Como traçar um plano de Disaster Recovery para garantir a segurança?

Home Segurança
Como traçar um plano de Disaster Recovery para garantir a segurança?
disaster recovery

Como traçar um plano de Disaster Recovery para garantir a segurança?

Falhas e vulnerabilidades são sempre um problema para as empresas, mas questões que envolvem equipamentos e a infraestrutura de rede podem levar a enormes prejuízos. É nessa fase que se deve apostar no valor do Disaster Recovery. Trata-se de um plano de contingência que visa remediar estragos causados por ataques cibernéticos.

O objetivo dessa estratégia é evitar os impactos de imprevistos nas operações empresariais, mas vale destacar que essas situações podem ocorrer a partir de desastres naturais, como alagamentos ou terremotos. Isso significa que um plano de recuperação também é adequado para diferentes situações, e suas melhores práticas são essenciais para o funcionamento do negócio.

Continue a leitura deste conteúdo para entender tudo sobre Disaster Recovery e como ele pode ajudar a proteger o seu negócio de adversidades futuras!

O que é Disaster Recovery?

O termo significa “recuperação de desastres”, sendo uma explicação literal de sua importância para as informações corporativas. Ele se refere ao conjunto de ações empregadas para ajudar as empresas a se recuperarem depois de enfrentar situações adversas graves, como ataques cibernéticos, roubo de dados, perda de equipamentos e outros.

Com as empresas cada vez mais dependentes de dados para manter a fluidez de suas atividades, o Disaster Recovery se tornou uma ferramenta que permite essa continuidade. Em suma, representa o uso de políticas ou medidas que auxiliam na rápida recuperação de dados e serviços perdidos, que podem impactar negativamente as organizações.

Com a implementação da nova Lei Geral de Proteção de Dados, esse conjunto de iniciativas se tornou ainda mais importante. Existem ataques que visam única e exclusivamente o roubo de dados pessoais, e um vazamento desse nível pode prejudicar permanentemente as operações de uma empresa. As multas podem chegar a R$ 50 milhões. Sendo assim, o esforço deve ser feito para que tal desastre não aconteça.

Como esse método funciona?

Se você decidir implementar um plano de Disaster Recovery, talvez precise fechar uma parceria com fornecedores desse serviço, dependendo do número de servidores usados pela empresa. O preço pode variar, dependendo das necessidades do seu negócio e do uso da ferramenta. De todo modo, o custo sempre será compatível com os recursos da organização e com a efetividade do plano.

Uma instituição que conta com servidores que consomem até 1 TB de espaço de armazenamento precisará de um plano com essa capacidade. Como os dados já existentes serão replicados, é essencial assinar um serviço com a mesma capacidade de armazenamento atual.

Durante a implementação de um plano de Disaster Recovery, duas importantes métricas precisam ser observadas com rigor. A primeira delas é o Recovery Time Objective — RTO. Esse indicador diz para o sistema qual é o tempo necessário até haver a completa recuperação do desastre ocorrido. Todas as ações necessárias precisam ser elencadas, como as reinstalações, restore de dados e atualizações.

A outra métrica bastante importante é o Recovery Point Objective — RPO. Ela está diretamente relacionada com a quantidade (margem) de dados que será perdida em caso de um desastre. E isso está diretamente ligado à política de backup dos dados da companhia. Se for feito duas vezes por dia, o RPO será de 12 horas. Se quatro, teremos um RPO de 6 horas e assim por diante.

Quais são as ameaças a serem combatidas?

Antes de compreender como o Disaster ou Recovery é útil para o seu negócio, você precisa entender quais são as principais e mais frequentes ameaças que podem prejudicar o setor de TI da empresa

Roubos

Manter a segurança de um estabelecimento comercial é fundamental. Essa preocupação se justifica, sobretudo, pela relação com os Recursos Humanos da empresa, ou seja, com a integridade física das pessoas que nela trabalham.

Conservar a integridade dos equipamentos também é importante, afinal, uma estrutura de TI não custa barato. Em geral, esses são equipamentos, ferramentas e máquinas que têm um alto custo de aquisição. Assim, é essencial proteger a segurança, especialmente do setor de TI.

Em caso de roubo de equipamento — além de informação sensível — existe um prejuízo financeiro, pois esses dispositivos terão que ser recomprados — o que tem um impacto negativo no orçamento. Dessa forma, a segurança patrimonial deve ser reforçada, a fim de impedir que ações criminosas desse tipo ocorram.

Erros humanos

Outra ameaça que reforça ainda mais a importância de se ter um plano de Disaster Recovery são as falhas humanas. Ao transportar equipamentos de TI, um funcionário pode cometer algum erro e danificar o dispositivo. Além disso, existe o risco de um colaborador avariar os dados do sistema e os aparelhos corporativos propositalmente, o que pode ser entendido como sabotagem.

Queda de energia

Todas as organizações estão sujeitas a sofrer quedas de energia, mesmo que não tenham um setor de TI. As razões que causam quedas de energia são inúmeras e distintas: pode ser algo local, como um curto-circuito na fiação do prédio, ou um evento que atinge o bairro inteiro.

De todo modo, a interrupção repentina da energia elétrica prejudica o andamento das atividades. O tempo ocioso representa atraso nas entregas e paralisação na produção de serviços e produtos, que resultam na perda de receita. Outro prejuízo é nos equipamentos, que podem ser danificados com a queda abrupta de energia — além de perder dados importantes da empresa. Ter um gerador auxiliar é fundamental.

Crimes cibernéticos

Outra ameaça que o plano de Disaster Recovery pode contornar são os ataques cibernéticos. Mesmo que a sua empresa use os mais sofisticados softwares de proteção de dados, ela não fica isenta de sofrer esses ataques. Pessoas mal-intencionadas podem se aproveitar de possíveis falhas na segurança e atacar toda a rede da organização.

Tais ofensivas podem acontecer por diferentes motivos, como o roubo de dados para espionagem industrial ou pedidos de resgate. Assim, é fundamental traçar um plano de contingência para se recuperar o quanto antes de ataques do tipo.

Impactos ambientais

Outra ameaça que foge do controle humano são os desastres ambientais. Chuvas torrenciais, tempestades, tufões e outros acontecimentos naturais capazes de prejudicar a integridade física dos equipamentos da empresa podem acontecer a qualquer momento. Esse fator também deve ser considerado na hora de traçar um plano de recuperação de desastres.

Falhas de equipamento

Mais um ponto em que o Disaster Recovery pode auxiliar é quando ocorrem falhas nos equipamentos. Qualquer máquina ou dispositivo pode apresentar falhas: o sistema pode entrar em pane, os softwares podem travar ou se tornar excessivamente lentos, os computadores podem superaquecer etc.

Independentemente das causas, uma falha dessas gera o mesmo resultado: a suspensão das operações até que o problema seja solucionado. Nesse sentido, há uma corrente de acontecimentos. Falhas de equipamentos levam à paralisação dos serviços — o que demanda investimento de tempo e dinheiro para os consertos, que geram atrasos no fluxo de trabalho.

Tudo isso faz com que as entregas extrapolem o prazo — gerando perda de dinheiro e prejuízos na credibilidade da empresa frente ao cliente.

Quais são as boas práticas de um Disaster Recovery?

Agora que você já sabe o que é um Disaster Recovery e quais são as principais ameaças que ele pode contornar, chegou a hora de entender quais são as boas práticas que guiam um plano de recuperação de desastres. Veja mais a seguir.

Conheça as ameaças em potencial

Muitas organizações começam a traçar um plano de recuperação sem ao menos identificar quais possíveis ameaças podem prejudicar seus sistemas, mas essa abordagem pode gerar até mais prejuízos. 

É essencial incluir, no plano de recuperação, medidas de segurança robustas, como fazer o controle de acesso do sistema, incluir firewalls para proteger a rede de ciberataques, fazer backups dos dados e instalar antivírus e anti-spam.

Elabore inventários de software e hardware

Para manter a infraestrutura de TI da empresa sob controle, é indispensável ter uma ampla noção de todos os seus ativos. É preciso incluir no plano um inventário sobre cada dispositivo utilizado, suas funções e recursos gastos por departamento da empresa.

Esse inventário permite aos gestores saberem exatamente quais equipamentos fazem parte da empresa. A partir disso, fica mais fácil analisar possíveis danos e escolher as melhores soluções para cada situação.

Crie planos de backup

Estabelecer um backup de rotina é essencial para qualquer plano de Disaster Recovery bem-sucedido. A equipe de TI deve criar uma lógica definida e documentada para que seja executada em momentos estratégicos, evitando a perda de dados entre uma cópia e outra.

Ao desenvolver o plano, a empresa deve considerar suas necessidades, definir onde armazenar os backups — como migrar para cloud computing e fazer a gestão em cloud — e com que frequência eles devem ser realizados. Tudo isso deve ser documentado e disponibilizado a todos os colaboradores.

Estabeleça uma tolerância à perda de dados

A recuperação de desastres só é concluída quando a organização consegue definir sua tolerância para possíveis desastres, ou seja, por quanto tempo consegue se manter com a interrupção de suas operações.

Esse problema pode ser medido usando o Objetivo do Ponto de Recuperação (RPO) e o Tempo de Recuperação (RTO), conforme explicado anteriormente. O RPO analisa as perdas do negócio — quanto maior forem, indica que os aplicativos são mais resilientes. Se o resultado for menor, é indicado fazer backups com mais frequência.

Durante esse tempo, o RTO é responsável por medir o tempo de recuperação. Quando as suas taxas estão baixas, significa que você está trabalhando mais rápido para evitar perdas. Esse é um parâmetro que deve orientar a equipe para saber o tempo limite para recuperar as perdas.

Faça testes e auditorias

Para garantir o sucesso do plano, é necessário realizar auditorias e testes periódicos. Dessa forma, a organização pode identificar o que precisa ser consertado ou melhorado. Como resultado dessa prática, a empresa é capaz de fazer alterações e melhorias antes que ocorram danos. Tudo pode ser analisado com calma, seguindo os critérios do plano e as necessidades da empresa.

Faça uma avaliação da estrutura interna de TI

É imprescindível conhecer toda a infraestrutura de TI antes de elaborar o plano. Sem ter o conhecimento da real capacidade dos equipamentos, não é possível agir de forma eficiente na ocorrência de um desastre que agrida severamente a companhia.

Assim, mapeie todos os recursos de hardware, software e também de pessoal, pois mesmo as melhores técnicas não podem ser executadas sozinhas. É preciso contar com pessoas qualificadas e bem preparadas para lidar com situações emergenciais.

Promova a integração dos setores da empresa

Um ataque cibernético pode ocorrer em uma velocidade muito grande. Nesse sentido, o plano deve ser colocado em ação o mais rápido possível, afinal de contas estamos falando da sobrevivência da empresa. Assim, é importante contar com a integração entre os setores, pois provavelmente será necessária uma comunicação ágil e eficiente nesses momentos. Todos devem saber o que deve ser feito, sem titubear.

Tenha profissionais de gestão de crises

Pode ser que seja necessário ir ainda mais além em relação à equipe disponível para efetuar as ações do plano de Disaster Recovery. Estamos falando de profissionais especializados e altamente treinados em situações desse tipo. Trata-se da equipe de gestão de crise que, a depender do tamanho do negócio, pode situar-se no quadro de colaboradores ou ser terceirizada. O importante é que tenham passado por rigorosos testes de conhecimento no assunto.

Seja participante de um bom modelo de governança de TI

A melhor indicação é buscar por um modelo de governança de TI que se adéque às necessidades da organização. Em relação ao Disaster Recovery, existe um plano voltado para lidar com esse tipo de situação. É o Framework Risk IT, que foi elaborado pela Information Systems Audit and Control Association — ISACA.

Entre as premissas desse modelo de governança de TI, podemos citar o total conhecimento da tolerância ao risco que a empresa tem, o modo de efetuar a tomada de decisões, a integração do departamento de TI com os demais setores da organização e o entendimento de como lidar com a situação de ameaça.

Como traçar um plano de Disaster Recovery?

Como você pôde notar, existe uma série de fatores que influenciam negativamente na infraestrutura de TI da empresa. Nenhuma organização está 100% livre de imprevistos. Para evitar que o pior cenário aconteça, a chave é a prevenção.

Veja, a seguir como criar um plano de recuperação de desastres eficiente.

Faça a prevenção dos riscos

No mundo dos negócios, não há lugar para “achismos” e não se deve depender da sorte. Todos na empresa devem participar ativamente na questão da segurança. O primeiro passo é realizar a investigação e identificação de todos os riscos possíveis, listando os mais prováveis ​​para o setor de TI. Uma vez que isso é feito, um plano de ação deve ser o de reduzir a probabilidade de danos.

O objetivo é apontar as prováveis ​​consequências em determinados pontos do domínio de TI — e estender essa responsabilidade a toda a empresa para saber contornar qualquer eventualidade. Dessa forma, a organização terá uma ideia mais clara de suas sensibilidades e do que precisa para atender às suas necessidades específicas de segurança.

Tenha uma boa documentação do processo

Considerando que um desastre é um evento muito traumático para uma empresa, é preciso documentar muito bem todo o processo e principalmente as responsabilidades de cada envolvido na execução do plano. As diretrizes a serem tomadas por cada um precisam ser claramente definidas.

Assim, busque ter por escrito as ações necessárias na ocorrência de um desastre, qualquer que seja ele. Um ponto importante a considerar é que esse documento não deve ser imutável ao longo do tempo, pelo contrário. Atualizações devem ser implementadas sempre que o plano for modernizado.

Realize a organização dos setores

Como o Disaster Recovery tem o objetivo de restaurar sistemas e dados, é essencial que os setores participem ativamente e se envolvam nos procedimentos relacionados à segurança da informação. Assim, todos os funcionários devem saber precisamente como fazer o backup e como usar a tecnologia de maneira adequada.

Além disso, eles devem estar cientes dos riscos e da necessidade de atualizar os sistemas usados ​​em suas rotinas. É conveniente ter uma integração real do setor de TI com os demais departamentos que compõem a empresa.

Tudo isso deve ser monitorado e controlado pelo grupo de gerentes. Dessa forma, é possível estimular a equipe e exigir um forte comprometimento dos colaboradores nas adversidades.

Quais são os cuidados a tomar?

Para tornar o plano de Disaster Recovery ainda mais eficiente, separamos algumas práticas que ajudarão bastante a sua empresa. Acompanhe a seguir.

Distribua funções específicas

Identifique quais colaboradores têm os conhecimentos necessários para realizar determinadas funções durante uma crise. Esses funcionários devem demonstrar um alto grau de comprometimento, resiliência e perícia em casos de urgência.

Priorize a segurança do RH

Muito se tem falado sobre as atividades de recuperação de dados, mas a parte mais importante e sutil de tudo isso foi esquecida: as pessoas. Ao projetar estratégias e planos de recuperação de desastres, lembre-se de medir os riscos que cada colaborador pode enfrentar no caso de um desastre, além de formas de minimizá-los.

Mais do que meras ações reparadoras, um plano de Disaster Recovery deve ser encarado como um conjunto de medidas preventivas contra perdas e danos. Afinal, é fundamental evitar cenários negativos em vez de precisar remediá-los constantemente. A nova LGPD pune severamente empresas que deixam vazar os dados sensíveis de seus usuários, e um plano de contingência deve prever esse tipo de acontecimento. Conte com um bom parceiro de negócios para implantar seu DR, como a SantoDigital.

Gostou de saber mais sobre o Disaster Recovery? Então aproveite e entre em contato para saber melhor de que forma podemos prover ajuda na elaboração de um plano para sua empresa!

imagem de fundo laranja com vetores de tablet em um dos lados e o texto "E-book gratuito LGPD - A sua empresa está preparada? Confira o passo a passo para adequar sua empresa a nova Lei Geral de Proteção de Dados e evitar multas" do outro

Receba todas novidades


    Veja mais conteúdos: