[07/06/2021] La pandemia de la COVID-19 expuso las brechas en la planificación de la continuidad del negocio (BC, por sus siglas en inglés) y la recuperación en caso de desastre (DR, por sus siglas en inglés) en áreas como el acceso remoto, las redes, las aplicaciones SaaS y el ransomware. Durante el año pasado, los ejecutivos de TI se han esforzado por cerrar esas brechas y actualizar sobre la marcha los planes de recuperación ante casos de desastre.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
La pandemia desencadenó cambios fundamentales de TI en muchas organizaciones, incluyendo la migración apresurada de aplicaciones a la nube, una aceleración de los esfuerzos de transformación digital, el abastecimiento de emergencia de nuevos sistemas y servicios fuera de los procedimientos de adquisición tradicionales y, en muchas industrias, el surgimiento de una nueva categoría de empleados a tiempo completo que trabajan desde casa y que manejan datos de misión crítica en sus dispositivos personales.
Según una nueva investigación de Accenture, "más de las tres cuartas partes de los ejecutivos de negocios planean rediseñar cómo trabaja el personal, acelerar los planes de transformación digital y cambiar fundamentalmente la forma en que interactúan con los clientes”, afirma el director ejecutivo del grupo, Manish Sharma.
Todos esos factores deberán tenerse en cuenta a medida que las organizaciones reescriban sus planes de recuperación ante casos de desastre y de continuidad del negocio para el 2021 y más allá. La pandemia demostró que los peores escenarios -o escenarios incluso peores de lo que podríamos imaginar- ocurren. También demostró que la recuperación ante casos de desastre y la planificación de la continuidad del negocio nunca volverán a ser iguales.
[Planificación de la DR/BC: Conceptos básicos]
Puesta a prueba de los planes de recuperación en caso de desastre y continuidad del negocio
La mayoría de las empresas tenían planes de recuperación en caso de desastre antes de la pandemia, y muchas estaban conscientes de que debían realizar simulacros de práctica, llamados ejercicios de mesa, en los que los actores clave se reúnen para responder a un escenario de desastre. La respuesta a una pandemia suele ser parte de un plan de recuperación en caso de desastre.
De hecho, Dan Johnson, director global de continuidad del negocio y recuperación en caso de desastre de la empresa de gestión de servicios de TI, Ensono, recuerda que, a finales del 2019, estaba realizando juegos de guerra de recuperación en caso de desastre en el sitio de un cliente, y simplemente pasó a seleccionar una pandemia como escenario de prueba.
Pero nadie previó nada parecido a la magnitud, el alcance global y la duración de la pandemia actual. Visto desde el limitado enfoque de TI, es decir, mantener la operación sin interrupciones en el servicio o sin pérdida de datos, -la parte de recuperación de la ecuación-, la pandemia no presentó problemas para los que TI no estuviera preparada para manejar. Después de todo, el virus no cortó la energía, no bloqueó los servidores ni infectó las redes con malware.
Como desafío para la continuidad del negocio -que es la disciplina encargada de mantener los procesos de negocio, coordinar la respuesta en lo que concierne a las personas y comunicar tanto interna como externamente- la pandemia expuso algunas deficiencias. "En su mayor parte, los planes de recuperación en caso de desastre seguían siendo sólidos: la recuperación de la tecnología. El mayor impacto se produjo en los planes de continuidad del negocio, que es la recuperación de procesos y personas, asegurándose de que todos los sistemas del negocio funcionen”, afirma Johnson.
La pérdida de datos no fue el problema, agrega Christophe Bertrand, analista senior de ESG Research. Se trataba más de tener a las personas adecuadas en el lugar, y comprender todos los pasos que debían tomarse en términos de cosas como las VPN y las redes. El desafío más obvio fue el repentino requerimiento de que los empleados trabajaran desde casa a tiempo completo. "Algunas organizaciones estaban más preparadas que otras”, afirma Bertrand. "Algunos fueron sorprendidos en cuanto a herramientas de colaboración y la capacidad de apoyar a una fuerza de trabajo remota”.
Las organizaciones no solo necesitaban asegurarse de que los empleados tuvieran el equipo físico y la conexión a Internet correctos, también tenían que proporcionar herramientas de colaboración sólidas y seguras, y tenían que proteger esta nueva y amplia superficie de ataque -conformada por las redes Wi-Fi domésticas- contra el aumento del ransomware dirigido a los trabajadores remotos.
"Hubo muchos problemas. Recibimos muchas llamadas telefónicas de personas en pánico”, particularmente en relación con el tema del ransomware, afirma Doug Matthews, vicepresidente de gestión de productos de Veritas Technologies, que proporciona servicios de información empresarial de backup y recuperación. Las organizaciones necesitaban asegurarse rápidamente de que los terminales estuvieran protegidos, y de que los firewalls empresariales estuvieran configurados para repeler los ataques que pudieran originarse en un terminal no seguro.
Matthews agregó que la pandemia también desencadenó "un movimiento apresurado hacia la adopción de la nube”, incluso en organizaciones que anteriormente se habían resistido a las tecnologías de nube. Esto ha creado lo que él llama una "brecha de resiliencia”, ya que las empresas recién ahora están retrocediendo, leyendo sus acuerdos con los proveedores de SaaS, y dándose cuenta de que sus datos no están necesariamente protegidos.
"Un área que es problemática es SaaS”, afirma Bertrand. "La gente no entiende los SLA tan bien. El hecho de que tenga datos en Office 365 o Salesforce no significa que ellos hagan backups por usted”. Los proveedores de SaaS ofrecen SLAs de disponibilidad, pero eso no es lo mismo que capacidad de recuperación.
"Siempre es responsable de sus datos”, añade Bertrand. Él afirma que las organizaciones deben tomar decisiones sobre qué datos son de misión crítica y, por lo tanto, deben contar con backups. "Salesforce y Office 365 son fundamentales para la misión. Pero ¿qué hay de GitHub o Zendesk? Hay mucho más de lo que parece”.
La pandemia también expuso una falta de previsión en lo que respecta a las redes dentro de la planificación de recuperación en caso de desastre y continuidad del negocio; ya que el cambio repentino de los empleados hacia sitios remotos revolvió los patrones de tráfico de red tradicionales, y creó posibles problemas de ancho de banda.
Ravi Ravishanker, CIO y rector asociado del Wellesley College, afirma que tuvo la suerte de que la universidad haya trasladado recientemente todas sus aplicaciones ERP, servidores web y sistema de gestión del aprendizaje a la nube, porque la universidad no habría tenido el ancho de banda para acomodar a los estudiantes y al personal que debían conectarse desde ubicaciones remotas, si todas esas aplicaciones hubieran sido locales.
El Wellesley College hace la transición al aprendizaje remoto
La pandemia afectó a las industrias de diferentes maneras y la educación superior se enfrentó a un desafío difícil: ¿cómo se cambia repentinamente de las aulas presenciales al aprendizaje completamente remoto?
"Todos nos preparamos para una pandemia, pero nadie estaba preparado para la COVID”, afirma Ravishanker. Afortunadamente, gracias a que las aplicaciones centrales se encuentran en la nube, Wellesley pudo mantener la disponibilidad de sus sistemas para los usuarios finales y los estudiantes sin importar dónde se encontraran.
La diferencia entre un desastre, como un corte de fibra o un corte de energía, y la pandemia de la COVID es que, a mediados de marzo, la gente podría verlo venir y hacer una planificación rápida. "Una de las cosas más fundamentales sobre las que necesitábamos tomar decisiones era la plataforma tecnológica para el aprendizaje remoto. Todos estábamos de acuerdo en que la elección debería ser Zoom”, afirma Ravishanker.
La universidad obtuvo rápidamente una licencia institucional y organizó sesiones de Zoom para los estudiantes, antes de que abandonaran el campus en marzo del año pasado. "Las decisiones se tomaron a un ritmo nunca visto”, añade. Había una pequeña cantidad de estudiantes que tenían computadoras obsoletas o no podían pagar las conexiones a Internet en sus lugares de origen, por lo que la universidad se encargó de esos detalles.
Después de que los estudiantes fueron enviados a casa, la semana siguiente fueron las vacaciones de primavera, por lo que el equipo tuvo algo de tiempo para capacitar a los maestros antes de que comenzaran las clases remotas. Comenzaron con lo básico y luego, con el tiempo, pasaron a funciones más avanzadas, como la creación de salas para grupos pequeños y la gestión de chats.
Cuando terminó el semestre, el equipo llevó a cabo sesiones informativas con los profesores y comenzó a prepararse para el semestre de otoño en el que aproximadamente la mitad de los estudiantes estaban en el campus y la otra mitad estaban a distancia.
Tener que soportar dos sistemas a la vez creó desafíos tecnológicos, así como problemas como asegurarse de que las aulas estuvieran configuradas para el distanciamiento social y garantizar que todos siguieran los protocolos COVID de la universidad, como usar máscaras. Como los estudiantes usaban máscaras, era difícil ser escuchado, por lo que el equipo proporcionó micrófonos adicionales en cada salón.
En medio de los desastres, siempre hay aspectos positivos. Algunos profesores han informado que la opción de chat en Zoom ha dado lugar a que más estudiantes intervengan, de otra forma podrían haber sido reacios a levantar la mano y hablar públicamente. Y Ravishanker afirma que la crisis ha acelerado la adopción de tecnologías digitales como Zoom, que probablemente seguirán utilizándose, incluso después de que termine la pandemia.
En Ensono, la empresa de administración de servicios de TI, todos tenían laptops y muchos ya estaban trabajando desde casa, por lo que eso no fue un problema. La empresa se aseguró de que los empleados se conectaran a través de una VPN y se amplió el ancho de banda para adaptarse al mayor tráfico de los trabajadores remotos. En cuanto a la continuidad del negocio, el CEO llevó a cabo reuniones públicas periódicas con los empleados, y se animó a los gerentes a llamar a los empleados con frecuencia. Los clientes también se mantuvieron informados.
En este punto, los empleados de Ensono todavía están trabajando desde casa, y Johnson no prevé que los empleados vuelvan alguna vez a su horario de trabajo previo a la pandemia. Parece más probable que algunos empleados trabajen desde casa de forma permanente, y otros adopten un modelo híbrido de 2-3 días a la semana en la oficina.
Una vez que se produzcan decisiones como esa en organizaciones de todo el mundo, los planes de recuperación en caso de desastre tendrán que modificarse. Por ejemplo, muchas empresas tienen sitios de backup físicos equipados con computadoras, teléfonos, etc., para que los empleados puedan continuar trabajando en caso de que la sede se vea afectada por un desastre. Pero esas instalaciones resultaron inútiles durante la pandemia porque no estaban diseñadas para el distanciamiento social, y si los empleados pueden hacer su trabajo desde casa, tal vez sea hora de abandonar esos sitios.
De manera similar, a medida que las empresas mueven sus datos de backup a la nube y muchas recurren a la recuperación en caso de desastre como servicio (DRaaS, por sus siglas e inglés), tal vez sea el momento de reconsiderar la necesidad de poseer y operar un sitio de backup de datos físicos.
El futuro de la recuperación en caso de desastre y la continuidad del negocio
Como resultado de la pandemia, la recuperación en caso de desastre ha pasado de estar en un segundo plano a estar a la vanguardia de la planificación de la TI de las empresas. ESG preguntó a 600 profesionales de TI en América del Norte y Europa Occidental sobre sus intenciones de gasto para el 2021, e indicaron que la recuperación en caso de desastre era una de las principales prioridades. Por ejemplo, la recuperación en caso de desastre como servicio (DRaaS) se ha disparado debido a la COVID, de acuerdo con la firma de investigación, Markets and Markets, que pronostica que el mercado global de DRaaS aumentará 23,3% al año de aquí al 2025. "El mercado DRaaS seguirá creciendo después de la COVID-19, a medida que más empresas migren la infraestructura de TI a la nube, impulsen la continuidad del negocio y mejoren las operaciones de TI”, según el informe.
Además de la presión sobre los ejecutivos de TI en la era posterior a la COVID, Bertrand señala que los requerimientos de negocio para los tiempos de la recuperación de los datos se han reducido de horas a minutos. Y el 15% de los encuestados en la encuesta de ESG afirma que sus unidades de negocio no tolerarán ningún tiempo de inactividad.
Además de eso, las organizaciones ahora pueden tener datos en múltiples nubes públicas, en aplicaciones SaaS sobre las que las organizaciones no tienen control directo, así como on premises. En este mundo de la nube híbrida, "es necesario contar con soluciones que protejan las aplicaciones de misión crítica de una manera que sea congruente con los objetivos del negocio”, afirma Bertrand.
La buena noticia es que existen herramientas automatizadas que pueden ayudar. Proveedores como Collibra, Digital Guardian y Varonis pueden ayudar a las empresas a automatizar la clasificación de los datos. Zerto, Veeam, Unitrends y otros proporcionan herramientas de prueba de recuperación en caso de desastre automatizadas y no disruptivas como parte de sus amplias plataformas de DR/BC. Y proveedores como Rubrik, Cohesity y Actifio ofrecen plataformas de gestión y protección de datos muy automatizadas, diseñadas para ambientes de nube híbrida.
Los ejecutivos de TI que piensan estratégicamente sobre la protección de datos también deben considerar el concepto de uso dual. Por ejemplo, si hay datos de backup en la nube, podría ser una oportunidad para aplicar analítica en esos datos, con el fin de soportar los esfuerzos de transformación digital de la empresa.
"Aún queda mucho trabajo por delante”, afirma Bertrand. "Definitivamente no es el momento de ceder”.
Basado en el artículo de Neal Weinberg (Network World) y editado por CIO Perú