Al pensar en su estrategia en torno a las copias de seguridad, la recuperación, la disponibilidad y la continuidad del negocio, una parte del plan tiende a quedarse en el camino: la retención de copias de seguridad. Nos enfocamos tanto en cosas como los objetivos de recuperación , los SLA y los niveles de datos, que nuestro pensamiento gira en torno a la necesidad de recuperar potencialmente la copia de seguridad que acabamos de hacer en cuestión de minutos.
Pero hay conjuntos de datos que deben estar disponibles semanas, meses, incluso años, después de su creación. Y, aunque su copia de seguridad ciertamente no reemplaza un archivo (en el caso del correo electrónico), sí sirve como un medio para retener datos fácilmente accesibles durante largos períodos de tiempo.
¿Qué es una política de retención de copias de seguridad?
Una política de retención de copias de seguridad es una regla, o un grupo de reglas, que establece una empresa para especificar qué datos necesita almacenar, dónde debe almacenarse y durante cuánto tiempo para cumplir con los requisitos legales y comerciales. Además de esto, también debe establecer pautas sobre el archivo, los formatos de almacenamiento y cómo se accede a los datos y cómo se cifran durante su ciclo de vida. Diferentes industrias enfrentarán pautas legales muy diferentes, y algunas también requieren que los datos se eliminen después de un período de tiempo determinado. Tener una política sólida de retención de datos no solo garantiza que una empresa cumpla con los requisitos legales, sino que también le permite equilibrar sus necesidades de retención de datos con el costo adicional resultante del almacenamiento de datos.
Definición de sus políticas de retención de copias de seguridad
Definición de sus políticas de retención de copias de seguridad.
Hay algunas consideraciones iniciales en la combinación cuando comienza a establecer políticas de retención.
- Los datos
No todos los datos son “dignos de retención”. Tome este blog, por ejemplo. No es probable que se necesite dentro de cinco años. Pero gran parte de sus datos corporativos (propiedad intelectual, correo electrónico/correspondencia, finanzas) pueden ser necesarios para análisis impositivos/legales o incluso avanzados. - Mandatos de cumplimiento
Muchos mandatos establecen la necesidad de períodos de retención para ciertos tipos de datos. Por ejemplo, la recomendación general para las entidades cubiertas por HIPAA es conservar los registros de atención médica durante 10 años. Si bien la mayoría no especifica ciertas duraciones, existen plazos ampliamente aceptados para la mayoría de los mandatos. - Legal
Algunas empresas solo desean conservar los datos durante periodos breves (p. ej., 90 días) para mantener la capacidad de recuperación, pero no por más tiempo, ya que puede aumentar su responsabilidad. - Almacenamiento local
Si bien vivimos en un mundo donde el almacenamiento es un producto económico, no es gratuito. Más allá del precio, está el tiempo necesario para adquirir, configurar, administrar, actualizar y retirar el almacenamiento. Los proveedores de servicios de TI administrados que intentan administrar negocios rentables pueden enfrentarse a decisiones difíciles: limitar la retención de copias de seguridad que puede introducir riesgos de seguridad invisibles o gastar cada vez más dinero en almacenamiento. - Almacenamiento en la nube
El almacenamiento de copias de seguridad en la nube las pone fuera del alcance del ransomware que puede atacar su red local. Ya sea que su almacenamiento en la nube sea primario o secundario, también es importante tener en cuenta este costo. Para obtener ahorros reales, elija una solución de protección de datos basada en la nube que no cobre extra por una retención más prolongada en la nube.
El resultado de todas estas consideraciones es una lista de conjuntos de datos identificados, cada uno con sus propios períodos de retención, que ahora deben protegerse.
Prácticas recomendadas para las políticas de retención de copias de seguridad
Cuando se trata de crear una política de retención de copias de seguridad, los MSP y los administradores de TI deben tener en cuenta una serie de factores clave. Esta no es una lista exhaustiva de mejores prácticas, pero su política debe incluir los siguientes pasos:
- Analice las regulaciones sobre almacenamiento y retención de datos en su industria y asegúrese de cumplirlas.
- Clasifique sus datos correctamente: debe comprender completamente sus datos para almacenarlos correctamente y planificar de manera efectiva. Es probable que sus datos se dividan en tres áreas: datos que necesita almacenar para el cumplimiento; datos que necesita almacenar porque son valiosos para su negocio; datos públicos y/o confidenciales. Es probable que cada uno deba ser tratado de manera ligeramente diferente.
- Comprenda los ciclos de vida de sus datos: no todos los datos deben almacenarse durante el mismo período, por lo tanto, una vez que haya clasificado sus datos, asegúrese de establecer cómo esto afecta a cada categoría en su política de retención.
- Asegúrese de saber qué tipo de copia de seguridad va a realizar: Las copias de seguridad completas (de todos los archivos existentes) consumen mucho tiempo e, idealmente, solo deberían realizarse una vez; Las copias de seguridad incrementales (todos los cambios desde la última copia de seguridad) lo son menos, pero aún deben mantenerse en un tamaño razonable para no consumir su ancho de banda.
- Decida cuándo y con qué frecuencia realizará copias de seguridad: esto dependerá de sus objetivos de punto de recuperación (RPO), pero si está utilizando herramientas tradicionales de copia de seguridad basadas en imágenes, es posible que deba programar copias de seguridad para cuando la organización tenga más ancho de banda disponible. Si se ha modernizado a una arquitectura de respaldo basada en la nube , esto será un problema mucho menor.
- Asegúrese de crear un plan para probar sus copias de seguridad. Una copia de seguridad no tiene valor si no puede restaurar desde ella. Las herramientas modernas incluyen pruebas de recuperación automatizadas y funciones de verificación de capturas de pantalla que pueden ahorrar tiempo.
Implementación de sus políticas de retención de copias de seguridad
La mayoría de las soluciones de copia de seguridad tienen la capacidad de conservar copias de seguridad específicas con solo marcar una casilla. El desafío aquí es que debe observar su estrategia de copia de seguridad actual e identificar si necesita modificarla para alinearla con su estrategia de retención de dos maneras:
- Conjuntos de datos de copia de seguridad
Dado que solo desea conservar datos específicos, necesita ver si sus definiciones de copia de seguridad son mucho más amplias (por ejemplo, puede tener una copia de seguridad de un servidor de archivos completo a la vez, cuando todo lo que necesita conservar es una carpeta). Es posible que deba modificar la definición del trabajo de respaldo o crear un trabajo adicional solo para la retención. - Tipo de copia de seguridad
La copia de seguridad actual puede estar basada en imágenes y necesita que esté basada en archivos. Además, es posible que haya confiado en un método de almacenamiento de copia de seguridad basado en cadena, lo que puede generar grandes problemas en el futuro si una copia de seguridad fallida o dañada rompe un eslabón de la cadena. Las estructuras de copia de seguridad basadas en diarios sin cadenas tienden a ser más fiables a largo plazo. - Frecuencia de la copia de seguridad
Dado que los datos que requieren retención tienden a ser bastante importantes, es posible que tenga una copia de seguridad cada hora (o incluso con más frecuencia). Pero para la retención a largo plazo, es posible que desee designar un cronograma gradual de copias de seguridad para mantener, eliminando las demás. Por ejemplo, es posible que desee mantener copias de seguridad diarias para el mes en curso, copias de seguridad semanales para el trimestre en curso y copias de seguridad mensuales para el año en curso. Para aquellos que usan DaiBackup, el período de retención de la copia de seguridad se puede modificar a nivel de perfil o dispositivo.
Tenga en cuenta que no todos los datos identificados para retención tendrán la misma política de retención de copias de seguridad. La duración de la retención y la frecuencia de la copia de seguridad pueden diferir de un conjunto a otro. El trabajo importante se realizará identificando lo que la organización necesitará dentro de unos años y planificando su estrategia de copia de seguridad (e inversión) para facilitar una recuperación completa y sin problemas cuando llegue el momento.
¿Desea obtener más información sobre una solución de protección de datos basada en la nube que no cobra extra por archivar? De un vistazo a la protección de datos de Daibackup.