����������������������������������������������������������������������������������

 

 

Estudio de mecanismos de contingencia en la nube para los servicios tecnol�gicos de un centro de datos en formaci�n

 

Study of contingency mechanisms in the cloud for the technological services of a data center in training

 

Estudo de mecanismos de conting�ncia na nuvem para os servi�os tecnol�gicos de um data center em treinamento

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Correspondencia: francisco.alvarezs@ug.edu.ec

 

 

Ciencias de la Computaci�n

Art�culo de Investigaci�n

��

* Recibido: 23 de abril de 2023 *Aceptado: 12 de mayo de 2023 * Publicado: 01 de junio de 2023

 

1. Docente Universidad de Guayaquil, Ecuador.
2. Docente Universidad de Guayaquil, Ecuador.
3. Docente Universidad de Guayaquil, Ecuador.
4. Estudiante Universidad de Guayaquil, Ecuador.

Resumen

La Recuperaci�n en caso de la afectaci�n de los Servicios, siempre ha sido una preocupaci�n constante, entre los Administradores de la Tecnolog�a de la Informaci�n, pero es reci�n en los �ltimos a�os, con los continuos avances de la Inform�tica en la Nube, en que su implementaci�n generalizada, se ha vuelto viable. En el caso del Centro de Datos de la Carrera de Software, que est� en su etapa inicial, se requiere conocer las alternativas existentes en nuestro mercado, para una implementaci�n posterior, lo cual nos conduce a estudiar las caracter�sticas t�cnicas, operativas y financieras de los servicios DRaaS (Disaster Recovery as a Services) de los tres proveedores de inform�tica en la Nube, con mayor participaci�n del mercado mundial. Esto nos permite elaborar un cuadro comparativo que resume la informaci�n obtenida, y que es una gu�a para un an�lisis posterior, relacionado con las necesidades de la organizaci�n y del Centro de Datos. Este trabajo incluye una prueba de concepto, de los servicios DRaaS de uno de estos tres proveedores, cuyos resultados fueron muy aleccionadores. La conclusi�n general del estudio realizado es que se confirma la viabilidad financiera, t�cnica y operativa, de la implementaci�n de los mecanismos de contingencia contenidos en los servicios DRaaS, para las empresas de todos los tama�os. Tambi�n, se deja establecida la necesidad de que, la selecci�n del proveedor de este servicio para esta organizaci�n incluya la obligatoriedad de realizar una prueba de concepto de todas las alternativas ofrecidas. Omitirla, es un factor de riesgo importante. Finalmente, es necesario ejecutar proyectos subsecuentes, que contin�en, complementen y ampl�en los resultados obtenidos con el presente estudio.

Palabras Clave: Contingencia; DRaaS; Nube; Recuperaci�n; Resiliencia; RPO; RTO.

 

Abstract

Recovery in case of affectation of Services has always been a constant concern among Information Technology Administrators, but it is only in recent years, with the continuous advances in Cloud Computing, that its widespread implementation, it has become feasible. In the case of the Data Center of the Software Career, which is in its initial stage, it is necessary to know the existing alternatives in our market, for a later implementation, which leads us to study the technical, operational and financial characteristics of the DRaaS (Disaster Recovery as a Services) services from the three cloud computing providers with the largest global market share. This allows us to prepare a comparative table that summarizes the information obtained, and that is a guide for further analysis, related to the needs of the organization and the Data Center. This work includes a proof of concept, of the DRaaS services of one of these three providers, whose results were very instructive. The general conclusion of the study carried out is that the financial, technical and operational viability of the implementation of the contingency mechanisms contained in the DRaaS services is confirmed for companies of all sizes. Also, the need is established for the selection of the provider of this service for this organization to include the obligation to carry out a proof of concept of all the alternatives offered. Omitting it is an important risk factor. Finally, it is necessary to carry out subsequent projects, which continue, complement and expand the results obtained with the present study.

Keywords: Contingency; DRaaS; Cloud; Recovery; Resilience; RPO; RTO.

 

Resumo

A recupera��o em caso de afeta��o de Servi�os sempre foi uma preocupa��o constante entre os Administradores de Tecnologia da Informa��o, mas somente nos �ltimos anos, com os cont�nuos avan�os da Computa��o em Nuvem, � que sua ampla implementa��o se tornou vi�vel. No caso do Data Center da Carreira Software, que se encontra na sua fase inicial, � necess�rio conhecer as alternativas existentes no nosso mercado, para uma posterior implementa��o, o que nos leva a estudar as caracter�sticas t�cnicas, operacionais e financeiras do Servi�os DRaaS (Disaster Recovery as a Services) dos tr�s provedores de computa��o em nuvem com a maior participa��o no mercado global. Isto permite-nos preparar um quadro comparativo que sintetiza a informa��o obtida, e que serve de guia para an�lises posteriores, relacionadas com as necessidades da organiza��o e do Data Center. Este trabalho inclui uma prova de conceito, dos servi�os DRaaS de um destes tr�s provedores, cujos resultados foram bastante instrutivos. A conclus�o geral do estudo realizado � que se confirma a viabilidade financeira, t�cnica e operacional da implanta��o dos mecanismos de conting�ncia contidos nos servi�os DRaaS para empresas de todos os portes. Tamb�m se estabelece a necessidade de a sele��o do prestador deste servi�o para esta organiza��o incluir a obriga��o de realizar uma prova de conceito de todas as alternativas oferecidas. A omiss�o � um importante fator de risco. Por fim, � necess�rio realizar projetos posteriores, que d�em continuidade, complementem e ampliem os resultados obtidos com o presente estudo.

Palavras-chave: Conting�ncia; DRaaS; Nuvem; Recupera��o; Resili�ncia; RPO; RTO.

Introducci�n

El estudio de los mecanismos de contingencia en la nube p�blica, que se realiz� con este trabajo, es posible asociarlo con la practica denominada, en ITIL V4 (AXELOS Limited, 2019, p.151), como �Gesti�n de Disponibilidad�, All� se define a la Disponibilidad como �La capacidad de un servicio de TI u otro elemento de configuraci�n para realizar su funci�n acordada cuando se requiera�. Adicionalmente, es preciso destacar que, en la Norma ISO 27002:2022 (International Organization for Standardization, 2022, p.8) se establece que la Disponibilidad es una de las propiedades de la Seguridad de la Informaci�n (p.8), o sea que es uno de los tres atributos mediante el cual se puede establecer si los diversos controles ayudan a preservarlo o no.

Las consideraciones para la Disponibilidad est�n presentes en todo servicio que est� funcionando, ya que, ante la presencia de eventos que perturben o afecten su estabilidad, es necesario actuar para que los servicios tecnol�gicos que se est�n entregando no se interrumpan. Acorde con Chakraborty & Chowdhury (2020). se pueden tener fallas de distinto origen:

Amenazas f�sicas (fallas de Hardware, interrupci�n del servicio de energ�a el�ctrica, eventos naturales, terrorismo, huelgas, etc.) y amenazas l�gicas (fallas del Software, ataques de programa maligno o ransomware, degradaci�n del rendimiento, corrupci�n de los archivos, etc.).

Es en el momento en que se presenta alguna de las fallas mencionadas, que las actividades que son propias de la pr�ctica de la Gesti�n de la Disponibilidad y de la Continuidad del Negocio (an�lisis de riesgos, su mitigaci�n, planificaci�n para saber qu� hacer ante la ocurrencia de eventos contingentes, la ejecuci�n de las medidas de prevenci�n, etc.), cobran una gran importancia para sostener los planes operativos y estrat�gicos de las organizaciones.

Acorde con Terinte (2018) y de las revisiones efectuadas de los distintos ofrecimientos de los proveedores de la nube p�blica, se ha encontrado con que, el actual� nivel de madurez tecnol�gica y de econom�a de escala, que han alcanzado en estos servicios, los hace una opci�n muy natural para la recuperaci�n en caso de contingencias o desastres, sobre todo, si se la compara con la cl�sica acci�n de construir un Centro de Datos alterno para recuperar los servicios, que es una soluci�n de que requiere inversiones considerables para su construcci�n y operaci�n.

Por esa raz�n, este estudio, se ha realizado con la idea de sistematizar la informaci�n disponible y relacionada con los mecanismos de contingencia que ofrezcan los distintos proveedores de la nube y, de esta manera, confirmar los beneficios y bondades que ofrecen estos servicios de contingencia, facilitar su utilizaci�n, para encontrar el proveedor id�neo que atienda las necesidades de recuperaci�n, para el Centro de Datos de la Carrera de Software.

�

��������� ��Conceptos fundamentales

Dado que este estudio es acerca de los mecanismos de contingencia que ofrecen los proveedores de servicio de la nube p�blica, encaja en una de las facetas de la Tecnolog�a de Informaci�n y Comunicaciones (TIC), que es el que enfrenta el desaf�o de entregar los servicios, sin interrupciones a los usuarios o, al menos, de mantenerlos disponibles durante la m�xima cantidad de tiempo que sea posible.

Trabajar en la optimizaci�n de la disponibilidad de los servicios, es un imperativo muy desarrollado en las organizaciones y empresas de la �poca presente. En las TIC�s se la encuentra en la redundancia de los componentes que forman parte de los servicios, por ejemplo, servidores con doble fuente de poder, UPS�s configuradas con una UPS adicional (se las llama N+1), rutas de enlaces de comunicaciones redundantes, servidores en cl�ster, etc.� Esto se hace necesario, ya que, desde que las organizaciones fueron avanzando en el uso de las TIC�s para optimizar sus operaciones y adquirir ventajas competitivas, el impacto de las interrupciones en los servicios, se hace cada vez mayor e implica inaceptables costos financieros y de imagen ante el mercado.

La evoluci�n que han seguido todas las medidas y procesos destinados a maximizar la disponibilidad e, incluso, a planificar la recuperaci�n de los servicios, ha dado lugar, a que estas consideraciones se apliquen a todo el entorno en el que act�an las organizaciones, no solamente a las TIC�s

As�, desde hace relativamente poco tiempo, se ha desarrollado la denominada Resiliencia Empresarial, la misma que, a m�s de los avances que se han dado con la disponibilidad de las TIC�s, contempla de manera integral, otras �reas. En este apartado, explicaremos los conceptos relacionados con ella. Posteriormente, detallaremos las nociones relacionadas con los Servicios en la Nube.

Gibbs et al, (2022), nos plantean considerar la siguiente definici�n de Resiliencia:

�Nos referimos a la resiliencia como un proceso din�mico definido por la Estrategia Internacional para la Reducci�n de Desastres de las Naciones Unidas (UNISDR) como "la capacidad de un sistema, una comunidad o una sociedad expuesta a peligros para resistir, absorber, acomodarse y recuperarse de los efectos de un peligro de manera oportuna y eficaz, incluso mediante la preservaci�n y el restablecimiento de sus estructuras y funciones b�sicas esenciales" (p. 2).

El siglo XXI, desde sus inicios, se ha caracterizado por ser una era de incertidumbre econ�mica y geopol�tica. En Wolbers, J., Kuipers, S., & Boin, A. (2021) se registran varios incidentes de gran impacto: el ataque a las torres gemelas del 11 de septiembre/2001, el tsunami en el Oc�ano Indico (2004), el Hurac�n Katrina (2005), la crisis econ�mica y financiera de 2008, la erupci�n volc�nica en Islandia 2010), el terremoto de Jap�n, en 2011 que provoc� da�os en la Central Nuclear de Fukushima, los ataques terroristas en diversas partes del mundo, el cambio clim�tico, la pandemia de COVID-19 (2020-2022) y m�s recientemente, la Guerra entre Rusia y Ucrania (Brende & Sternfels, 2022, p. 5)� Todos ellos han perturbado o perturban aun, el funcionamiento de las organizaciones que operan en su �rea de impacto; en particular los dos �ltimos casos, han implicado una afectaci�n global, en todas partes del planeta. En Aldea, A., Vaicekauskaitė, E., Daneva, M., & Piest, J. P. S. (2021) se establece que, en los d�as presentes, esto se ha manifestado mediante el impacto a la cadena de suministro de los productos de tecnolog�a, tales como computadores, tel�fonos y otros equipos de redes y comunicaciones. (Sanchis & Poler, 2020)

En Sanchis & Poler (2020), se plantea que si a esto, adem�s se agrega las transformaciones que ha sufrido el mercado., esto es, mercados y clientes m�s exigentes, la velocidad con que se desarrollan o evolucionan las tecnolog�as, entonces se puede apreciar la necesidad, en el af�n de sobrevivir y crecer, de desarrollar la resiliencia de manera integral, que cubran todas las �reas del entorno de las organizaciones, (p. 502).

Sanchis & Poler, (2020) nos dicen que

�El estudio de la resiliencia aplicado al mundo empresarial ha ido creciendo en las �ltimas d�cadas debido al gran dinamismo del entorno en el que operan las compa��as. �reas afines a la gesti�n de la resiliencia como la gesti�n de riesgos, la continuidad del negocio, la recuperaci�n ante desastres, no han ido evolucionado a la misma velocidad con la que las empresas precisan para lidiar con las amenazas del entorno y con las situaciones de crisis. Es por ello por lo que nace la gesti�n de la resiliencia como un nuevo enfoque en el que se definan y desarrollen nuevas herramientas que complementen a los enfoques tradicionales para satisfacer las necesidades actuales y el car�cter din�mico del entorno en el que las empresas operan (Sanchis & Poler, 2019a)� (p.502)

 

En la Figura 1, vemos algunas de las clases de resiliencia que se han desarrollado conceptualmente y su relaci�n con la Resiliencia Empresarial (en ingl�s, Organizational Resilience)

 

Figura 1 - Relaciones entre conceptos de resiliencia y la resiliencia organizacional

Fuente: Adaptada de Ruiz-Martin et al , 2018, p. 12

 

Resiliencia y Sistemas de informaci�n

La mayor�a de las organizaciones, dependen de los Sistemas de Informaci�n, para la realizaci�n de sus operaciones. En el caso de que hubiera una disrupci�n significativa, en los sistemas de informaci�n, habr�a un impacto muy alto en sus actividades, ya que muchas de las tareas se tendr�an que realizar manualmente y/o en papel.� Imaginemos al correo en cartas o la contabilidad registrada en libros de papel, por mencionar los casos menos complejos.� Por esta raz�n, cuando se planifican las actividades durante las crisis en las organizaciones, es de la m�xima importancia, examinar la continuidad de los servicios clave de los Sistemas de Informaci�n.

 

Gesti�n de la continuidad del negocio

�Crask, 2021 establece que, el t�rmino �Continuidad del Negocio se usa para describir la capacidad de una organizaci�n, para continuar o recuperar las operaciones, que despu�s de un incidente disruptivo� (p. 4). El mismo autor plantea que la Resiliencia Organizacional, es un concepto que se usa para describir un enfoque integrado para brindar la continuidad del negocio, junto con aspectos que muchas organizaciones considerar�an parte de la Gesti�n del riesgo operacional

Figura 2 - Marco conceptual para los Sistemas de Informaci�n

Fuente: Sarkar, Wingreen, & Cragg, 2013

 

Se puede apreciar que, entre los factores internos, se incluyen los Planes de Continuidad del Negocio y los Planes de Recuperaci�n ante Desastres.

La Gesti�n de la Continuidad del Negocio, est� regulada por una familia de normas, que est�n bajo la responsabilidad del Comit� T�cnico 292 (Technical Committee, TC 292) de la ISO, que tiene a su cargo toda la normativa que se relaciona con la Seguridad y la Resiliencia:

La realizaci�n de un Plan de Continuidad del Negocio requiere que se haga lo siguiente:

● identificar los procesos y actividades que se considera prioritarios y cr�ticos para que la organizaci�n mantenga sus operaciones y pueda entregar sus productos y servicios;

● identificar los recursos que son necesarios para entregar estos procesos y actividades cr�ticos;

● elaborar y mantener todos los planes de continuidad del negocio, gesti�n de incidentes y gesti�n de crisis, de modo que la organizaci�n pueda responder a todos los impactos que se ocasionan luego de una interrupci�n o crisis;

● capacitar al personal que deber� ejecutar el Plan de continuidad del negocio;

● realizar pruebas peri�dicas del Plan de Continuidad del Negocio validar la efectividad de los planes de respuesta y recuperaci�n de la organizaci�n;

● aplicar un proceso de mejora continua para asegurar que las capacidades de continuidad del negocio permanezcan actualizadas y sean �tiles para la organizaci�n.

 

Figura 3 - Ciclo de Vida de la Gesti�n de la Continuidad del Negocio

Fuente: Adaptada de Crask, 2021, p. 7

 

1.-Analizar: Es el primer paso. Aqu� se realiza el an�lisis del impacto en el negocio para identificar los procesos y actividades cr�ticos de la organizaci�n y determinar las prioridades de recuperaci�n. Los errores u misiones que se cometan en esta fase crucial podr�an resultar en la elaboraci�n de planes de recuperaci�n incompletos.

2.-Dise�ar: esta se definen las estrategias de recuperaci�n y la forma en que se obtendr�n los recursos que necesitan los procesos y actividades cr�ticos. Por ejemplo, estos recursos pueden ser el personal formado necesario para desempe�ar una funci�n concreta, un sistema inform�tico, datos, un proveedor externo o un edificio espec�fico.

Las estrategias y soluciones de recuperaci�n desarrolladas aqu� constituyen la base de lo que se documentar� en los planes de recuperaci�n y deben garantizar que todos los procesos y actividades cr�ticas puedan recuperarse en los plazos acordados y con las capacidades esperadas.

3.-Implementar: Los resultados de las dos primeras etapas del ciclo de vida proporcionan gran parte de los detalles que se necesitar�n para desarrollar el plan, lo que se har� en esta etapa.

4.-Mejorar: Para mejorar el Plan realizado, se incluir�n revisiones de la direcci�n, auditor�as, informes posteriores a los incidentes y, se realizar las pruebas del Plan, dise�adas para validar la eficacia de este. Cada vez que se identifique una mejora a trav�s de los procesos implementados en esta etapa garantizan que las disposiciones de la organizaci�n se actualicen para para reflejar los �ltimos aprendizajes y las buenas pr�cticas.

5.-Incorporar: esta etapa se centra en la formaci�n del personal para garantizar que son capaces de cumplir eficazmente con sus deberes de continuidad de la actividad de la continuidad de la actividad, pero tambi�n incluye la concienciaci�n del personal de la plantilla, en general.

 

Variables de la investigaci�n

Todo dise�o e implementaci�n de soluciones, relacionada con mecanismos de contingencia, tiene como elementos caracter�sticos, las necesidades espec�ficas que se tengan en relaci�n con los tiempos de recuperaci�n y la cantidad de datos que se considera aceptable que no est�n actualizados.

Con ese fin, en forma general, se han definido dos variables que, en su conjunto, van a cubrir las necesidades realistas que tenga cada organizaci�n particular. Dado que estas variables, son definidas para analizar diferentes escenarios que cubran las necesidades de recuperaci�n de la organizaci�n, se las considera.

 

Variables Independientes

La primera variable, es el Objetivo de Tiempo de Recuperaci�n (Recovery Time Objective, RTO)

La norma ISO 22300 la define como �periodo de tiempo tras un incidente en el que se reanuda un producto o servicio o una actividad se reanuda, o se recuperan los recursos� (p.23)

Una vez que ocurre la interrupci�n de los servicios, por un mal funcionamiento o por un desastre, la organizaci�n debe trabajar para que los servicios vuelvan a estar disponibles, en el menor tiempo que sea posible. A este fin, con RTO se define el tiempo m�ximo de tolerancia en que la organizaci�n est� dispuesta a esperar, hasta que el servicio se restablezca, sin que se cause un da�o a su imagen o reputaci�n comercial, operativa o financiera.

Hay casos en los que las interrupciones pueden ocurrir por varios d�as, sin que haya ning�n tipo de consecuencias, y otros casos en los que una interrupci�n de pocos segundos puede causar reclamos o inconformidad de los clientes. Imaginemos, una interrupci�n de Netflix o de Google de pocos segundos o minutos. Con seguridad, ocasionar�a malestar y/o reclamo de los clientes o usuarios.

La determinaci�n de RTO, se debe realizar para todos y cada uno de los servicios que est�n activos en producci�n. Esto se lo realiza en la fase de inicial del Plan de Continuidad de Negocio, que se denomina An�lisis de Impacto en el Negocio (en ingl�s, Business Impact Analysis, BIA).

La segunda variable, es el Objetivo de Punto de Recuperaci�n (Recovery Point Objective, RPO)

La norma ISO 22300 la define como �punto en el que se restablece la informaci�n utilizada por una actividad para que �sta pueda funcionar en la reanudaci�n� (p.23)

La actividad de respaldo de la informaci�n es una pr�ctica muy madura y establecida en los Centros de Datos. Se la realiza con la finalidad de preservar los datos vigentes en un momento espec�fico del tiempo, y brinda la posibilidad de que pueda ser utilizada en caso de que se produzca alg�n inconveniente que afecte la disponibilidad de los datos.

Por lo general, los respaldos se realizan con una frecuencia previamente establecida; por ejemplo, m�s de una vez en el d�a, con respaldos completos o parciales (diferenciales o incrementales).

Esto nos conduce a la situaci�n de que, una vez que se produzca la interrupci�n del servicio, o el desastre, solamente contaremos con los datos que constan en el �ltimo respaldo obtenido. Los datos que se ingresaron, que se modificaron o eliminaron, despu�s de ese �ltimo respaldo, por lo tanto, se perder�n,

El Objetivo de Punto de Recuperaci�n, por lo anterior, nos indica cual es la cantidad de datos que la organizaci�n est� dispuesta a tolerar que se pierdan, ante la ocurrencia de una contingencia.

Los datos de los servicios m�s cr�ticos se deben respaldar con mayor frecuencia que aquellos que son de importancia menor. Los servicios con RPO cercano a cero, requieren que los respaldos se realicen mediante el esquema de conmutaci�n por error o de replicaci�n constante. En sentido opuesto, los respaldos menos frecuentes, conllevan la definici�n de un RPO m�s grande.

La siguiente figura, nos ayuda a relacionar estas dos variables independientes, RTO y RPO, en relaci�n con el momento en que se produce la interrupci�n no planificada (o desastre) del servicio.

 

 

 

Figura 4 - Relaci�n de RPO y RTO con el inicio del desastre.

Fuente: Revista Datacenter, 2013

 

Aqu�, se puede apreciar que, los respaldos solamente se realizan 1 vez por semana (RPO) y que el RTO es de 1 d�a, esto es, los servicios ser�n restaurados hasta 1 d�a despu�s de que ocurri� el desastre.

Variables Dependientes

Una vez que se han definido el RTO y el RPO, para atender las necesidades de recuperaci�n de la Organizaci�n, se deben implementar las soluciones que permitir�n cumplir con los valores definidos.

 

Figura 5 - El Costo de Implementaci�n del Mecanismo de Contingencia � Variable dependiente

Fuente: Arnal Zaragoz� (2020)

 

En consideraci�n de que, generalmente se necesita recuperar la infraestructura, el costo de la recuperaci�n crecer� exponencialmente, cuando se trata de atender un requerimiento de RTO cercano a cero. Las inversiones y gastos por efectuar son considerables. Cuando se cuenta con un RTO mayor, la inversi�n y gastos a considerar, son menores.

Este razonamiento, es similar para el caso de tener que dise�ar una soluci�n que permita cumplir con el RPO definido

Por lo expuesto, resulta evidente que es v�lido considerar al COSTO de implementaci�n de las medidas de recuperaci�n ante las contingencias (o Desastres) como la variable dependiente de este estudio.� El Costo, depende de las definiciones que se hayan hecho de RTO y RPO.

Como se puede apreciar en la Figura 5, el punto de equilibrio que se genera en la intersecci�n de las 2 curvas nos entrega el monto de inversi�n �ptima y el valor de RPO y RTO que se podr�a generar con esa inversi�n. Desde luego, la definici�n de RPO y RTO inicial, debe ser del objetivo prioritario, porque se definen considerando la magnitud del impacto financiero y la afectaci�n a la imagen y reputaci�n de la empresa.

 

��������� ��Resultados

Este estudio nos ha permitido conocer los detalles m�s importantes que conforman los servicios de Recuperaci�n ante Desastres (DRaaS), que ofrecen los tres principales proveedores de la nube con cobertura mundial y que operan en el Ecuador

En forma general, la investigaci�n realizada, brinda una s�lida evidencia de que ahora, con la disponibilidad de los servicios de contingencia en la nube que se han revisado, pr�cticamente todas las empresas, de cualquier nivel (microempresa, peque�a, mediana y grande), est�n en condiciones de mejorar la resiliencia de sus negocios, implementando los planes de recuperaci�n de los servicios y la infraestructura tecnol�gica que le permita mantener activa su operaci�n, a pesar de que se presenten incidentes que tengan un impacto considerable en la disponibilidad de sus servicios de Tecnolog�a de la Informaci�n y Comunicaciones.

Este resultado se sustenta en que, es posible comenzar con una cantidad m�nima de servicios tecnol�gicos o equipos servidores (podr�an ser tan solo un servicio, con un �nico equipo servidor), elegidos de acuerdo a las necesidades o conveniencias de la empresa que los usa- Esto, permite ganar conocimiento y experiencia en las actividades de planificaci�n para recuperarse ante desastres, en la prueba de esos planes y, en el caso de que se ocurra alguna interrupci�n, en la ejecuci�n de esos planes. Todo esto, con una p�rdida de datos (RPO) muy peque�a (que puede reducirse a segundos), con tiempos de recuperaci�n (RTO) del orden de minutos y sin necesidad de tener que superar curvas de aprendizaje largas, complejas y costosas.

Posteriormente, se puede ir ampliando, de una forma muy sencilla, la cobertura de los servicios tecnol�gicos a proteger con estos mecanismos de contingencia, hasta llegar a cubrir la totalidad de las necesidades prioritarias de recuperaci�n que tenga la empresa. Asimismo, en cada ocasi�n en que se incrementen o se incluyan m�s servicios tecnol�gicos en el proceso de recuperaci�n, tambi�n se deben probar, con una frecuencia semestral, el correcto funcionamiento de la recuperaci�n que se ha planificado, para la totalidad de los servicios incluidos. Ahora, a diferencia de lo que ocurr�a hace poco tiempo atr�s, estas pruebas se pueden realizar, sin que se tenga que interrumpir ninguna de las operaciones de la empresa.

Otro factor que impulsa la adopci�n de los servicios de contingencia o recuperaci�n en la nube, es que antes de la disponibilidad de estos servicios en la nube, se ten�a que seleccionar, dise�ar o construir, un centro de datos alterno, para que pueda ser usado, en el momento en que se presente una afectaci�n a la disponibilidad de los servicios, Obviamente, en muchas ocasiones, esto requer�a que las empresas, realicen inversiones de montos considerables, tanto para la construcci�n, como para el equipamiento del centro alterno. De aqu�, se derivaban otras necesidades, tales como instalar y configurar los equipos del Centro de Datos alterno; luego, cuando se produc�an cambios en la infraestructura del Centro de Datos principal, tambi�n se deb�an actualizar los componentes instalados en el Centro de Datos alterno. Otro detalle que hab�a que tener consideraci�n, es la frecuencia con que se actualicen los datos en los equipos alternos. Por lo general, en la gran mayor�a de los casos, las pruebas de los planes de recuperaci�n obligaban a interrumpir las operaciones de la empresa

En el caso de que se empleen los mecanismos de contingencia disponibles en las empresas en el mercado ecuatoriano, los precios a pagar por cada equipo que deba recuperarse o por la infraestructura o los servicios en la nube, que deban utilizarse, est�n en el orden de magnitud de unos pocos cientos de d�lares por mes, por cada equipo, los cuales en el modelo de precios que aplican los proveedores en la nube, solamente se deber�n pagar, cuando sean usados. Esto es un contraste significativo con la situaci�n vigente en la �poca anterior a la disponibilidad de la inform�tica en la nube, en que se ten�an que invertir varias decenas o centenares de miles de d�lares que deb�an agregarse a los gastos recurrentes que estaban relacionados con el pago por el mantenimiento de los equipos, energ�a el�ctrica, aire acondicionado, videovigilancia, etc. del Centro de Datos alterno.

Por otro lado, los tres proveedores investigados (AWS, y AZURE y GOOGLE) cuentan con una arquitectura estable y de utilizaci�n sencilla. Cada uno tiene su enfoque particular, para replicar los datos en su infraestructura de la nube y para la ejecuci�n de los procesos de conmutaci�n por error (Failover) y de conmutaci�n por recuperaci�n (Failback).

Con la encuesta realizada entre los estudiantes de la materia de Seguridad de la informaci�n, nos encontramos que entre ellos existe conciencia acerca del valor que tienen las actividades de prevenci�n de la p�rdida de informaci�n y planificaci�n de la recuperaci�n ante desastres. Sin embargo, en su gran mayor�a (cerca del 80%), admiten no poseer los conocimientos necesarios para realizar estas actividades, por lo que se debe ahondar en la preparaci�n que deben adquirir en esta �rea.� Un hallazgo de estas respuestas, que se considera interesante es que, hay un peque�o porcentaje (alrededor del 20%) de entre esos estudiantes encuestados, que afirma ser conocedor (incluso a nivel experto, cerca del 4%)) de estos servicios DRaaS, lo cual debe ser considerado cuando se estime que es necesario mejorar el nivel de conocimientos de los dem�s estudiantes.

Finalmente, la entrevista realizada, nos permiti� conocer los servicios que actualmente est�n listos para ser entregados a la comunidad de estudiantes, profesores y personal administrativo de la Carrera de Software y los requerimientos de RPO y RTO para esos servicios

 

����������� Propuesta

Se revisa la informaci�n de los servicios DRaaS ofrecidos por los proveedores AWS (Amazon Web Services), Microsoft Azure y Google Cloud Platform).

Los siguientes son diagramas representativos de las Arquitecturas de estos servicios

 

AWS

Servicio DRaaS. AWS Elastic Disaster Recovery

Figura 6 � Arquitectura AWS Elastic Disaster Recovery

Fuente: https://docs.aws.amazon.com/drs/latest/userguide/Network-diagrams.html

Microsoft AZURE

Servicio DRaaS. Azure Site Recovery (ASR)

Figura 7 � Arquitectura Azure Site Recovery

Fuente:https://docs.microsoft.com/es-es/azure/site-recovery/physical-azure-architecture

 

Google Cloud Platform

Servicio DRaaS. Actifio GO

Figura 6 � Arquitectura Actifio GO

Fuente;https://docs.actifio.com/Actifio-GO/PDFs/Introducing.pdf

 

En este estudio, tambi�n se incluy� la realizaci�n de una encuesta a los estudiantes que estaban registrados en la materia Seguridad Inform�tica y una entrevista al responsable de la Gesti�n del Centro de Datos de la Carrera de Software

�

Conclusiones

• Las soluciones DRaaS que ofrecen los tres proveedores, incluyen caracter�sticas tecnol�gicas y ventajas financieras y operativas que permiten superar las objeciones que, en nuestra regi�n, siempre han enfrentado las implementaciones de los Planes de Recuperaci�n ante Desastres. Se evita la necesidad de realizar las grandes inversiones y gastos que antes era necesario realizar, ya que se deb�a emplear un Centro de Datos Alterno, con duplicaci�n de equipos y que demandaban grandes esfuerzos para mantener la sincronizaci�n de las configuraciones y los datos.
• Desde el punto de vista operativo, los servicios en la nube presentan la ventaja de que el RPO se puede reducir a segundos y el RTO a minutos.
• Otra ventaja, es que, una vez que ya se cuentan con los primeros servidores y servicios configurados en el Servicio ofrecido por el proveedor de la nube, agregar otros servidores o servicios adicionales, es relativamente sencillo, Adem�s, las pruebas de aseguramiento del buen funcionamiento de las recuperaciones configuradas o del Plan de Recuperaci�n ante Desastres, se pueden realizar sin necesidad de interrumpir las operaciones de la empresa.
• Es importante destacar que estos tres proveedores cuentan con soluciones t�cnicamente diferentes entre s�, para atender la misma necesidad y que cada uno ofrece una arquitectura distinta. Microsoft ofrece una soluci�n propia, que est� disponible desde el a�o 2014, en tanto que Amazon y Google, ofrecen soluciones que fueron adquiridas a otras empresas. Este detalle que se ha mencionado, son hechos, que no se estiman que sean ventaja o desventaja relativa en la materia de este estudio, salvo quiz�, la mayor experiencia y conocimiento interno que existe en Microsoft acerca de su servicio Azure Site Recovery
• En forma general, las tres soluciones cuentan con caracter�sticas funcionales .que se pueden considerar muy similares. En el proceso de la selecci�n de la soluci�n, es muy importante distinguir si el sistema operativo de la maquina original, esta soportada en todas y cada una de las soluciones DRaaS que se est�n examinando. Tambi�n se deben identificar los eventuales requerimientos de servidores adicionales que tengan esas soluciones, ya que ellos podr�an incrementar el costo de la soluci�n y hacer m�s compleja su operaci�n.
• Se realiz� una prueba de concepto, empleando el Servicio Azure Site Recovery para proteger ante desastres, al Servidor de Active Directory. Esta prueba reviso los mecanismos de replicaci�n de los datos de los servidores y de conmutaci�n por error (Failover). La documentaci�n de Microsoft Azure Site Recovery, indica que, para los servidores f�sicos (como el de Active Directory del Centro de Datos), no est� soportada la conmutaci�n por recuperaci�n (Failback), hacia el servidor f�sico. Esta conmutaci�n por recuperaci�n, si se puede realizar, pero a una m�quina virtual VMware. Esto conlleva la conclusi�n de que, la realizaci�n de las pruebas de concepto de todas las soluciones a ser examinadas sea obligatoria, a fin de evitar resultados inesperados o tomar decisiones inconvenientes.
• Si no se realizan cambios en la infraestructura de los servidore de este Centro de Datos, no es posible concluir de manera objetiva, con un pronunciamiento acerca de cu�l de los tres proveedores es el m�s conveniente para atender las necesidades de Recuperaci�n de Servicios de esta unidad de la Carrera de Software.
• Si se realizan cambios (por ejemplo, que los servidores en funcionamiento sean virtuales con Hyper-V) es de esperarse que podamos contar con Azure Site Recovery como una soluci�n aceptable para los objetivos de servicio de este Centro de Datos.
• Actualmente, la Universidad de Guayaquil, tiene un convenio con Microsoft para usar varios de los productos de la Plataforma Office 365 y que incluye el acceso al Portal de Azure, para toda la comunidad de nuestra Alma Mater. Con Azure se incluye el programa comercial dirigido al sector acad�mico, denominado �Microsoft Azure Dev Tools for Teaching� el mismo que permite a los estudiantes y profesores, el uso de una serie de herramientas, programas y servicios, sin costo adicional

 

Recomendaciones

Luego de la realizaci�n de este estudio y de la prueba de concepto solicitada, es posible elaborar las siguientes recomendaciones:

• La selecci�n del producto DRaaS m�s conveniente, debe incluir la revisi�n de las operaciones de configuraci�n del producto para la replicaci�n de los datos, la conmutaci�n por error (Failover) y la conmutaci�n por recuperaci�n (Failback), ya que eso permitir� establecer las necesidades de otros equipos (servidores f�sicos o virtuales, almacenamiento, procesadores, memoria), software, redes, comunicaciones, seguridades. Adicionalmente, podremos conocer si es que las operaciones Failover y Failback, cumplen con las necesidades de servicio que tenga la empresa.
• Realizar una prueba de concepto, para asegurarse de que, las funciones ofrecidas, cumplen con las necesidades de respaldo y recuperaci�n de los servicios.
• Realizar la implementaci�n de un Plan de Recuperaci�n ante Desastres, con la cantidad m�nima de servicios que sea posible empezar, a fin de que se cumpla exitosamente con la curva de aprendizaje respectiva y se identifiquen los detalles de las operaciones del negocio, de los procesos t�cnicos y administrativos que est�n relacionados con estas medidas que incrementan la resiliencia. Luego, con la experiencia adquirida, se pueden incluir los dem�s servicios ofrecidos, en la secuencia que establezca el an�lisis de riesgos que se haya realizado.
• Cuando haya mayor conocimiento y experiencia en esta materia, buscar la reducci�n de los RTO comprometidos, aplicando la mayor automatizaci�n de los procesos de recuperaci�n que sea posible,
• Realizar, de manera planificada, la realizaci�n de las pruebas de los planes de recuperaci�n, con la periodicidad que permita asegurar que los planes si funcionan correctamente y que el personal conserva las destrezas para actuar cuando llegue el momento de emplear los recursos de recuperaci�n definidos e implementados.
• Incorporar indicadores de Disponibilidad en el control de las actividades del Centro de Datos, que permitan ver la evoluci�n que est�n teniendo los servicios de tecnolog�a que est� entregando.
• Hacer el mayor esfuerzo posible, para que la implementaci�n de los servicios tecnol�gicos, en el Centro de Datos de la carrera de Software, se realice empleando la tecnolog�a de la virtualizaci�n, ya que ellos cuentan con servicios de recuperaci�n mucho m�s flexibles y eficientes, que los que se ofrecen a los servidores f�sicos.

 

Referencias

1.      Aldea, A., Vaicekauskaitė, E., Daneva, M., & Piest, J. (2021). Enterprise Architecture Resilience by Design: A Method and Case Study Demonstration. 2021 IEEE 25th International Enterprise Distributed Object Computing Workshop (EDOCW) (p�gs. 147-156). Gold Coast, Australia: IEEE. doi:10.1109/EDOCW52865.2021.00044

2.      Arnal Zaragoz�, D. (25 de 09 de 2020). Linkedin. Recuperado el 26 de Julio de 2022, de �Tu copia de seguridad protege el negocio?: https://es.linkedin.com/pulse/tu-copia-de-seguridad-protege-el-negocio-daniel-arnal-zaragoz%C3%A1

3.      AXELOS Limited. (2019). ITIL Foundation: ITIL 4 edition. (Primera ed.). London, England: Norwich, TSO (The Stationery Office). Recuperado el 26 de 07 de 2022

4.      Brende, B., & Sternfels, B. (20 de Mayo de 2022). https://www.mckinsey.com/. (W. E. Forum, Ed.) Recuperado el 10 de Julio de 2022, de https://www.weforum.org/whitepapers/resilience-for-sustainable-inclusive-growth/: https://www.mckinsey.com/~/media/mckinsey/business%20functions/risk/our%20insights/resilience%20for%20sustainable%20inclusive%20growth/resilience-for-sustainable-inclusive-growth_final.pdf?shouldIndex=false

5.      Crask, J. (2021). Business Continuity Management: A Practical Guide to Organizational Resilience and ISO 22301 1st Edici�n (Primera ed.). London, United Kingdom: Kogan Page. Recuperado el 13 de 07 de 2022

6.      Gibbs, L., Jehangir, H., Leung Kwong, E. J., & Little, A. (24 de Junio de 2022). Universities and multiple disaster scenarios: A transformative framework for disaster resilient universities. International Journal of Disaster Risk Reduction, 78(103132), 9. doi:https://doi.org/10.1016/j.ijdrr.2022.103132

7.      International Organization for Standardization. (02 de 2021). Security and resilience � Vocabulary. ISO 22300:2021, Tercera, 53. Geneva, Switzerland. Recuperado el 24 de Julio de 2022, de Online Browsing Platform (OBP): https://www.iso.org/obp/ui/#iso:std:iso:22300:ed-3:v1:en

8.      International Organization for Standardization;. (02 de 2022). Information security, cybersecurity and privacy protection � Information security controls. ISO/IEC 27002:2022, Tercera, 152. Geneva, Switzerland. Recuperado el 25 de 07 de 2022, de https://www.iso.org/obp/ui/#iso:std:iso-iec:27002:ed-3:v2:en

9.      Revista Datacenter. (12 de 12 de 2013). Revista Datacenter. Recuperado el 25 de Julio de 2022, de �RTO vs RPO?: https://revistadatacenter.wordpress.com/2013/12/12/cual-es-la-diferencia-entre-el-rto-y-rpo/

10.  Ruiz-Martin, C., L�pez-Paredes, A., & Wainer, G. (31 de 01 de 2018). What we know and do not know about organizational resilience. (Prof. Eduardo Vic�ns-Salort, Ed.) International Journal of Production Management and Engineering, 6(1), 11-28. doi:10.4995/ijpme.2018.7898

11.  Sanchis, R., & Poler, R. (12 de 2020). Resiliencia Empresarial en �poca de Pandemia. Bolet�n de Estudios Econ�micos, 75(231), 501-520. Recuperado el 11 de Julio de 2022, de https://riunet.upv.es/handle/10251/165594

12.  Sarkar, A., Wingreen, S. C., & Cragg, P. (2013). Organisational IS Resilience: a pilot study using Q-methodology. ACIS 2013: Information systems: Transforming the Future: Proceedings of the 24th Australasian (p�gs. 1-11). Melbourne, Australia: RMIT University. Recuperado el 10 de Julio de 2022, de https://aisel.aisnet.org/acis2013/134

13.  Terinte, T. (26 de 06 de 2018). Effects of Cloud Computing on Enterprises. Master's thesis, Masaryk University, Faculty of Economics and Administration, Brno. Recuperado el 27 de Julio de 2022, de https://is.muni.cz/th/rc7xo/?predmet=674645;lang=en;id=234077

14.  Wolbers, J., Kuipers, S., & Boin, A. (2021). A systematic review of 20 years of crisis and disaster research: Trends and progress. Risk, Hazards, & Crisis in Public Policy (RHCPP), 12(4), 374�392. doi:10.1002/rhc3.12244

 

 

 

 

 

 

 

� 2023 por el autor. Este art�culo es de acceso abierto y distribuido seg�n los t�rminos y condiciones de la licencia Creative Commons Atribuci�n-NoComercial-CompartirIgual 4.0 Internacional (CC BY-NC-SA 4.0)

(https://creativecommons.org/licenses/by-nc-sa/4.0/).