search
El medio de comunicación que reinventa la empresa
Registrar un software

¿Cuáles son las diferencias de protección entre la copia de seguridad externalizada y la recuperación gestionada en caso de catástrofe?

¿Cuáles son las diferencias de protección entre la copia de seguridad externalizada y la recuperación gestionada en caso de catástrofe?

Por Eric Deronzier

El 7 de mayo de 2025

En los últimos diez años aproximadamente, las soluciones informáticas han ido evolucionando hacia el modelo "como servicio". Las soluciones de copia de seguridad y planes de recuperación ante desastres no son una excepción.

La copia de seguridad como servicio también se conoce como Backup as a Service (BaaS) y la recuperación de desastres como servicio también se conoce como Disaster Recovery as a Service (DRaaS). Estos servicios se refieren a soluciones proporcionadas por proveedores de servicios a las empresas.

Esto significa que los equipos de TI de la empresa no necesitan instalar y mantener las soluciones localmente en sus propios centros de datos. La gestión de las pruebas (reinicio, recuperación ante desastres, red) y el mantenimiento operativo de los servicios también pueden incluirse en la oferta de los proveedores de servicios.

Los departamentos de TI están en el centro de la elección de estas soluciones. Antes de tomar una decisión, deben comprender las diferentes opciones que se ofrecen y las implicaciones para la protección de sus datos. Estos dos métodos de protección, a menudo percibidos como similares, no cubren los mismos escenarios de riesgo.

Definición de Backup as a Service (BaaS)

Cada vez más proveedores de servicios ofrecen soluciones de copia de seguridad como servicio. Éstas corresponden a la compra de un servicio de copia de seguridad en línea, generalmente en una nube (pública, privada o privada).

BaaS puede cubrir varios ámbitos diferentes:

  • copia de seguridad de archivos y carpetas
  • copia de seguridad de un disco entero
  • copia de seguridad de aplicaciones (Domain Controller, Exchange) o de bases de datos (SQL server, PostgreSQL, Oracle, etc.).

Los últimos avances en BaaS han permitido automatizar las pruebas de restauración o reinicio de servidores (completo/parcial). Estas pruebas pueden realizarse manualmente o a través de API o autómatas.

Definición de la recuperación de desastres como servicio (DRaaS)

El concepto de Planificación de la Reanudación del Negocio como Servicio es más reciente, pero se está expandiendo rápidamente al responder a nuevos problemas, como las ciberamenazas.

Se trata de un servicio completo prestado y administrado por un proveedor, basado en el modelo de la nube y que ofrece un tiempo de recuperación garantizado (RTO).

Estas soluciones aprovechan las principales ventajas de la nube (elasticidad, pago por uso) y reducen así los costes asociados al tamaño de la infraestructura.

Los perímetros abordados por estas soluciones DRaaS son potencialmente muy diferentes:

  • En términos de SO cubiertos: mientras que las arquitecturas x86 están siempre cubiertas, los SO más raros (OS400, Unix propietario, etc.) sólo se soportan en raras ocasiones.

  • Los tiempos de RTO (reinicio en caso de activación del DRP): las tecnologías utilizadas pueden ser muy diferentes, permitiendo RTOs desde algunas decenas de minutos (lo que se conoce como Plan de Continuidad en lugar de Plan de Recuperación) hasta algunas horas.

  • Los servicios prestados: puede tratarse de un PRM parcialmente gestionado (el cliente se encarga de mantener las condiciones operativas y de realizar las pruebas del PRM de forma autónoma) o de un PRM totalmente gestionado por el proveedor (pruebas periódicas de reinicio del servidor, seguimiento de las copias de seguridad en la nube, etc.).

Es importante tener en cuenta estos diferentes elementos a la hora de elegir su solución. Por eso es necesario realizar un análisis previo , para saber qué necesita en términos de servidores a proteger, tiempos de reinicio y frescura de los datos.y frescura de los datos (RTO y RPO) y, por último, las necesidades de gestión, en función de la disponibilidad y competencias de sus equipos técnicos.

Riesgos cubiertos y no cubiertos por estas dos soluciones

Para comprender plenamente la diferencia entre estos dos servicios, primero debemos examinar los distintos riesgos que cada una de las dos soluciones aborda.

Vamos a analizar varios tipos de riesgos que deben cubrir la copia de seguridad (BaaS) y la recuperación en caso de catástrofe (DRaaS), desglosados por familias.

Familia de riesgo Riesgos Fuentes potenciales Principal mecanismo de recuperación
Pérdida o corrupción de datos

Pérdida o corrupción de archivos

Corrupción de datos, SO o BD

    		 Error de usuario o de procedimiento Copia de seguridad
    Indisponibilidad de la infraestructura del servidor

    Un servidor caído

    Caída de un conjunto de servidores

    Toda la infraestructura caída

    		 Problema de hardware o software Copia de seguridad o PRA
    Indisponibilidad del centro de datos

    Larga indisponibilidad debido a una catástrofe

    Indisponibilidad de fluidos (electricidad, etc.)

    Indisponibilidad vinculada a las telecomunicaciones

    		 Incendio, tormenta, atentado terrorista, obras, etc. PRA
    Ransomware

    Ransomware en un servidor de archivos

    Ransomware en SO SI

    		 Software malicioso propagado por correo electrónico, vulnerabilidad, etc. Copia de seguridad o PRA
    Ciberataque

    Ataque sofisticado

    Denegación de servicio (DoS)

    Amenaza persistente avanzada

    		 Ataque coordinado contra la infraestructura informática DRP

    Situaciones de riesgo: pérdida o corrupción de datos

    Pérdida o corrupción de archivos: puede deberse a un error del usuario o del ordenador, a un problema de hardware o a un error de procedimiento.

    Cobertura de riesgos con
    Copia de seguridad externalizada (BaaS)    		 Cobertura de riesgos con un plan de recuperación de desastres gestionado por
    (DRaaS)

    Este es el principal riesgo cubierto por todas las soluciones de copia de seguridad externalizadas.

    Los puntos específicos a considerar son

    • La duración de las copias de seguridad y la política de retención (profundidad en días/semanas/meses, etc.).
    • La autonomía del cliente para realizar la restauración.

    Depende de los mecanismos de copia de seguridad o replicación utilizados por la solución DRP:

    • Algunas soluciones utilizan la replicación en disco síncrona o casi síncrona (sin toma de instantáneas históricas) y, por tanto, no cubren este riesgo.
    • Otras soluciones se basan en mecanismos de copia de seguridad y, por tanto, son comparables a las soluciones de copia de seguridad externalizadas con los mismos puntos de control (tiempo mínimo de retención, etc.).

    Preguntas en relación con el escenario de riesgo :

    • Almacenamiento de copias de seguridad en la nube:
      • ¿Cuántas réplicas de los datos de las copias de seguridad se realizan en la nube (1, 2 o 3 réplicas?)?
      • ¿Se realizan réplicas de las copias de seguridad en la nube en varios DC remotos?
    • Posibilidad o no de tener diferentes periodos de retención de las copias de seguridad:
      • Por tipo de archivo,
      • Conservando N versiones de cada archivo.

    Escenarios de riesgo: pérdida o corrupción del sistema operativo (SO) o de la base de datos

    Cobertura del riesgo con
    Copia de seguridad externalizada (BaaS)    		 Cobertura del riesgo con un Plan de Recuperación de Desastres Gestionado
    (DRaaS)
    La cobertura de este riesgo depende de la cobertura funcional de la copia de seguridad externalizada:
    • ¿Permite la copia de seguridad del sistema operativo y la restauración de un sistema operativo completo?
      • a través de uno de los hipervisores del mercado (VMware, Hyper-V, HAV, Xen, etc.),
      • pero también a través de un agente en el caso cada vez más frecuente de que el cliente ya no tenga acceso directo al hipervisor (alojamiento de terceros, nube, VPS, etc.).
    • ¿De qué autonomía dispone el cliente para restaurar el SO o el SGBD?
    		 La cobertura de este riesgo depende de los mecanismos de copia de seguridad o replicación utilizados por la solución DRP:
    • Algunas soluciones utilizan la replicación en disco (sin toma de instantáneas) y, por tanto, no cubren este riesgo.
    • Otras soluciones se basan en mecanismos de copia de seguridad y, por tanto, son comparables a las soluciones de copia de seguridad externalizadas con los mismos puntos de control (tiempo mínimo de retención, etc.).

    Preguntas que deben plantearse en relación con el escenario de riesgo:

    • ¿Existen mecanismos para realizar copias de seguridad de sistemas operativos Linux en contextos de infraestructura en los que no se pueden utilizar mecanismos de hipervisor (normalmente en nubes públicas o privadas)?
    • ¿Tiene la solución la capacidad de hacer copias de seguridad sólo de determinados discos/particiones de la máquina para limitar la cantidad de datos de los que hay que hacer copia de seguridad y acelerar la recuperación?

    Escenarios de riesgo: indisponibilidad total de uno o varios servidores

    Cobertura de riesgos con
    Copia de seguridad externalizada (BaaS)    		 Cobertura de riesgos con un
    Plan Gestionado de Recuperación de Desastres (DRaaS)
    En función de la cobertura de la solución de copia de seguridad, este riesgo está cubierto.

    Pero hay que analizar :

    • La capacidad de restaurar el servidor a :
      • un servidor físico,
      • un hipervisor distinto del original.
    • La autonomía del cliente para ejecutar el reinicio.
    • El tiempo necesario para que todas las copias de seguridad en la nube vuelvan a la red local.
    		 En general, este riesgo no está bien cubierto por una solución de recuperación de desastres:
    • Por lo general, es fácil reiniciar un único servidor o unos pocos servidores.
    • Por otra parte, gestionar la red y el plan de direccionamiento puede ser complejo si parte del SI permanece en el centro de datos original y parte pasa al modo de copia de seguridad.
      Algunas soluciones de recuperación en caso de catástrofe integran modelos MPLS o SD-WAN para sortear este problema.

    Preguntas que hay que plantearse en relación con el escenario de riesgo:

    • Sin pruebas no hay salvación: ¿ha tenido en cuenta la solución la necesidad de realizar pruebas periódicas de reinicio del servidor (ya sean totalmente automáticas o manuales)? Se recomienda una frecuencia mínima de pruebas de reinicio anuales.
    • Cuáles son los plazos de suministro de la infraestructura informática in situ: a menudo no son compatibles con las necesidades de la empresa (especialmente en la actualidad, con la escasez de componentes) y, por tanto, no permiten recrear una infraestructura in situ en un plazo aceptable.

    Escenarios de riesgo: indisponibilidad del centro de datos

    Centro de datos completamente indisponible, ya sea a raíz de una catástrofe (incendio, tormenta, inundación, atentado, etc.), o debido a la indisponibilidad a largo plazo de la red o de los fluidos (electricidad, climatización, etc.).

    Cobertura de riesgos con

    Copia de seguridad externalizada (BaaS)

    		 Cobertura de riesgos con un

    Plan gestionado de recuperación ante desastres (DRaaS)
    No cubierto Este riesgo está totalmente cubierto por una solución DRP, ya que este es su principal objetivo.

    Predominan las nociones de RTO y RPO. Por tanto, debemos plantearnos las siguientes preguntas:

    • ¿Cómo se garantizan?
    • ¿Cómo se comprueban?

    Preguntas sobre el escenario de riesgo:

    Sin una prueba de DRP no hay salvación, por lo que hay que comprobar que se realizan pruebas de DRP periódicas: se recomienda una frecuencia de pruebas semestral o inferior.

    Sus pruebas de DRP deben cubrir la recuperación de la infraestructura, las pruebas de red, la reconexión de los usuarios y las pruebas funcionales del espacio de recuperación por parte del usuario final.

    Escenario de riesgo: ransomware en un servidor de archivos o servidores OS

    Infección por ransomware a través de software malicioso propagado por correo electrónico, aprovechando una vulnerabilidad.

    Cobertura de riesgos con
    Copia de seguridad externalizada (BaaS)    		 Cobertura de riesgos con un plan gestionado de recuperación ante desastres (DRaaS)
    La cobertura del riesgo depende de la estanqueidad de la copia de seguridad frente al ransomware:
    • Si se incorpora un sellado por diseño, a través de mecanismos de seguridad (inmutabilidad de las copias de seguridad, cambio de tecnología entre el origen y el destino de la copia de seguridad, etc.) que impida que el virus se propague en el entorno de la copia de seguridad, el riesgo está cubierto. En caso contrario, el riesgo está poco o nada cubierto.
    • El tiempo necesario para devolver todas las copias de seguridad en la nube a la red local suele ser incompatible con las necesidades de la empresa.
    		 Este riesgo está totalmente cubierto por una solución DRP, porque ese es su principal objetivo.

    Las nociones de RTO y RPO son primordiales. Así que debemos plantearnos las siguientes preguntas:

    • ¿Cómo se garantizan?
    • ¿Cómo se comprueban?

    Preguntas que hay que hacerse sobre el escenario de riesgo:

    • ¿La solución elegida tiene en cuenta la estanqueidad frente a un ataque de ransomware? El espacio de copia de seguridad no debe ser fácilmente accesible por el ransomware (por ejemplo, punto de montaje de Windows, etc.).
    • El tiempo necesario para volver a poner en línea todas las copias de seguridad en la nube a través de la red debe corresponder a las necesidades de su empresa. La pregunta que hay que plantearse es: ¿permite la solución recuperar los datos localmente a través de cajas especializadas (tipo NAS, disco SSD, etc.) del proveedor de servicios?

    Escenarios de riesgo: ciberataque sofisticado que combina varios mecanismos de ataque

    Ataque construido que permite al atacante tomar el control de la infraestructura del cliente con derechos privilegiados.

    Cobertura de riesgos con
    Respaldo externalizado (BaaS)    		 Cobertura de riesgos con un

    Plan gestionado de recuperación ante desastres (DRaaS)
    Depende de la impermeabilidad de la copia de seguridad a los ataques:
    • ¿El atacante tiene forma de destruir o cifrar las copias de seguridad en la nube?
      • ¿Si toma el control del AD?
      • ¿Si obtiene privilegios de administrador del sistema?
    • Por otro lado, si el cliente no tiene acceso al espacio de copia de seguridad en la nube, el riesgo está cubierto.
    		 La misma cobertura de riesgos que para la copia de seguridad.

    Puntos a vigilar: la estanqueidad de las copias de seguridad en la nube se ha convertido en un problema importante en caso de ciberataque sofisticado.

    Escenarios de riesgo: amenaza persistente avanzada o ataque latente

    Infección por una APT o malware latente que puede activarse varios meses después de la infección, lo que requiere una larga conservación de los datos del sistema operativo (más de 6 meses).

    Cobertura de riesgos con

    Copia de seguridad externalizada (BaaS)

    		 Cobertura de riesgos con un

    Plan gestionado de recuperación ante desastres (DRaaS)
    Depende de la profundidad de la copia de seguridad del sistema operativo.

    Esto requiere que el proveedor de servicios ofrezca archivado a largo plazo en almacenamiento en frío.

    		 Generalmente no cubierto por las soluciones DRP.

    A menos que la solución DRP ofrezca archivado a largo plazo en almacenamiento en frío.

    Preguntas en relación con el escenario de riesgo:

    • En este caso se trata más bien de archivar máquinas virtuales durante largos periodos (1 mes durante 24 meses, por ejemplo).
    • La solución de reconstruir completamente el SO a veces no está disponible.

    En resumen, los 3 buenos consejos

    1 - Comprender los retos de la empresa

    El primer consejo, como en muchos proyectos informáticos, es comprender bien los retos a los que se enfrenta la empresa:

    • sus necesidades en materia de copias de seguridad (profundidad de las copias, mecanismos de archivo de datos, etc.),
    • sus necesidades en términos de aplicaciones críticas que deben reiniciarse en caso de desastre o ciberataque:
      • priorizarlas (RTO),
      • definir la frescura de los datos necesarios (esencialmente bases de datos).

    2 - Identificar los escenarios de riesgo a cubrir

    A continuación, hay que identificar los escenarios de riesgo que deben cubrirse para las actividades y la infraestructura de la empresa (pérdida de datos, ransomware, pérdida del centro de datos):

    • Este mapeo de riesgos revelará inevitablemente una tendencia: o bien una solución BaaS es suficiente, o bien existe la necesidad de DRaaS;
    • Hacer validar esta cobertura de riesgos por la dirección. A pesar de su falta de comprensión cuando se trata de Backup y DRP, la cobertura de riesgos de TI es una cuestión importante de la que la dirección es muy consciente. Aunque puede que no entiendan nada sobre Backup y DRP, son cada vez más conscientes de los riesgos de TI que deben cubrirse.

    3 - Identificar y expresar sus necesidades

    Una vez identificados los riesgos que hay que cubrir, es hora de identificar los requisitos de la solución:

    • En primer lugar, las expectativas del proveedor de servicios: ¿se desea una solución parcialmente gestionada o una solución totalmente gestionada con compromisos contractuales?
    • Si se requiere copia de seguridad:
      • ¿Qué alcance debe tener: sistemas operativos, tipos de SGBD, etc.?
      • ¿Cómo deben cargarse inicialmente los datos (disponibilidad de un dispositivo dedicado)?
    • En caso de plan de recuperación en caso de catástrofe :
      • ¿Qué servidores deben protegerse en caso de catástrofe y para cuáles bastará una solución de copia de seguridad?
      • ¿Cuáles son los requisitos específicos de la red: cómo se reconectan los sitios (MPLS, SD-Wan), los usuarios móviles (SSL VPN, etc.)?
      • ¿Cuáles son las especificidades en materia de seguridad: las soluciones de seguridad necesarias en caso de copia de seguridad?

    Artículo traducido del francés