Sophos Backup and Recovery M365 con Rubrik

Sophos Backup and Recovery para Microsoft 365 ya está disponible. La solución está impulsada por Rubrik e integrada en Sophos Central. Con ello, Sophos cubre un tema que desde hace tiempo es crítico para muchas empresas: la restauración de Exchange Online, OneDrive, SharePoint y Teams tras ransomware, cuentas comprometidas, eliminaciones accidentales o incidentes internos.

En principio, es un paso sensato. Microsoft 365 ya no es solo correo electrónico para muchas empresas, sino almacenamiento de archivos, colaboración, comunicación en Teams, calendarios, identidad y a menudo una gran parte de la memoria operativa. Si allí se pierden o manipulan datos, sirve de poco que Endpoint y Firewall indiquen correctamente que algo ha ocurrido. También hay que poder recuperar los datos de forma fiable.

Aun así, conviene valorar el anuncio con sobriedad. Cuando pienso en copias de seguridad de Microsoft 365, muchas empresas suelen tener primero en la lista a proveedores como Veeam, AvePoint, Acronis, Hornetsecurity, Dropsuite, Rubrik o, ahora también, Microsoft 365 Backup. Sophos es especialmente fuerte en la operación de seguridad alrededor de Endpoint, MDR, XDR, Firewall y Central Management, y ahora incorpora con Rubrik un proveedor especializado de backup a ese entorno. Puede tener sentido, pero no sustituye una comparación rigurosa.

Qué ofrecen ahora Sophos y Rubrik

Sophos Backup and Recovery Powered by Rubrik es un servicio cloud de backup y recovery para Microsoft 365. Según Sophos, protege los cuatro workloads principales:

• Exchange Online
• OneDrive
• SharePoint
• Teams

La solución se integra en Sophos Central, pero la tecnología de backup subyacente procede de Rubrik. Esto es importante, porque Rubrik es un nombre consolidado en el mercado de backup y cyber recovery. El valor está sobre todo en la combinación de Sophos Central con una plataforma Rubrik especializada.

Los puntos más interesantes son:

• Backups inmutables: los backups deben protegerse contra manipulaciones mediante WORM locks y arquitectura air-gap.
• Restauración granular: se pueden restaurar correos individuales, carpetas, buzones, contenidos de OneDrive, sitios SharePoint o áreas más amplias.
• Restauración a usuarios alternativos: esto importa cuando las cuentas están desactivadas, comprometidas o ya no existen.
• Retención flexible: Sophos menciona opciones de retención de un año, siete años, diez años o más.
• SLA Domains: la frecuencia de backup y el periodo de conservación se controlan mediante políticas de Rubrik.
• Residencia de datos: los backups se almacenan en Microsoft Azure; la región se elige durante el onboarding.

Desde el punto de vista técnico, estos son los bloques adecuados. La combinación de backups inmutables, restauración granular y retención definible es más importante para Microsoft 365 de lo que muchos creen.

Por qué Microsoft 365 sigue necesitando backup

Un malentendido frecuente es: “Microsoft opera Microsoft 365, así que mi backup ya está resuelto allí.” No es tan simple. Microsoft garantiza la disponibilidad de la plataforma, la infraestructura, la redundancia y muchos mecanismos de protección. Pero eso no sustituye un concepto de backup y recovery del lado del cliente.

Retention Policies, papelera, versionado, Litigation Hold y eDiscovery son funciones valiosas, pero resuelven otros problemas. Ayudan con gobernanza, conservación, cumplimiento o restauración a corto plazo. Un backup debe responder a otras preguntas:

• ¿Se pueden restaurar datos tras una cuenta de administrador comprometida?
• ¿Existe un punto de restauración limpio anterior a una manipulación?
• ¿Están los backups protegidos contra eliminación y modificación?
• ¿Con qué rapidez se puede recuperar una gran cantidad de datos?
• ¿Quién puede restaurar, y queda registrado?
• ¿Están realmente cubiertos por completo los datos de Teams, SharePoint, OneDrive y Exchange?

Especialmente con ransomware o account takeover, una papelera no basta. Si un atacante con privilegios elevados cambia ajustes de retención, elimina datos o cifra contenidos, se necesita una vía de restauración independiente y probada.

Qué resulta interesante de la integración con Sophos

La ventaja evidente es la administración centralizada. Muchos clientes de Sophos trabajan a diario con Sophos Central: Endpoint, Server, MDR, XDR, Email, Firewall Management, NDR, señales de identidad y reporting conviven allí. Si backup y recovery también son visibles allí, se puede ahorrar tiempo durante un incidente.

Esto es especialmente relevante cuando se usa Sophos MDR o XDR. En un ataque no solo importa detectar al atacante, sino también delimitar y restaurar rápidamente el conjunto de datos afectado. Cuando la información de seguridad y recovery se acerca, aparece un valor operativo real.

Pero esta integración no debe confundirse con una magia completa de consola única. Según Sophos, en el portal de Rubrik se empieza igualmente desde cero: autenticar el tenant de Microsoft 365, conceder permisos, configurar la SLA Domain y definir correctamente las backup policies. Las configuraciones existentes de Sophos Central no se convierten automáticamente en una estrategia de backup terminada.

Y eso también es correcto. El backup no es un interruptor que se activa en algún sitio y luego se olvida. Necesita diseño, responsabilidades y pruebas.

Dónde miraría con detalle antes de comprar

En los productos de backup, al final no cuenta el posicionamiento, sino la operación. Lo decisivo es si la solución encaja con el entorno, si restaura con suficiente rapidez en caso de emergencia y si los costes tras dos años siguen pareciéndose a la primera oferta. Ahí es donde hay que mirar de cerca Sophos Backup and Recovery.

Antes de una recomendación, para mí serían relevantes sobre todo estos puntos:

• ¿Encaja el modelo de licencia con el tamaño real de la empresa?
• ¿Es realista el almacenamiento incluido para Exchange, OneDrive, SharePoint y Teams?
• ¿Está claro quién administra los backups y quién puede restaurar?
• ¿Se ha hecho una prueba de restore con datos reales?
• ¿Existe una estrategia de salida si Sophos o Rubrik cambian el modelo más adelante?
• ¿Se busca realmente backup, o en realidad archivado, eDiscovery o Legal Hold?

Solo cuando estas preguntas estén respondidas se puede valorar seriamente si la integración en Sophos Central encaja también técnica y económicamente con la estrategia de backup propia.

Compra mínima de 200 seats

El pedido mínimo es de 200 seats. Las organizaciones más pequeñas también pueden usar el producto, pero deben comprar igualmente 200 seats. Para muchas pymes, esto es un punto de entrada bastante alto. Justo ahí hay que comparar honestamente si otra solución de backup para Microsoft 365 encaja mejor económicamente.

5 GB de almacenamiento por seat

Cada seat incluye 5 GB de almacenamiento como pool compartido. Al principio suena correcto, pero en tenants Microsoft 365 reales puede quedarse corto rápidamente. Exchange, OneDrive y SharePoint suelen crecer mucho más deprisa de lo previsto. Según Sophos, el almacenamiento adicional no se compra por separado, sino que se amplía mediante seats adicionales.

Esto se vuelve especialmente relevante con periodos de conservación más largos. Un año de historial de backup es muy distinto de siete o diez años. Cuanto mayor es la retención, más influyen en el almacenamiento el crecimiento de buzones, el uso de OneDrive, las versiones de SharePoint y los archivos de Teams. En muchos entornos productivos, 5 GB por seat no llegan muy lejos si Microsoft 365 se usa intensamente.

Este punto debe comprobarse con cifras reales antes de la oferta:

• volumen actual de datos de Exchange Online
• uso de OneDrive por usuario
• sitios SharePoint y archivos de Teams
• crecimiento esperado
• retención deseada
• puntos de restore y frecuencia de backup

De lo contrario, la licencia puede parecer adecuada al principio, pero volverse poco atractiva tras unos meses.

Provisioning manual

Tras el pedido hay un paso de provisioning manual por parte de Rubrik. Sophos menciona normalmente dos días, y hasta nueve días en casos individuales. Para un proyecto nuevo no es un drama, pero para “necesitamos backup mañana” no es ideal. Sobre todo si un cliente descubre después de un incidente que Microsoft 365 no estaba protegido correctamente, esa conclusión llega demasiado tarde.

Sin archivo dedicado

Backup and Recovery no es una solución completa de archivado. Sophos indica también que funciones como eDiscovery o Legal Hold no están incluidas en el sentido de una plataforma de archivado dedicada. Quien necesite archivado legal, journaling, procesos de discovery o conservación larga con garantías debe comprobarlo por separado.

Mi valoración

La dirección me parece correcta. Sophos ha reconocido que la seguridad sin recovery está incompleta. Prevention, Detection y Response son importantes, pero en algún momento llega la pregunta simple: “¿Podemos recuperar los datos?” Si la respuesta no está clara, la arquitectura de seguridad no está terminada.

Aun así, no convertiría automáticamente Sophos Backup and Recovery en la recomendación estándar. La razón no es Rubrik, al contrario. Rubrik es más bien la parte que genera confianza. La pregunta central es estratégica: ¿encaja Sophos Central como punto de entrada comercial y operativo para Microsoft 365 backup en este entorno, o es más adecuado un proveedor directo de backup cuyo producto central sea M365 backup?

Esta pregunta es especialmente importante en backup, porque un producto de backup no se compra para un trimestre. Alrededor de él se construyen procesos, retención, requisitos de auditoría, pruebas de restore y responsabilidad operativa. Si más adelante cambian la plataforma, la licencia o la estrategia de producto, cambiar resulta mucho más costoso que con muchos otros servicios de seguridad.

Mi recomendación es por tanto pragmática:

• Quien use intensamente Sophos Central, Sophos MDR o Sophos XDR debería evaluar la integración con Rubrik.
• Quien ya conozca o use Rubrik tiene un motivo adicional para mirarlo más de cerca.
• Las empresas más pequeñas con bastante menos de 200 usuarios deben calcular muy bien la economía.
• Quien ya tenga Microsoft 365 Backup bien resuelto con Microsoft, Veeam, AvePoint, Acronis, Hornetsecurity, Dropsuite o una plataforma MSP no necesita cambiar por reflejo.
• Quien aún no tenga ningún backup M365 debería priorizar el tema ahora, pero comparar varias soluciones.

Qué miraría en una comparación

En backups de Microsoft 365 no se trata solo de “tiene backup” o “no tiene backup”. Importan los detalles operativos: qué se protege, cuánto tiempo permanecen disponibles los datos, cuán granular es la restauración, con qué rapidez funciona el restore y quién puede acceder a los datos de backup.

Por eso no compararía Sophos Backup and Recovery solo por precio por usuario. Hay que mirar todo el modelo operativo. Una solución puede parecer barata a primera vista y aun así encarecerse después si almacenamiento, retención, tiempo de restore o requisitos de compliance no se han calculado correctamente.

Para mí, al menos cinco áreas pertenecen a la comparación: cobertura de workloads, calidad de restore, modelo de roles, retención/compliance y vía de compra.

Cobertura de workloads

Teams es un buen ejemplo. Algunas soluciones solo respaldan los archivos almacenados en SharePoint. Contenidos de chat, chats privados, Planner, Forms, componentes Loop u otros datos M365 pueden estar cubiertos de forma distinta según el producto, o no estarlo en absoluto. Por eso hay que comprobar concretamente qué entiende cada solución por “Teams Backup”.

Retención, almacenamiento y conservación legal

Una de las preguntas más importantes es: ¿cuánto tiempo deben conservarse realmente los datos? Sophos menciona opciones de retención de un año, siete años, diez años o más. Suena flexible, pero la respuesta correcta no viene del datasheet, sino de contabilidad, compliance, protección de datos, RR. HH. y del sector correspondiente.

En Suiza, los libros contables y justificantes suelen conservarse durante diez años. Para ciertos documentos relevantes de IVA relacionados con bienes inmuebles, también pueden ser relevantes veinte años. A esto se suman requisitos sectoriales, directrices internas, obligaciones contractuales y deberes de protección de datos. Un backup de Microsoft 365 no solo debe funcionar técnicamente, sino encajar en el concepto de conservación de la empresa.

La distinción es importante: la retención de backup no es automáticamente archivado conforme a la ley. Un backup está pensado principalmente para restauración. Archivado, eDiscovery, Legal Hold, journaling, prueba inmutable y conceptos de eliminación selectiva son requisitos diferentes. Quien deba conservar datos M365 por motivos legales no debería limitarse a configurar “10 años de backup” y dar el tema por cerrado.

Aquí es donde el modelo de almacenamiento se vuelve importante. La retención larga consume almacenamiento, y 5 GB por seat se agotan rápido cuando Exchange, OneDrive, SharePoint y Teams crecen durante años. Antes de decidir, conviene calcular con datos reales del tenant y no con medias de una presentación.

Sophos powered by Rubrik o Rubrik directamente?

Una pregunta natural del cliente es: si la tecnología viene de Rubrik, ¿por qué comprar a través de Sophos y no directamente a Rubrik o mediante un partner de Rubrik?

La respuesta honesta: la ventaja de la vía Sophos no está principalmente en una tecnología de backup diferente, sino en el modelo operativo y de compra. Sophos Central puede ser atractivo cuando Endpoint, Firewall, Email, MDR o XDR ya se operan con Sophos y el recovery debe acercarse a esos procesos de seguridad. También el modelo de roles, la administración delegada, los canales de partner conocidos y un proceso de licencia unificado pueden marcar diferencia en el día a día.

Pero si Sophos Central apenas desempeña un papel en la empresa, ese valor añadido debe compararse muy cuidadosamente con el precio. En ese caso, Sophos Backup and Recovery Powered by Rubrik debe compararse directamente con Rubrik y con otros proveedores de backup Microsoft 365. Si comprar a través de Sophos cuesta más, el sobreprecio debe justificarse por menos esfuerzo operativo, administración más sencilla, mejores flujos de incidente o una vía de soporte más clara.

Por eso siempre ofrecería o al menos comprobaría ambas variantes:

• Sophos Backup and Recovery Powered by Rubrik a través de Sophos Central
• Rubrik directamente o mediante un partner Rubrik
• según el entorno, también Veeam, AvePoint, Acronis, Hornetsecurity, Dropsuite o Microsoft 365 Backup

Solo así se ve si Sophos Central es una ventaja real en el entorno concreto o solo una vía comercial adicional para la misma tecnología base.

Calidad de restore

Un backup solo vale lo que vale su restore. Yo siempre probaría:

• restaurar un correo individual
• restaurar un buzón completo
• restaurar el OneDrive de un usuario desactivado
• restaurar archivos de SharePoint a un punto anterior a una manipulación
• simular una restauración grande con varios usuarios
• probar el restore a un usuario o ubicación de destino alternativa

Estas pruebas no son opcionales. Muchos proyectos de backup se ven bien sobre el papel y fallan en el caso real por permisos, rendimiento, documentación insuficiente o responsabilidades poco claras.

Tenant y modelo de roles

El acceso al backup es muy sensible. Quien puede leer y restaurar datos de backup tiene acceso a una gran cantidad de datos corporativos. Por eso se necesitan roles claros, MFA, logging, procesos de aprobación y revisiones periódicas.

Especialmente importante: los administradores de backup no deberían usar las mismas cuentas y roles que están activos en toda la operación normal de Microsoft 365. Si se compromete un Global Admin, el backup no debe caer con él.

Residencia de datos y estrategia de salida

La residencia de datos no es solo una casilla de compliance. Hay que entender en qué región se almacenan los backups, quién tiene acceso, qué opciones de cifrado existen y cómo funcionaría un cambio de proveedor.

En sistemas de backup, la pregunta de salida siempre forma parte del tema:

• ¿Cuánto tiempo permanecen disponibles los datos tras la cancelación?
• ¿Se pueden exportar los backups?
• ¿Cómo sería un cambio de tenant?
• ¿Qué pasa si se asigna mal una licencia?
• ¿Cómo se gestionan usuarios eliminados, shared mailboxes y antiguos empleados?

Son preguntas aburridas. Precisamente por eso son importantes.

Conclusión

Sophos Backup and Recovery para Microsoft 365 es una ampliación interesante porque Sophos acerca el recovery a las Security Operations. Para clientes de Sophos MDR y XDR puede ser práctico durante un incidente. Que la tecnología venga de Rubrik es un punto positivo importante, porque Rubrik ya está establecida en el mercado de backup y cyber recovery.

Pero sigue siendo un proyecto de backup y debe planificarse como tal.

Miraría la solución, pero la compararía cuidadosamente. Compra mínima, modelo de almacenamiento, provisioning, requisitos de archivado, pruebas de restore y estrategia de producto a largo plazo deben estar antes de una decisión de compra. Sophos Central es una ventaja si la empresa ya trabaja allí. Pero no es una razón suficiente para dejar de mirar proveedores M365 backup probados.

Mi recomendación: quien todavía no tenga backup de Microsoft 365 debería priorizar el tema ahora. Si Sophos Backup and Recovery Powered by Rubrik es la mejor opción depende del tamaño, el uso existente de Sophos, los requisitos de compliance, la retención, el crecimiento de almacenamiento y el modelo operativo. Esos puntos deben revisarse cuidadosamente antes de comprar.

FAQ

Fuentes

• Sophos Partner News: Sophos Backup and Recovery for M365 powered by Rubrik is now available
• Sophos Community: Backup and Recovery M365 Powered by Rubrik
• Sophos Press: Rubrik and Sophos to Deliver Microsoft 365 Cyber Resilience with New Partnership
• Microsoft: Microsoft 365 Backup
• Microsoft Learn: Privacy, security, and compliance in Microsoft 365 Backup
• ESTV: Preguntas y respuestas sobre el IVA