declarar una contingencia aumenta la posibilidad de recuperar su operación. Un proveedor que ofrezca una interfase web, una App de celular y –la vieja y confiable- telefonía, por ejemplo, es uno que muy probablemente pueda recibir su petición durante el apocalipsis.
  1. ¿Cuanto pagaré mensualmente y qué otros cargos pueden aplicar? SI usted es del área de TI de su empresa sabe a qué me refiero. Pedir dinero para un proyecto que se supone es de pago fijo mensual cierra la puerta del CFO para peticiones de cargos extraordinarios. A menos que sea su renuncia. Asegúrese que el proveedor está cobrando todo lo posible en un cargo mensual fijo igual en todo el periodo, que incluya mínimo los siguientes conceptos para todos los servidores a proteger:
    1. Hardware y software requerido para el proyecto
    2. Servicio de Implementación
    3. Servicio de operación regular
    4. Servicio de contingencia o prueba para por lo menos 2 eventos al año de por lo menos una semana de duración.
    5. Comunicaciones para réplica y actualización
    6. Comunicaciones para el total de usuarios que se conectarán al DRP durante la contingencia
    7. Software y servicios que requieran los usuarios.
  1. ¿Qué seguridad tiene mi información? Hay dos consideraciones en este rubro. ¿Dónde está y qué tan seguro es el lugar? Y ¿qué tan seguro es el viaje de mi información?Para saber sobre la seguridad del hospedaje es simple: Vaya. Si su infraestructura va a radicar en Checoslovaquia se complica hacer esta primera visita y –malas noticias- será peor durante el evento de contingencia. Ahora, suponiendo que su sitio alterno es visitable, asegúrese que es un data center certificado, con seguridad de varias capas y servicios de circuito cerrado de TV, etc.La seguridad lógica de su información debe ser garantizada durante el viaje, es decir cuando viaja por el enlace de un punto al otro, y cuando se aloja en los servidores del proveedor. Pregunte a su proveedor sobre sus certificaciones, prácticas y controles de administración de los servidores de respaldo, además de las herramientas de encriptación y optimización de redes.
  1. ¿Qué especialización tiene el proveedor? Como ya dijimos un DRaaS es un servicio end to end, todo incluido. Un proveedor que pueda lograrlo requiere conocimientos y especialización de continuidad de negocio, por ejemplo la basada en ISO 22301, y, sobre todo, debe estar preparado cada día para ese día.Cuando suceda una contingencia su proveedor tiene que estar en mejores condiciones que usted y listo para brindarle el servicio. Esa circunstancia es poco probable en un proveedor que no se prepare todo los días para lograrlo; se requiere  infraestructura, personal especializado y un DNA especial.

[/vc_column_text][/vc_column][/vc_row]

Seguir leyendo

Piezas clave para tu estrategia de protección de aplicaciones

Por: Emanuel Valle Conocer los elementos claves que requieres para proteger tus aplicaciones te ayudará a evitar los impactos negativos de ser expuesto a una brecha de ciberseguridad. De acuerdo con el...

Akira continúa ejecutando sus ataques con éxito

El nombre Akira resonó por primera vez apenas un año atrás y muy rápidamente se convirtió en uno de los principales grupos cibercriminales. Poco conocimiento se tenía de ellos entonces; sin embargo,...

Las 7 razones definitivas para invertir en proteger sus aplicaciones

Autor: Emanuel Valle. Las aplicaciones empresariales son necesarias para nuestra operación de negocio, pero al mismo tiempo pueden convertirse en un vector importante de ataque y dejar espacio para que los cibercriminales...

¿Deseas reducir las noticias más recientes? 

Subscríbete