Cómo asegurar la continuidad de negocio

En un entorno marcado por las ciberamenazas, la creciente dependencia del cloud y una regulación cada vez más exigente, la continuidad de negocio se ha convertido en una prioridad estratégica para las empresas. Para analizar cómo garantizar la continuidad de negocio, Byte TI organizó un webinar que contó con la participación de Matías Sosa, Cloud Specialist Product Marketing Manager en OVHCloud, y Julián Sanz, Solutions Specialist Arsys Cloud Solutions.

Fue Matías Sosa, Cloud Specialist Product Marketing Manager en OVHCloud, quien abrió el debate asegurando que “en el mercado ya se aprecia una cierta madurez en materia de continuidad de negocio, aunque muy desigual según el sector. Sectores como banca, finanzas o telecomunicaciones han avanzado más, empujados por marcos normativos como GDPR, DORA o NIS2, mientras que startups y empresas de retail siguen centrando sus planes casi exclusivamente en el backup y en respuestas reactivas ante incidencias”.

Sosa recordó que algunos comercios electrónicos europeos han descubierto en los últimos años que sus planes no contemplaban fallos simultáneos en infraestructuras o proveedores upstream durante picos de demanda como el Black Friday, con caídas muy costosas para el negocio. Por eso insistió en que “los planes de continuidad deben revisarse cada vez que se producen cambios significativos en la infraestructura y convertirse en un proceso vivo, que se prueba y ajusta de forma periódica”.

Por su parte, Julián Sanz, Solutions Specialist Arsys Cloud Solutions, afirmó que esa brecha se aprecia también al diferenciar por tamaño: “Las grandes empresas tienen más o menos claro cómo tener esa continuidad de negocio, mientras que para muchas pymes sigue siendo una asignatura pendiente”. En su experiencia, “muchas pequeñas y medianas organizaciones cuentan con algún plan de contingencia antiguo, poco desarrollado y orientado sobre todo a copias de seguridad, sin capacidad real de levantar servicios con rapidez en caso de caída”.

Para el responsable de Arsys, el concepto clave que debe guiar la estrategia es la resiliencia, entendida como la capacidad de sobrevivir a un ataque o incidente distribuyendo servicios y evitando depender de un único proveedor. Sanz explicó que “cada vez más grandes compañías están diversificando sus cargas entre varios clouds de forma que, si uno sufre una caída o una incidencia grave, puedan mover al menos las cargas más importantes a otro entorno y minimizar el impacto perceptible para el cliente final”.

Tal y como expuso el portavoz de Arsys, esta aproximación multiproveedor y multicloud incluye no solo la distribución de servicios activos, sino también la posibilidad de tenerlos copiados en un segundo proveedor para poder levantarlos en un tiempo razonable. “El objetivo es no tener todos los huevos en la misma cesta y evitar que un fallo de un proveedor o una zona de disponibilidad se traduzca automáticamente en una parada generalizada del negocio”, afirmó.

Diseño de la arquitectura

El responsable de OVHCloud señaló que el diseño de la arquitectura es decisivo para asegurar la continuidad de negocio y lo resumió en tres bloques básicos del IT: cómputo, red y almacenamiento. Matías Sosa afirmó que “los modelos actuales de múltiples zonas de disponibilidad permiten garantizar la continuidad incluso si un datacenter queda fuera de servicio, cubriendo de un plumazo tanto cómputo como red”. Por eso, según su opinión, “en el plano del almacenamiento es clave disponer de soluciones distribuidas y bases de datos replicadas, apoyándose en motores como PostgreSQL, MySQL o MongoDB y en tecnologías de block storage y replicación entre centros de datos. Este modelo reduce la dependencia del hardware físico tradicional, como las cabinas SAN, y facilita la creación de escenarios de alta disponibilidad y recuperación ante desastres y asegura la continuidad de negocio”.

La importancia de kubernetes

Para el responsable de OVHCloud, el automatismo es otro pilar para asegurar la continuidad de negocio, y ahí entra en juego Kubernetes y la orquestación de microservicios. En su opinión, “Kubernetes permite automatizar el failover, escalar ante picos de demanda y mantener la consistencia entre regiones, facilitando enormemente la vida de los equipos de IT, algo especialmente visible en empresas de pagos que basan su resiliencia en múltiples zonas con replicación activa”.

Según Julián Sanz de Arsys Cloud Solutions, “tecnologías como Kubernetes y las bases de datos distribuidas están impulsando arquitecturas donde las cargas se pueden repartir o mover con relativa facilidad, pero muchas organizaciones con aplicaciones heredadas deben avanzar a través de diseños de disaster recovery bien probados”. Para estos casos, el portavoz de Arsys subrayó la importancia de contar con entornos de recuperación estructurados en otro proveedor, que permitan levantar servicios de forma mucho más rápida que depender exclusivamente del backup.

Herramientas para la continuidad de negocio

Las herramientas parecen ser fundamentales para asegurar la continuidad de negocio, pero Matías Sosa, cree que “antes de hablar de herramientas hay que hablar de estrategia, combinando metodologías, infraestructura y presupuesto disponible”. Entre las prácticas básicas situó la realización de pruebas reales de RTO y RPO, algo habitual en grandes empresas que deben demostrar periódicamente sus tiempos de recuperación.

En este sentido, Sosa destacó metodologías como el caos testing, orientado a simular fallos de red, dependencias externas o incidencias en servicios de terceros, para comprobar el comportamiento real de la arquitectura bajo estrés. También citó las jornadas en las que se simulan caídas de zonas de disponibilidad, corrupción de datos o saturaciones de tráfico, apoyadas en soluciones de observabilidad para documentar lo que sucede y automatizar respuestas.

Por su parte, Julián Sanz cree que “en el ámbito metodológico muchas certificaciones de continuidad de negocio comparten un conjunto de conceptos básicos que todas las organizaciones deberían seguir. El primer paso es siempre un análisis de impacto y evaluación de riesgos que tenga en cuenta no solo la tecnología, sino también desastres naturales, cortes de suministro u otros eventos externos que pocas empresas se han planteado de forma sistemática”.

Para Sanz, “en la práctica el mercado sigue dividido: la gran empresa busca soluciones preventivas, mientras que la pequeña y mediana apuesta por modelos reactivos, condicionada por costes y por una visión de la continuidad como gasto más que como inversión. Muchos clientes arrancan con estrategias basadas en backup y, solo con el tiempo, evolucionan hacia modelos más preventivos que minimizan el riesgo de paradas prolongadas”.

Matías Sosa apuntó que el auge del ransomware, la presión regulatoria y el coste del downtime han desplazado la demanda hacia enfoques preventivos. Aun así, reconoció que muchas pequeñas empresas tienen dificultades para cuantificar el impacto económico y reputacional de estar horas o días fuera de servicio, lo que las lleva a seguir trabajando de forma reactiva.

La importancia del backup en la continuidad de negocio

El responsable de OVHCloud fue tajante al abordar el papel del backup: “sigue siendo esencial, pero ya no basta por sí solo. Es importante realizar copias inmutables para mitigar el ransomware, replicación en distintas regiones o zonas de disponibilidad y cifrado fuerte tanto en tránsito como en reposo, porque si no probamos el backup, no hay backup”.

El portavoz de Arsys Cloud Solutions coincidió plenamente y recordó que “el backup es la última línea de defensa: si se pierde o se corrompe, ya no quedan datos que recuperar. De ahí la importancia de contar con múltiples copias, al menos una inmutable, y reforzar el acceso con autenticación multifactor y políticas de identidad y acceso que dificulten a los atacantes comprometer los repositorios de copia”.

Finalmente, ambos ponentes cuáles van a ser las tendencias de los próximos meses. Julián Sanz, Solutions Specialist Arsys Cloud Solutions, destacó “la generalización de arquitecturas de disaster recovery diseñadas y probadas, que permiten levantar entornos completos en otro proveedor con tiempos de reacción mucho menores que los modelos basados solo en backup”. Sanz, subrayó, además, que la tecnología debe ir acompañada de pruebas regulares, porque sin test reales no hay garantías de éxito cuando ocurre un incidente.

En el ámbito metodológico muchas certificaciones de continuidad de negocio comparten un conjunto de conceptos básicos que todas las organizaciones deberían seguir

Por su parte, Sosa, enumeró como tendencias clave las zonas de disponibilidad en sectores regulados, la automatización del failover mediante infraestructura como código y enfoques SRE, la adopción de zero trust para proteger datos durante incidentes y el desacoplamiento de aplicaciones mediante microservicios. Para el portavoz de OVHCloud, “la observabilidad se ha convertido en un pilar básico de cualquier arquitectura resiliente, y las infraestructuras híbridas permiten combinar baja latencia local con resiliencia distribuida en la nube, alineando la continuidad con auditorías y normativas presentes y futuras”.

En este contexto, ambos expertos coincidieron en el papel estratégico de los partners especializados para ayudar a las organizaciones a diseñar, implementar y operar planes de continuidad de negocio adaptados a su realidad. El partner, según Sosa, “aporta la capa de integración, ayuda a definir la estrategia, configura políticas de seguridad y fuerza muchas veces la realización de pruebas periódicas que garantizan que el plan funciona cuando realmente se le necesita”.