Responsabilidad en materia de hacer backup en Microsoft 365

El modelo de responsabilidad compartida de Microsoft describe las áreas de responsabilidad entre los usuarios y Microsoft en función del tipo de instalación. Si bien es sencillo en el caso de las aplicaciones locales, que son responsabilidad exclusiva del usuario, la situación se complica al pasar a la nube.

Microsoft ofrece varios modelos de prestación de servicios en la nube, como plataforma como servicio (PaaS), infraestructura como servicio (IaaS) y software como servicio (SaaS). Dependiendo del modelo, Microsoft y los usuarios comparten de forma diferente las responsabilidades relacionadas con los controles de red, la infraestructura de identidades y directorios, las aplicaciones y los sistemas operativos. Algunas áreas, como los datos y las cuentas, siempre son propiedad del usuario independientemente del modelo de prestación, mientras que otras, como las redes físicas y los hosts, siempre son responsabilidad de Microsoft.

El modelo de responsabilidad compartida de Microsoft 365 se basa en el marco SaaS, que permite a los usuarios acceder y utilizar las aplicaciones basadas en la nube de Microsoft. Con SaaS, la mayoría de las responsabilidades se transfieren a Microsoft, pero no todas. Analicemos esto más a fondo.

La principal responsabilidad de Microsoft es mantener sus servicios en la nube en funcionamiento, garantizando que millones de usuarios de todo el mundo puedan acceder a sus entornos de Microsoft 365. Para ello, Microsoft ofrece georedundancia en los centros de datos y replicación integrada para realizar una conmutación por recuperación a otro centro de datos en caso de desastre. De ahí surge el mayor error: las réplicas de Microsoft son gestionadas y conservadas por Microsoft y, por lo tanto, no te pertenecen. No puede controlar esas réplicas ni utilizarlas para recuperar las cuentas o los archivos que necesite.

El Modelo de Responsabilidad Compartida también permite comprender mejor el aspecto de la seguridad , una responsabilidad compartida entre Microsoft y el usuario. Entonces, ¿en qué consiste la responsabilidad compartida en este caso? Mientras que Microsoft es responsable de la seguridad de la infraestructura, incluida la seguridad física de sus centros de datos y la autenticación dentro de los servicios en la nube, el usuario es responsable de la seguridad a nivel de datos. Sorprendentemente, esto incluye no solo errores del usuario, como el eliminar accidental o las deficiencias en las políticas de retención, sino también los ciberataques e incluso la pérdida de datos durante interrupciones causadas por Microsoft. Esto es lo que afirma Microsoft en su Contrato de prestación de servicios:

Nos esforzamos por mantener los Servicios en funcionamiento; sin embargo, todos los servicios en línea sufren interrupciones y caídas ocasionales, y Microsoft no se hace responsable de ninguna interrupción o pérdida que usted pueda sufrir como resultado de ello. En caso de una interrupción del servicio, es posible que no pueda recuperar su contenido o los datos que haya almacenado. Le recomendamos que haga backups periódicos de su contenido y de los datos que almacene en los Servicios o que almacene mediante aplicaciones y servicios de terceros.

Otro factor es la presión normativa sobre los propietarios de datos . Normativas como el RGPD y la HIPAA establecen requisitos estrictos en materia de seguridad y acceso a los datos. Además, la soberanía de datos del RGPD obliga a los propietarios de datos a almacenar copias de los datos en ubicaciones específicas, lo que puede suponer un reto si no controla totalmente dónde residen sus datos.

Microsoft afirma claramente que los usuarios son propietarios de los datos y son responsables de sus datos, cuentas y acceso, independientemente del tipo de instalación. Aunque Microsoft 365 incluye diversas herramientas de cumplimiento normativo, estas por sí solas no garantizan el cumplimiento de la normativa.

Ahora, resumamos en qué se diferencian Microsoft y los roles de los usuarios en términos de infraestructura, seguridad y cumplimiento normativo.

El rol de Microsoft

Infraestructura Disponibilidad y tiempo de actividad:

• Centros de datos
• Redes
• Aplicaciones
• Sistema operativo

Seguridad:

• Seguridad de los centros de datos frente a fallos de software, interrupciones y desastres
• Seguridad frente al acceso no autorizado a la infraestructura física que aloja Microsoft 365
• Redundancia de los centros de datos (replicación) en múltiples ubicaciones

Cumplimiento normativo como encargado del tratamiento de datos:

• Políticas transparentes y auditoría
• Respuesta ante infracciones y notificación oportuna

Rol del usuario

Infraestructura:

• Datos de los usuarios
• Dispositivos finales
• Gestión de cuentas y accesos

Seguridad:

• Protección de datos frente a ciberamenazas, desastres y errores humanos
• Backup, retención y archivo de datos
• Continuidad del negocio y recuperación ante desastres

Cumplimiento normativo como propietario/responsable del tratamiento de datos

• Responsabilidad por el acceso a los datos, la privacidad, la seguridad y la retención
• Cumplimiento de normas y reglamentos

Como propietario de los datos, el usuario siempre es responsable de sus datos y del acceso a ellos, lo que hace que la protección de datos de Las soluciones de backup de terceros son fundamentales para Microsoft 365 sea fundamental. Microsoft ofrece algunas herramientas integradas para la retención de datos y la recuperación a corto plazo, pero estas no son suficientes para garantizar un control total sobre los datos.

Microsoft lanzó Microsoft 365 Backup para Exchange Online, SharePoint Online y OneDrive para la Empresa en 2024 con el fin de subsanar la falta de capacidades de copia de seguridad. Sin embargo, incluso con esta nueva solución, los usuarios siguen teniendo que lidiar con el principal inconveniente de todas las herramientas nativas de Microsoft: todas las copias de los datos se almacenan dentro de la nube de Microsoft, por lo que los datos principales y los de copia de seguridad no están físicamente separados. Esto puede comprometer su estrategia de protección de datos y aumentar el riesgo de pérdida de datos.

Para garantizar la recuperación de datos de Microsoft 365 en cualquier situación, necesitas una herramienta de copia de seguridad de terceros completa, como NAKIVO Backup & Replication, que admita almacenamiento local, externo y en la nube. La posibilidad de elegir entre múltiples destinos de copia de seguridad te permite aplicar sin esfuerzo la regla de copia de seguridad 3-2-1, almacenando copias de los datos fuera de la infraestructura de Microsoft para lograr una mayor seguridad y control.

Además, puedes proteger aún más los datos contra el ransomware y otras amenazas cibernéticas gracias a una amplia gama de funciones de seguridad, entre las que se incluyen el cifrado y la inmutabilidad. La solución NAKIVO admite el cifrado AES-256, lo que le permite proteger los backups antes de transferirlos a través de la red. Con la función de inmutabilidad, los backups cifrados quedan «bloqueados» durante un periodo determinado, lo que impide cualquier modificación o eliminación durante ese tiempo.

¿Cómo supervisar y auditar las actividades de backup en Microsoft 365 con NAKIVO?

La solución de backup NAKIVO ofrece la ventaja de la supervisión de Microsoft 365. Existen pocas herramientas nativas para la supervisión y auditoría de la seguridad de Microsoft 365, entre las que se incluyen el Centro de cumplimiento y Microsoft Defender. Sin embargo, están diseñadas principalmente para supervisar los datos de origen y no ofrecen una visión general detallada de las actividades de copia de seguridad, ni cuentan con alertas automatizadas sobre el estado de las copias de seguridad.

NAKIVO Backup & Replication, por otro lado, le permite supervisar todas las actividades de copia de seguridad de Microsoft 365 desde un panel de control web centralizado. Allí, puede consultar las tareas actuales y programadas y su estado, así como la supervisión del espacio de almacenamiento de los backups, su tamaño y su velocidad. El panel muestra errores y alertas relacionados con las actualizaciones y las licencias de la solución, los repositorios, los transportadores y las actividades en ejecución, resaltándolos en rojo cuando el problema es crítico.

La solución NAKIVO le permite configurar notificaciones por correo electrónico al finalizar la copia de seguridad y configurar acciones previas y posteriores a la copia de seguridad mediante scripts personalizados. Estos scripts pueden ayudarle a automatizar acciones de corrección para problemas conocidos, como reiniciar servidores remotos o ejecutar otro software después de la copia de seguridad.