Cuando las organizaciones empezaron a cambiar las aplicaciones principales por el software de servicio (SaaS), adoptaron un enfoque poco cuidadoso respecto a los backups de los datos. La mayoría se limitaba a confiar en las papeleras de su proveedor de SaaS para mantener sus datos a salvo. Hoy en día, las opiniones están evolucionando. Las encuestas muestran que los administradores de SaaS y de copias de seguridad creen que programas como Microsoft 365 y Salesforce necesitan backups más sólidos para proteger los datos de las ciberataquesy de los borrados accidentales.
Sin embargo, muchos siguen siguiendo un modelo de «configurarlo y olvidarlo». Un gran porcentaje de usuarios confía en las herramientas más funcionales que los proveedores de SaaS han empezado a integrar en sus plataformas para hacer backups de los datos. Muchos de este grupo no han descartado necesariamente la realización de copias de seguridad más sólidas, sino que parten de la base de que no necesitan más protección.
Ese grupo corre un riesgo. No han experimentado una situación en la que necesiten urgentemente hacer un backup de los datos. Tanto si se trata de una pérdida de datos como de un fallo de la administración de usuarios o de la automatización, están jugando con fuego. Están haciendo una apuesta en la que no conocen realmente las probabilidades. Puede que el suceso no sea catastrófico, pero podrían sorprenderse de las ramificaciones.
Está claro que SaaS ofrece muchas ventajas, desde el punto de vista de la eficiencia. La barrera de entrada para empezar es baja. Las organizaciones pueden aprovechar los modelos OpEx, que les permiten pagar a medida que avanzan. Las aplicaciones SaaS también pueden integrarse perfectamente en los mecanismos existentes, como la autenticación multifactorial para la gestión de identidades y, los proveedores de SaaS suelen ofrecer una experiencia en el diseño, la configuración, la optimización y la gestión de una solución que el centro de datos puede no tener.
Confiar demasiado en ellos puede tener consecuencias. Por un lado, las organizaciones no tienen tanto control sobre la prestación del servicio o la infraestructura sobre la que se ejecuta. Aunque esto puede verse como una ventaja, es un inconveniente en caso de que surja un incidente y, de hecho, esto habla en general de la capacidad de influir en los detalles de un servicio que se presta de esta manera.
Conceptos erróneos comunes
El mayor error de seguridad/protección de datos que tienen las empresas cuando se trasladan a la nube es que los proveedores de SaaS no hacen todo lo que uno quiere que hagan. El mejor ejemplo es el cambio a Microsoft 365. Desde que muchas organizaciones pasaron de Exchange local a SharePoint, los usuarios de Microsoft 365 asumen, con razón, que cualquier interrupción que afecte a las aplicaciones, los controles de red, los sistemas operativos y las redes físicas será gestionada por el proveedor de SaaS.
Pero el mayor número de interrupciones no son causadas por los propios proveedores de SaaS. Son otros seres humanos los que causan los problemas, ya sean malos actores con intención de hacer daño o simplemente humanos que cometen errores. El mayor problema, con diferencia, es el borrado accidental. Si no tienes un backup sólido, tus datos pueden desaparecer. Es como alquilar un auto: Los proveedores de SaaS se aseguran de que tenga nafta y esté listo para salir, pero una vez que lo manejas en la ruta, eres responsabilidad tuya lo que pase.
La historia ha demostrado que siempre que un nuevo modelo se hace popular, la gente hace suposiciones erróneas sobre cómo se desarrollarán ciertas cuestiones. Eso es lo que está ocurriendo ahora cuando se trata del backup de los datos. Aunque los responsables de la toma de decisiones de IT comprenden las ventajas de trasladar la responsabilidad de la implantación, las actualizaciones y los cambios de capacidad, muchos no se dan cuenta de que la responsabilidad real de los datos suele seguir siendo del inquilino. Los modelos de responsabilidad compartida de los proveedores de SaaS lo explican claramente: Los datos siguen siendo responsabilidad del cliente. Es lo único que es consistente en toda la nube.
Formular estrategias de respaldo
A continuación, se exponen varias cuestiones que las organizaciones deben tener en cuenta a la hora de formular estrategias de backup para SaaS:
- Concentrarse en la preparación: es difícil prepararse para un problema que no sabe qué se va a tener. Pero si se tienen los datos, se va a estar bien preparado para manejar ese tipo de incidente. Si se prepara la aplicación SaaS para un incidente que no sabe qué se va a tener, se tendrá el control de los datos.
- Asumir lo peor: Tanto si es on prem como off, pueden ocurrir cosas malas. Lo más probable es que no se trate de un fallo de los equipos; la nube es buena para ser resistente desde el punto de vista de la infraestructura. Pero con los datos, los errores ocurren.
- Tener en cuenta el cumplimiento de la normativa: Mientras que los organismos reguladores suelen exigir a las organizaciones que conserven los datos durante varios años, los backups de SaaS suelen estar configurados para un máximo de 120 días. Si no se tiene en cuenta esto desde el principio, se tiende a descubrirlo después. Y es difícil restaurar lo que no se ha respaldado.
- Comprobar las responsabilidades: las organizaciones deben estar muy familiarizadas con los modelos de responsabilidad compartida que ofrecen los proveedores de SaaS. Saber dónde están los datos y ser capaz de facilitar las situaciones de e-discovery.
- Planificar una estrategia de salida: el mejor momento para negociar los costos y las metodologías de la estrategia de salida es antes de integrar una solución de backup de SaaS. Es posible que el proveedor mantenga los datos como rehenes a un precio que determine en ese momento.
Conclusión
A medida que las organizaciones recurren a SaaS para ejecutar funciones empresariales de misión crítica, están prestando más atención a la importancia de los backups de los datos. Pero muchas siguen subestimando los riesgos a los que se enfrentan sus datos. Los datos son su sangre vital, y confiar exclusivamente en las copias de seguridad de SaaS podría suponer un duro despertar.
