Si la interrupción de CrowdStrike ha puesto de relieve algo para los CIO, es que las empresas modernas dependen de un número cada vez mayor de sistemas interconectados, cualquiera de los cuales puede paralizar las operaciones de negocio fuera del control de los directores de Sistemas de la Información.
Como resultado, las cadenas de suministro de software y la gestión de riesgos de proveedores se están convirtiendo en conversaciones cada vez más vitales (y frecuentes) en la C-suite hoy en día, ya que las empresas tratan de reducir su exposición a las interrupciones y los problemas de continuidad de negocio de los proveedores clave de los que dependen sus negocios.
Una de estas áreas que está recibiendo más atención hoy en día es la copia de seguridad y recuperación de SaaS, algo que muchos CIO han dado por sentado hasta la fecha, dejando que sus proveedores de SaaS no sólo ofrezcan un tiempo de actividad superior a cinco nueves, sino que también sean las únicas entidades que realicen copias de seguridad y recuperen los datos de SaaS, que son cada vez más vitales para las operaciones basadas en datos de las empresas.
“Experimentamos el impacto de que uno de nuestros proveedores de SaaS, OpCon, no tuviera un plan sólido de recuperación ante desastres durante la interrupción de MS Azure Central Region”, afirma Gary Jeter, director de Tecnología de TruStone Financial. “Los trabajos de procesamiento nocturno se retrasaron significativamente, lo que tiene un gran impacto en nuestra cooperativa de crédito y en nuestros miembros”. “Esto ocurrió la misma tarde que el incidente de CrowdStrike”.
Jeter, al igual que muchos líderes de TI, se está tomando más en serio la protección contra los percances de SaaS que afectan a su negocio.
“Ahora le estamos prestando mucha más atención”, afirma. “Aunque todavía no lo hemos implantado, lo incluiremos en nuestros procesos de gestión y selección de proveedores. También tenemos previsto ampliar nuestras evaluaciones de ERM [gestión de riesgos empresariales] para incluir un RD más exhaustivo del proveedor de SaaS para determinar qué plataformas necesitamos asegurarnos de que tienen una estrategia de mitigación”.
La firma de investigación Gartner predice que, dentro de tres años, más del 75% de las empresas darán prioridad a las copias de seguridad de las aplicaciones SaaS y de los datos almacenados con proveedores SaaS, frente al 15% actual.
El aumento de la demanda de seguros de copia de seguridad SaaS -considerado crítico para la continuidad del negocio- se produce a raíz de la interrupción CrowdStrike-Microsoft que afectó a las empresas a nivel mundial este verano.
También refleja la creciente cantidad de datos empresariales almacenados en soluciones SaaS: Se prevé que el gasto en SaaS de los clientes empresariales en todo el mundo crezca un 20% hasta alcanzar un total de 247.200 millones de dólares en 2024 y se prevé que llegue a casi 300.000 millones de dólares en 2025, según Gartner.
La gestión de riesgos de proveedores ocupa un lugar central
Para los CIO preocupados por la protección de los datos de SaaS, Gartner sugiere investigar a sus proveedores para garantizar que la protección y recuperación de datos se incorpora al aspecto de gobernanza de las operaciones del proveedor de SaaS. Los CIO también deben verificar la capacidad de sus proveedores de SaaS para recuperar datos en todos los escenarios de pérdida.
“Muchas soluciones SaaS tienen algunas capacidades para realizar copias de seguridad de los datos de los clientes, pero su propósito principal no es el beneficio directo del cliente para restaurar datos de problemas relacionados o infligidos por el cliente. La copia de seguridad del proveedor se utiliza para resolver problemas relacionados con el proveedor, no necesariamente los generados por el cliente”, afirma Michael Hoeck, analista y director senior de Gartner. “Un principio general de las aplicaciones SaaS es la responsabilidad compartida de los datos”.
Si bien la empresa de análisis de datos Mathematica no se vio directamente afectada por la interrupción de CrowdStrike, varios de sus proveedores de SaaS se vieron afectados, incluido uno que es un sistema crítico para el negocio de Mathematica, dice el CIO Akira Bell, que fue finalista del Premio al Liderazgo CIO del MIT para 2024.
“No hemos empezado a hacer nuestras propias copias de seguridad fuera de lo que el proveedor de SaaS está contratado para hacer, aunque yo diría que es una consideración creciente”, dice Bell. “Cuando miro nuestras capacidades de recuperación, un área de creciente preocupación son nuestras aplicaciones SaaS críticas. En un escenario de cadena de suministro, nuestros terceros pueden ser la razón de que no tengamos copia de seguridad. Una capa adicional de redundancia puede llegar a ser crítica”.
Integrar soluciones de copia de seguridad como servicio es necesario para proteger las cargas de trabajo almacenadas en la nube y garantizar la continuidad operativa, sostiene Gartner. Aunque algunos proveedores de SaaS ofrecen servicios básicos de copia de seguridad sin coste o a bajo coste, los CIO están explorando formas más completas de proteger sus activos de datos en SaaS y asegurarse de que tienen un método de recuperación de desastres listo para funcionar en caso de que sus soluciones SaaS fallen, afirman los analistas de Gartner.
“No todos los SaaS tienen capacidades de copia de seguridad para su propio producto, y en muchos de los que sí las tienen, esas capacidades de copia de seguridad nativas son rudimentarias”, afirma Johnny Yu, que dirige la investigación sobre copias de seguridad SaaS de IDC. “Salesforce también tiene algún tipo de función de copia de seguridad rudimentaria, aunque no creo que cobren extra por ello”.
Microsoft 365, por ejemplo, realiza copias de seguridad de los datos de forma nativa y periódica, y los usuarios pueden volver a estas copias de seguridad, pero existen limitaciones. Por ejemplo, no pueden restaurar archivos individuales, correos electrónicos o conversaciones de Teams, explica Yu.
“La principal conclusión es que cada proveedor de SaaS gestiona la protección de los datos de los clientes de forma diferente, y nunca se sabe si esos datos están protegidos”, afirma Yu. “Las únicas garantías de las que suelen ser responsables los proveedores de SaaS tienen que ver con el tiempo de actividad y la accesibilidad de su software”.
El ‘backup’ como servicio gana adeptos
Yu, de IDC, respalda la afirmación de Gartner de que los clientes empresariales están ahora explorando proveedores que ofrecen backup como servicio, en el que los proveedores de soluciones empaquetan la protección de datos de tal manera que los clientes no tienen que comprar o gestionar su propia infraestructura de backup.
La mayoría de los proveedores de protección de datos venden una versión BaaS de su producto, entre ellos Veeam, Commvault y Cohesity, afirma Yu, mientras que otros como Druva, Backblaze y Carbonite podrían considerarse más “especializados” en BaaS.
Los CIO que esperan esta protección de forma inmediata están en peligro.
Tom Barnett, CIDO de Baptist Memorial Health Care en Memphis, conoce bien los riesgos, pero él – como otros líderes de TI que escuchan a los ejecutivos de negocios preguntar: “¿Por qué necesitamos copias de seguridad si los datos están en la nube?” – está en un aprieto.
“Es algo que ha estado en nuestro radar y con lo que es algo difícil argumentar a favor de la financiación”, dice Barnett. “Se necesita mucha educación y una discusión a nivel ejecutivo para alinear esto con la gestión de riesgos empresariales, aprovechando los resultados de las auditorías y cotejándolos con las políticas de retención de datos, todo lo cual puede ser tedioso y llevar mucho tiempo”.
Patty Patria, CIO del Babson College, que utiliza Microsoft Copilot para tareas administrativas y eficiencias para los estudiantes, se siente cómoda con lo que necesita en este momento.
“Depende de la aplicación SaaS y del nivel de riesgo en torno a ese contenido, así como de los requisitos normativos que pueda tener la organización”, afirma Patria. “La mayoría de las aplicaciones SaaS ya están respaldadas por el proveedor, y la mayoría de los CIO no se dedican a copias de seguridad adicionales, pero hay algunos casos de uso para ello”.
Para poner en perspectiva la confianza de organizaciones como Babson en Microsoft, Yu de IDC dice que Microsoft ofrece Microsoft 365 Backup como servicio, con un período de retención de hasta 1 año, puntos de restauración tan pequeños como cada 10 minutos (en lugar de cada 12 horas), y restauración granular de correo, información de contacto, elementos de calendario, así como un puñado de otras características por 0,15 dólares por GB al mes para todos los datos que protege.
Read More from This Article: Los CIO estudian las políticas de ‘backup’ de SaaS tras CrowdStrike
Source: News