Los ataques terroristas del 11 de Septiembre de 2001 sobre el World Trade Center en Nueva York marcaron un antes y un después en todos los aspectos políticos, sociales, económicos y también, por supuesto, en lo que se refiere a tecnologías de la información. Nunca antes fuimos tan conscientes de nuestra total inmersión en la Sociedad de la Información, hasta el punto de que, como afirma Juan Ignacio Pérez Martín, responsable de Marketing de Almacenamiento de Sun, “se ha llegado a una situación en la que si los sistemas de información se detienen los negocios se detienen”. El desastre ocurrido en Estados Unidos proporcionó datos reales acerca del número de empresas que podían verse afectadas de manera directa o indirecta por un desastre de tal magnitud. Así, según diversos informes, entre 9.000 y 14.000 pequeñas y medianas empresas se vieron afectadas por este ataque terrorista. En cuanto a las grandes empresas se refiere, no se disponen de datos sobre el impacto que tuvo esta acción sobre sus procesos, pero se supone que éste fue menor que sobre las pequeñas y medianas empresas, debido probablemente a la mayor distribución geográfica de sus dependencias y de sus sistemas de información. En lo que se refiere a los proveedores de servicios de contingencia y continuidad de negocio, éstos vieron como más de 1.200 de sus clientes tuvieron que activar sus planes de contingencia como consecuencia del ataque terrorista.
Esta mayor dependencia de las organizaciones respecto a los sistemas de información ha ido conformando la estrategia de continuidad de negocio y recuperación ante desastres que actualmente existe. Sara Martínez, responsable de soluciones de Almacenamiento Enterprise de HP España, opina a este respecto que “actualmente se debe evaluar el plan de contingencia como un paso adicional a la contratación del típico seguro, ya que éste únicamente indemniza los daños sin tener en cuenta el impacto del desastre sobre el negocio, pudiendo ser este impacto la desaparición de la empresa”. José Ramón Riero, presidente de Ágora Solutions destaca que según informes recientes de la firma analista Datamation, “el 70 por ciento de los negocios sufre una caída de sistemas al año, con un coste medio de 76.000 euros a la hora. Estos elevados costes derivan en que cerca del 40 por ciento de las compañías que han sufrido un desastre de estas características sin tener un plan de disaster recovery nunca se han recuperado”.
Dentro de los planes de contingencia, hay que valorar todos los elementos que pueden incidir en la continuidad del negocio. “Para Silicon Graphics, no existe un sistema que juegue un papel más importante que otro. Todos tienen la misma importancia. Tengamos en cuenta que si tenemos el almacenamiento redundante, pero no tenemos redundantes los servidores o los elementos de conectividad, una caída del servidor o del sistema de conectividad puede suponer una caída total del sistema” subraya Rafael Grimán, ingeniero de sistemas de SGI.
Sin perder de vista esta idea, también hay que resaltar que una característica de la información y los datos de la compañía es que “todo puede ser sustituible y alcanzable en un momento dado en más o menos tiempo, pero la información del negocio no puede proporcionarla nadie de nuevo”, explica Victoria Alonso, directora de Business Development de EMC Iberia. Por este motivo, uno de los elementos esenciales dentro de cualquier plan de contingencia es asegurar y garantizar el acceso a los datos críticos de la compañía. Fernando Martín, director técnico de Symantec Iberia insiste en ello y afirma que “sin duda la información es el valor de una empresa y la pieza fundamental a preservar y proteger es el dato, por lo tanto lo primero y más importante a tener en cuenta cuando se diseña un plan de contingencia y una recuperación ante desastres son los datos, el tipo de los mismos, la vida útil que tienen, su estructura, velocidad de recuperación necesaria en caso de desastre, etc”.
La tecnología ha evolucionado en paralelo al concepto de continuidad de negocio, y en la actualidad existen soluciones como NAS o SAN que, según Jesús Carro, consultor senior de Almacenamiento de CA, “permiten la utilización de técnicas de virtualización, copias instantáneas, duplicado de datos y demás, que ayudan a minimizar el tiempo de recuperación de los datos y sistemas”.
La evolución del concepto de disaster recovery ha llevado a las empresas a pasar de incluso no tener sistemas de back up o tener unos más que precarios sistemas de copia de seguridad de algunos datos, a la construcción de centros de contigencia en los cuales se replican la integridad de los sistemas de información originales, sistemas de alimentación, refrigeración, personal, etc. todo ello de manera redundante. Anteriormente, recuerda Victor Eduardo Dutsch Franco, director asociado-gestor de producto BRS de Telefónica Empresas, “esta redundancia se producía por medio de dispositivos de respaldo móviles como cintas o cartuchos. Actualmente, la reducción de costes de disco, las mayores posibilidades de gestión y aislamiento de los dispositivos y, sobre todo, la mayor velocidad de transmisión de datos permiten replicar el almacenamiento en locaciones geográficas distantes”. Junto a la dispersión geográfica, otra característica es que “la entrada de facto de tecnologías de cluster y replicación han hecho que no solo se consiga alta disponibilidad de las aplicaciones sino incluso de los “sitios” o ubicaciones completas, de tal manera que hemos pasado en los últimos años de la disponibilidad del dato, a la de la aplicación e incluso a la del servicio y por tanto del negocio. Esta última considerada como un paso más al disaster recovery y denominada Bussiness Continuity” explica Fernando Martín, de Symantec.
Alejandro Magarzo, responsable de las Soluciones de Continuidad y Recuperación de Negocio de IBM España indica como estos conceptos han cambiado su contenido, ya que “inicialmente, los servicios de continuidad y recuperación del negocio estaban orientados a la realización de copias de seguridad de los sistemas principales de la empresa. Actualmente, estos servicios tienen un alcance mucho más amplio que va más allá de todo lo relacionado con la recuperación de los sistemas informáticos y entra en aspectos relacionados con la continuidad del negocio, es decir asegurar que no haya ninguna interrupción en las operaciones de la empresa”.
Por este motivo, con el fin de minimizar el impacto que en los negocios pueden tener determinados eventos de desastre, existen lo que se han venido en denominar servicios de contingencia. “Estos servicios, que tradicionalmente se han denominado servicios de recuperación de desastres (disaster and recovery services), se denominan actualmente Servicios de Continuidad de Negocio (Business Continuity Services o BCS), con el fin de poner énfasis en las estrategias de continuidad de los negocios más que en las estrategias basadas exclusivamente en la recuperación de los mismos”.
La consecuencia de estas estrategias, que pasan por “la redundancia de todos los elementos hardware en los sistema de almacenamiento”, como señala Victoria Alonso, de EMC, ha sido que las compañías pudieran “diseñar sus planes de expansión geográfica con mayor flexibilidad. En cualquier lugar del mundo puede haber un almacén si puedo instalar una parabólica” concluye Manuel Monterrubio, CEO de Alhambra-Eidos.
Aunque el coste del almacenamiento de datos se ha elevado algo debido a estas políticas, por otro lado el importe del terabyte ha disminuido mucho y la mengua de riesgos ha potenciado la inversión en estas áreas.
Las multinacionales más avanzadas entre las que se incluyen sectores como el financiero, de seguros y telecomunicaciones- no dudan en disponer de dos centros de contingencia en los que los sistemas de almacenamiento funcionan a modo de espejo, de modo que la información se graba en ambos a un tiempo y no existe pérdida de información. La tendencia actual es incluso disponer de múltiples sites distantes entre sí. Sin embargo, esta decisión tiene su contrapartida en el coste que supone dicha replicación de sistemas. Por este motivo, a la hora de decidir los sistemas que implantar hay que tener en cuenta varios parámetros, como la criticidad de la información o el tamaño de la empresa. “Los departamentos de TI tienen que dar respuesta a los requerimientos del negocio pero sin aumentar sus presupuestos. Asimismo, se trata de hacer alcanzables sistemas de protección de la información no sólo a empresas grandes sino también a empresas de tamaño medio y dependiendo de lo que necesiten en cada caso” puntualiza la directora de Business Development de EMC Iberia.
El plan de contingencia de una organización debe tener en consideración los servicios que está proporcionando a sus clientes y el nivel de criticidad asociado a los mismos. “Para ello, se definen una serie de parámetros, denominados RTO (Recovery Time Objective) y RPO (Recovery Point Objective), que definen los tiempos que un determinado servicio puede estar parado desde la existencia de un desastre y la cantidad de datos que se disponen en ese momento para poder proporcionar dichos servicios”, asevera Fernando Egido, director de Ventas para España de Brocade quien añade que “el análisis de impacto o BIA en sus siglas en inglés , es una de las fases principales en este tipo de proyectos, ya que se analizará el entorno del cliente, se determinarán los servicios más críticos de la organización que deben ser objeto del plan de contingencia, se definirán los parámetros RTO y RPO para cada servicio y se decidirá cual es la mejor manera de garantizar la disponibilidad de la información en la organización”. Si el RPO y el RTO del plan de contingencia no son muy rigurosos, ambas tecnologías podrían ser cubiertas con un sistema de recuperación frente a desastres basados simplemente en el back up a cinta y su recuperación posterior.
HP define tres tipos de servicios dentro de su estrategia BRS (Servicios de Recuperación de Negocio) que puede servir como ejemplo a la hora de determinar qué diferentes niveles de protección puede obtener una empresa:
-Servicios tolerantes a desastres, para conseguir un RTO en menos de ocho horas y un RPO en menos de una hora.
-Servicios de recuperación de negocio, para conseguir un RTO en un plazo de 8 a 72 horas, y un RPO en menos de 24 horas.
-Copia de seguridad y Servicios de recuperación, para un RTO de más de 72 horas y un RPO de más de 24 horas.
Alonso de EMC, resume la clave de un correcto plan de contingencia para los sistemas de almacenamiento en “proporcionar diferentes niveles de protección para que se pueda adaptar a sus diferentes requerimientos dentro de lo que es la información de su negocio al menor coste posible”.
Alejandro Magarzo de IBM, hace hincapié en que, dada la dependencia de los sistemas de información, “cualquier empresa debe contar con su propio plan de continuidad de negocio porque el acceso inmediato a la información es un ingrediente fundamental para que una empresa sea competitiva”. No obstante, como ya hemos mencionado, las soluciones son diferentes en función de la criticidad de la información y de los presupuestos y cantidad de información almacenada. Van desde la más básica, copiando la información en dispositivos de cintas para poder recuperar dicha información en sistemas alternativos en caso de desastre, hasta implantar soluciones de replicación de datos, utilizando soluciones a varios niveles (replicación basada en servidores, en discos, o en la SAN) garantizando la disponibilidad de los datos entre sistemas, hasta implantando soluciones de clustering geográfico permitiendo dar servicio durante 24×7. Para Brocade, “es importante definir soluciones de interconexión de redes SAN en los proyectos de disaster recovery, para facilitar al máximo la conectividad entre recursos locales y remotos. Para ello, la compañía dispone de mecanismos de routing que permiten interconectar redes SAN manteniendo independiente la integridad de las mismas, y sin extender dichas redes que supondrían un riesgo en caso de caída de comunicaciones. La conexión de las redes puede ser en una misma ubicación o remota, bien utilizando dispositivos DWDM o mediante conexión de redes IP” explica Fernando Egido.
Por su parte, Symantec insiste en disponer desde la protección del propio dato y de recuperación de PCs en caliente (LSR) hasta soluciones complejas de recuperación de un centro en otra ubicación. Es decir, cubre los cuatro niveles necesarios en una estrategia de recuperación de desastres, comenzando por el primer nivel de back up o salvaguarda del dato (empleando copias a cintas, a discos o ambos); prosiguiendo por la disponibilidad del dato, con la redundancia de los sistemas de almacenamiento (cabinas de disco, red de almacenamiento) y software de gestión; por la disponibilidad de la aplicación empleando cluster, y poniendo fin con un último nivel, el de disponibilidad de CPD, “para algunos sistemas bastará realizar copias de seguridad y enviar el duplicado de dichas copias a un centro alternativo, mientras que para los sistemas críticos se emplearán copias remotas de los datos mediante sistemas de replicación (síncronos o asíncronos)” indica Fernando Martín.
Respecto a las soluciones de IBM, éstas incluyen tanto la infraestructura tecnológica (hardware y software) como los servicios, entre los que destacan una infraestructura tecnológica ubicada en los CPD de IBM con capacidades similares a la que tiene el cliente en sus instalaciones; servicios de consultoría para la elaboración de un plan de continuidad; servicio de centro alternativo de back up (que permite a las empresas restablecer la actividad de su CPD); servicios de alta disponibilidad y consolidación y respaldo de infraestructura.
Magarzo, de IBM, es optimista y declara que “se trata de un mercado muy activo que evolucionará hacia la puesta en marcha de un mayor número de soluciones en caliente (que permitan realizar una copia remota de los datos de la empresa en tiempo real) que minimicen la pérdida de datos y el tiempo de recuperación y que, al mismo tiempo, garanticen la continuidad de las operaciones del negocio”.
Prosiguiendo por el breve vistazo a los servicios de los proveedores de soluciones de contingencia, llegamos a Telefónica Empresas, cuya estrategia consiste en dar una solución de disaster recovery que sume sus fortalezas como operador de comunicaciones y sus grandes infraestructuras informáticas. Se basan para ello en la explosión de la banda ancha, y la existencia de unas redes de comunicaciones robustas, seguras y rápidas (con velocidades de LAN en grandes distancias) que hacen posible la centralización de servidores departamentales en los Centros de Procesamiento de Datos (evitando duplicar costosas infraestructuras para servidores departamentales y redes de PCs); la replicación de datos online a grandes distancias (sin necesidad de realizar largas copias de respaldo en cinta y moverlas físicamente) y la casi inmediata restauración de “imágenes” de servidores mediante técnicas de “virtualización”, de equipos en cualquier plataforma tecnológica desde diferentes locaciones geográficas.
En el caso de EMC, este proveedor cuenta con diferentes plataformas de protección, tanto en la gama más alta, para consolidaciones y compañías con un gran volumen de información crítica mediante tecnología optimizada de réplica síncrona, como en la gama media también con réplica síncrona pero mediante tecnología mirror view. Otras soluciones garantizan el rearranque de las aplicaciones o la consistencia, es decir, que cuando ocurra un desastre las bases de datos relacionadas continúen sincronizadas y no se produzca inconsistencia de la información.
HP enfoca su oferta (como Sun o Telefónica, por mencionar algunos) en los Servicios de Recuperación de Negocio (Business Recovery Services, BRS). Esta estrategia de BRS permite recuperar los procesos de negocio basados tanto en centro de datos como en oficina, por un coste proporcional al riesgo y al valor real de cada proceso de negocio.
“En función de sus requisitos y presupuesto de continuidad de negocio, le ofrecemos unos servicios de suscripción compartida o exclusiva. Si optase por nuestro servicio de suscripción compartida, mediante el cual varios clientes tienen acceso al mismo equipo e instalaciones, HP garantiza la aplicación de un estricto ratio de suscripción y zona de exclusión adecuada” destaca Sara Martínez.
Sun se apoya en sus partners (posee acuerdos preferentes con los principales proveedores de servicios de BCS de España y Portugal) y dispone de una metodología específica para establecer soluciones de continuidad de negocio. Dicha metodología abarca todas las fases de implantación de un plan de continuidad que se reflejan en soluciones de clustering, software de replicación, almacenamiento, etc. “El coste de implantar en una compañía un plan de contingencia y contratar un servicio de BCS depende en cierta medida del tamaño de la misma y de la solución de continuidad por la que finalmente se opte. Para una empresa mediana, el coste anual de un servicio de BCS podría ir desde los 50.000 a los 200.000 Euros, mientras que para una gran empresa este coste podría llegar a unos pocos millones de euros” corrobora Juan Ignacio Pérez Martín, de Sun.
La consultora Ágora Solutions, destaca la importancia de su labor: “Tan importante como la implantación del plan es su promoción y la creación de una cultura de continuidad de negocio. La consultora es la única que posee esa visión de 360 grados, manteniendo su total independencia de fabricantes de almacenamiento y optando por la mejor tecnología en cada momento” dice José Ramón Riera, presidente de Ágora Solutions.
En el entorno específico de la investigación, donde se necesitan sistemas muy profesionales, se mueve Silicon Graphics, que basa su estrategia en dos pilares: la redundancia en todos los elementos de hardware y la monitorización a través de software, por un lado, y los sistemas de copia de seguridad y HSM con posibilidad de hacer hasta 64 copias de un mismo fichero, sea en local o en remoto.
Nuestro periplo termina con CA, compañía que dispone de tecnología que permite a las empresas efectuar una gestión del riesgo en varios niveles.
El primero se efectuaría sin salir del propio servidor, a través del centro de proceso de datos, lo cual permite una rápida recuperación de un archivo o aplicación borrado o corrupto, en cualquier momento. Si el sistema continúa funcionando no es necesaria la utilización de copias en cinta. Después se realizan copias de seguridad y se utilizan tecnologías de disaster recovery en un segundo nivel, se abordan soluciones de replicación de aplicaciones, con el fin de ofrecer alta disponibilidad entre el CPD y los centros de contingencia remotos, y con soluciones que permiten efectuar las pruebas periódicas de alta disponibilidad. En un tercer nivel, soluciones de consolidación de información en una ubicación central ofrecen la posibilidad de realizar copias de seguridad de manera centralizada. Los sistemas de virtualización en SAN permiten asimismo realizar esta protección de varios niveles en entornos SAN.
En adelante, se prevé que el mercado crezca debido a varios condicionantes, entre ellos, según afirma Rafael Grimán de Silicon Graphics “las nuevas leyes, que exigen a la empresas implantar estos sistemas; la concienciación de las compañías; el abaratamiento de los sistemas informáticos, que permite a las pymes acceder a estas tecnologías y el uso del software libre, que ha incidido en una reducción de precios.
