Ir para o site
  • Segurança

Como traçar um plano de Disaster Recovery para garantir a segurança?

  • Por: SantoDigital
  • fev 14, 2022
  • 12 minutos

Falhas e vulnerabilidades são sempre um problema na segurança de dados para as empresas, mas questões que envolvem equipamentos e infraestrutura de rede podem levar a enormes prejuízos. É nessa fase que se deve apostar no valor do Disaster Recovery

Trata-se de um plano de contingência que visa a remediar estragos causados por ataques cibernéticos. O objetivo dessa estratégia é evitar os impactos de imprevistos nas operações empresariais. 

Porém, vale destacar que essas situações podem ocorrer a partir de desastres naturais, como alagamentos ou terremotos. 

Isso significa que um plano de recuperação também é adequado para diferentes situações e suas melhores práticas são essenciais para o funcionamento do negócio.

Continue a leitura deste conteúdo para entender tudo sobre Disaster Recovery e como ele pode ajudar a proteger o seu negócio de adversidades futuras!

O que é Disaster Recovery?

O Disaster Recovery é o conjunto de ações empregadas para ajudar as empresas a se recuperarem após enfrentarem situações adversas graves

Por exemplo, ataques cibernéticos, roubo de dados, perda de equipamentos e outros. O termo significa “recuperação de desastres”, explicando sua importância para a segurança em TI.

Com as empresas cada vez mais dependentes de dados para manter a fluidez de suas atividades, o Disaster Recovery se tornou uma ferramenta que permite essa continuidade. 

Em suma, representa o uso de políticas ou medidas que auxiliam na rápida recuperação de dados e serviços perdidos, que podem impactar negativamente as organizações.

Com a implementação da nova Lei Geral de Proteção de Dados, esse conjunto de iniciativas se tornou ainda mais importante. Mas como a adequação à LGPD pode proteger os dados da sua empresa?

Existem ataques que visam única e exclusivamente ao roubo de dados pessoais. Assim, um vazamento desse nível pode prejudicar permanentemente as operações de uma empresa. 

As multas podem chegar a R$ 50 milhões. Portanto, o esforço deve ser feito para que tal desastre não aconteça.

Como o Disaster Recovery funciona?

O Disaster Recovery funciona a partir da elaboração de um plano, que pode conter diferentes estratégias. Por exemplo, o monitoramento contínuo do ambiente ou o backup de dados críticos. 

Por isso, sua implementação costuma ser feita ao fechar uma parceria com fornecedores desse serviço, dependendo do número de servidores usados pela empresa.

O preço pode variar, dependendo das necessidades do seu negócio e do uso da ferramenta. De todo modo, o custo sempre será compatível com os recursos da organização e com a efetividade do plano.

Uma instituição que conta com servidores que consomem até 1 Tb de espaço de armazenamento precisará de um plano com essa capacidade. 

Como os dados já existentes serão replicados, é essencial assinar um serviço com a mesma capacidade de armazenamento atual.

Durante a implementação de um plano de Disaster Recovery, duas importantes métricas precisam ser observadas com rigor. A primeira delas é o Recovery Time Objective (RTO).

Esse indicador diz para o sistema qual é o tempo necessário até haver a completa recuperação do desastre ocorrido. Todas as ações necessárias precisam ser elencadas, como as reinstalações, restore de dados e atualizações.

A outra métrica bastante importante é o Recovery Point Objective (RPO). Ela está diretamente relacionada com a quantidade (margem) de dados que será perdida em caso de um desastre. Isso está diretamente ligado à política de backup dos dados da companhia. 

Se for feito duas vezes por dia, o RPO será de 12 horas. Se quatro, teremos um RPO de 6 horas e assim por diante.

Quais são os pilares de um plano de Disaster Recovery?

Os pilares do plano de Disaster Recovery são: prevenção, detecção e correção. Veja detalhes sobre cada um a seguir!

Prevenção

A prevenção no plano de Disaster Recovery tem em vista tornar os sistemas confiáveis e seguros. Para isso, são utilizadas diferentes técnicas e ferramentas. Duas delas são o monitoramento contínuo do ambiente para encontrar violações de conformidade e erros de configuração, e backup de dados críticos.

Detecção

A detecção visa identificar eventos indesejados no momento em que ocorrem. Esse é o pilar do plano de Disaster Recovery que foca a recuperação rápida, já que determina quando se deve dar uma resposta.

Correção

A correção no Disaster Recovery consiste em implementar os processos de recuperação e restauração de dados e sistemas. Ele também contempla o planejamento de possíveis cenários e a realização de backups para diminuir o impacto em caso de um imprevisto.

Quais os benefícios do Disaster Recovery?

Os benefícios do Disaster Recovery incluem:

  • funcionamento das operações da empresa com pouca ou nenhuma interrupção;
  • segurança fortalecida, evitando a ocorrência de desastres;
  • agilidade na recuperação de desastres, com facilidade na restauração de dados e workloads;
  • custos reduzidos;
  • alta disponibilidade de recursos;
  • mais conformidade, com menos riscos e mais proteções específicas.

Quais são as ameaças a serem combatidas no Disaster Recovery?

As principais ameaças a serem combatidas no Disaster Recovery são: roubos, erros humanos, queda de energia, crimes cibernéticos, impactos ambientais e falhas de equipamento. Veja cada um em detalhes abaixo!

Roubos

Manter a segurança de um estabelecimento comercial é fundamental. Essa preocupação se justifica, sobretudo, pela relação com os recursos humanos da empresa, ou seja, com a integridade física das pessoas que nela trabalham.

Conservar a integridade dos equipamentos também é importante, afinal, uma estrutura de TI não custa barato. Em geral, os dispositivos, ferramentas e máquinas apresentam um valor de aquisição elevado. Assim, é essencial proteger a segurança, especialmente desse setor.

Em caso de roubo de equipamento — além de informação sensível — existe um prejuízo financeiro. Isso porque esses dispositivos terão que ser recomprados — tendo um impacto negativo no orçamento.

Dessa forma, a segurança patrimonial deve ser reforçada, a fim de impedir que ações criminosas desse tipo ocorram. Uma forma de fazer isso é pelo Disaster Recovery.

Erros humanos

Outra ameaça que reforça ainda mais a importância de se ter um plano de Disaster Recovery são as falhas humanas. Ao transportar equipamentos de TI, um funcionário pode cometer algum erro e danificar o dispositivo. 

Além disso, existe o risco de um colaborador avariar os dados do sistema e os aparelhos corporativos propositalmente, o que pode ser entendido como sabotagem.

Queda de energia

Todas as organizações estão sujeitas a sofrer quedas de energia, mesmo que não tenham um setor de TI. As razões que causam quedas de energia são inúmeras e distintas: pode ser algo local, como um curto-circuito na fiação do prédio, ou um evento que atinge o bairro inteiro.

De todo modo, a interrupção repentina da energia elétrica prejudica o andamento das atividades. O tempo ocioso representa atraso nas entregas e paralisação na produção de serviços e produtos, resultando na perda de receita.

Outro prejuízo é nos equipamentos, que podem ser danificados com a queda abrupta de energia — além de perder dados importantes da empresa. Ter um gerador auxiliar é fundamental, assim como um bom plano de Disaster Recovery.

Crimes cibernéticos

Outra ameaça que o plano de Disaster Recovery pode contornar são os ataques cibernéticos. Mesmo que a sua empresa use os mais sofisticados softwares de proteção de dados, ela não fica isenta de sofrer esses ataques. 

Pessoas mal-intencionadas podem se aproveitar de possíveis falhas na segurança e atacar toda a rede corporativa.

Tais ofensivas podem acontecer por diferentes motivos, como o roubo de dados para espionagem industrial ou pedidos de resgate. Assim, é fundamental traçar um plano de contingência para se recuperar quanto antes de ataques do tipo.

Impactos ambientais

Outra ameaça que foge do controle humano são os desastres ambientais. Chuvas torrenciais, tempestades, tufões e outros acontecimentos naturais capazes de prejudicar a integridade física dos equipamentos da empresa podem acontecer a qualquer momento. Esse fator também deve ser considerado na hora de traçar um plano de recuperação de desastres.

Falhas de equipamento

Mais um ponto em que o Disaster Recovery pode auxiliar é quando ocorrem falhas nos equipamentos. Qualquer máquina ou dispositivo pode apresentá-las: o sistema pode entrar em pane, os softwares podem travar ou se tornar excessivamente lentos, os computadores podem superaquecer etc.

Independentemente das causas, uma falha dessas gera o mesmo resultado: a suspensão das operações até que o problema seja solucionado. Nesse sentido, há uma corrente de acontecimentos.

Falhas de equipamentos levam à paralisação dos serviços — demandando investimento de tempo e dinheiro para os consertos, que geram atrasos no fluxo de trabalho.

Tudo isso leva as entregas a ultrapassarem o prazo — gerando perda de dinheiro e prejuízos à credibilidade da empresa frente ao cliente. Por isso, a infraestrutura de TI precisa ser bem pensada para evitar esses contratempos.

Quais são as boas práticas de um Disaster Recovery?

As boas práticas de um plano de Disaster Recovery incluem:

Conhecer as ameaças em potencial

Muitas organizações começam a traçar um plano de recuperação sem ao menos identificar quais possíveis ameaças podem prejudicar seus sistemas. No entanto, essa abordagem pode gerar até mais prejuízos. 

É essencial incluir, no plano de Disaster Recovery, medidas de segurança robustas. Por exemplo, fazer o controle de acesso do sistema, incluir firewalls para proteger a rede de ciberataques, fazer backups dos dados e instalar antivírus e antispam.

Elaborar inventários de software e hardware

Para manter a infraestrutura de TI da empresa sob controle, é indispensável ter uma ampla noção de todos os seus ativos. É preciso incluir no plano de Disaster Recovery um inventário de cada dispositivo utilizado, suas funções e recursos gastos por departamento.

Esse inventário permite aos gestores saberem exatamente quais equipamentos fazem parte da empresa. A partir disso, fica mais fácil analisar possíveis danos e escolher as melhores soluções para cada situação.

Criar planos de backup

Estabelecer um backup de rotina é essencial para qualquer plano de Disaster Recovery bem-sucedido. A equipe de TI deve criar uma lógica definida e documentada para executar em momentos estratégicos, evitando a perda de dados e informação entre uma cópia e outra.

Ao desenvolver o plano, a empresa deve considerar suas necessidades. Também precisa definir onde armazenar os backups — como fazer um plano de migração para cloud, com a gestão na nuvem — e com que frequência eles devem ser realizados. Tudo isso deve ser documentado e disponibilizado a todos os colaboradores.

Estabelecer uma tolerância à perda de dados

O Disaster Recovery só é concluído quando a organização consegue definir sua tolerância para possíveis desastres. Ou seja, por quanto tempo consegue manter suas atividades com a interrupção de suas operações.

Esse problema pode ser medido usando o Objetivo do Ponto de Recuperação (RPO) e o Tempo de Recuperação (RTO), conforme explicado anteriormente. O RPO analisa as perdas do negócio — quanto maior forem, indica que os aplicativos são mais resilientes. Se o resultado for menor, é indicado fazer backups com mais frequência.

Durante esse tempo, o RTO é responsável por medir o tempo de recuperação. Quando as suas taxas estão baixas, significa que você está trabalhando mais rápido para evitar perdas. Esse é um parâmetro que deve orientar a equipe para saber o tempo limite para recuperar as perdas.

Fazer testes e auditorias

Para garantir o sucesso do plano, é necessário realizar auditorias e testes periódicos. Dessa forma, a organização pode identificar o que precisa ser consertado ou melhorado.

Como resultado dessa prática, a empresa consegue fazer alterações e melhorias antes que ocorram danos. Tudo pode ser analisado com calma, seguindo os critérios do plano de Disaster Recovery e as necessidades da empresa.

Fazer uma avaliação da estrutura interna de TI

É imprescindível conhecer toda a infraestrutura de TI antes de elaborar o plano. Sem ter o conhecimento da real capacidade dos equipamentos, não é possível agir eficientemente na ocorrência de um desastre que agrida severamente a companhia.

Assim, mapeie todos os recursos de hardware, software e também de pessoal, pois mesmo as melhores técnicas não podem ser executadas sozinhas. É preciso contar com pessoas qualificadas e bem preparadas para lidar com situações emergenciais.

Promover a integração dos setores da empresa

Um ataque cibernético pode ocorrer em uma velocidade muito grande. Nesse sentido, o plano deve ser colocado em ação o mais rápido possível. Afinal de contas, estamos falando da sobrevivência da empresa.

Assim, é importante contar com a integração entre os setores, pois provavelmente será necessária uma comunicação unificada, ágil e eficiente nesses momentos. Todos devem saber o que deve ser feito, sem titubear.

Ter profissionais de gestão de crises

Pode ser que seja necessário ir ainda mais além em relação à equipe disponível para efetuar as ações do plano de Disaster Recovery. Estamos falando de profissionais especializados e altamente treinados em situações desse tipo.

Trata-se da equipe de gestão de crise, que, a depender do tamanho do negócio, pode situar-se no quadro de colaboradores ou ser terceirizada. O importante é que tenham passado por rigorosos testes de conhecimento no assunto.

Ser participante de um bom modelo de governança de TI

A melhor indicação é buscar por um modelo de governança de TI que se ajuste às necessidades da organização.

Em relação ao Disaster Recovery, existe um plano voltado para lidar com esse tipo de situação. É o Framework Risk IT, que foi elaborado pela Information Systems Audit and Control Association (ISACA).

Entre as premissas desse modelo de governança de TI, podemos citar o total conhecimento da tolerância ao risco que a empresa tem. Ainda tem o modo de efetuar a tomada de decisões, a integração do departamento de TI com os demais setores da organização e o entendimento de como lidar com a situação de ameaça e a segurança da informação.

Como traçar um plano de Disaster Recovery?

Faça a prevenção dos riscos

No mundo dos negócios, não há lugar para “achismos” e não se deve depender da sorte. Todos na empresa devem participar ativamente na questão da segurança. 

O primeiro passo é realizar a investigação e a identificação de todos os riscos possíveis, listando os mais prováveis ​​para o setor de TI. Uma vez que isso é feito, um plano de ação deve focar na redução da probabilidade de danos.

O objetivo é apontar as prováveis ​​consequências em determinados pontos do domínio de TI — e estender essa responsabilidade a toda a empresa para contornar qualquer eventualidade. 

Dessa forma, a organização terá uma ideia mais clara de suas sensibilidades e do que precisa para atender às suas necessidades específicas de segurança.

Tenha uma boa documentação do processo

Considerando que um desastre é um evento traumático para uma empresa, é preciso documentar bem todo o processo. Da mesma forma, deve-se destacar as responsabilidades de cada envolvido na execução do plano. Ou seja, as diretrizes a serem tomadas por cada um precisam ser claramente definidas.

Assim, busque ter por escrito as ações necessárias na ocorrência de um desastre, qualquer que seja ele. Um ponto importante a considerar é que esse documento não deve ser imutável ao longo do tempo, pelo contrário. Atualizações devem ser implementadas sempre que necessário.

Realize a organização dos setores

O Disaster Recovery tem o objetivo de restaurar sistemas e dados. Portanto, é essencial que os setores participem ativamente e se envolvam nos procedimentos relacionados à segurança da informação. 

Assim, todos os funcionários devem saber precisamente como fazer o backup e como usar a tecnologia de maneira adequada.

Além disso, eles devem estar cientes dos riscos e da necessidade de atualizar os sistemas usados ​​em suas rotinas. É conveniente ter uma integração real do setor de TI com os demais departamentos que compõem a empresa.

Tudo isso deve ser monitorado e controlado pelo grupo de gerentes. Dessa forma, é possível estimular a equipe e exigir um forte comprometimento dos colaboradores nas adversidades.

Quais são os cuidados a tomar no Disaster Recovery?

Distribua funções específicas

Identifique quais colaboradores têm os conhecimentos necessários para realizar determinadas funções durante uma crise. Esses funcionários devem demonstrar um alto grau de comprometimento, resiliência e perícia em casos de urgência.

Priorize a segurança do RH

Muito se tem falado sobre as atividades de restauração de dados, mas a parte mais importante e sutil de tudo isso foi esquecida: as pessoas. Ao projetar estratégias e planos de recuperação de desastres em TI, lembre-se de medir os riscos que cada colaborador pode enfrentar, além de formas de minimizá-los.

Finalizei o plano de Disaster Recovery, e agora?

Teste seu Disaster Recovery Plan

Todos os planos de Disaster Recovery precisam ser testados regularmente, seja ele executado internamente, seja por meio de um provedor de serviços. É recomendável executar esse procedimento ao menos duas vezes ao ano ou quando ocorrerem alterações significativas na infraestrutura.

Esses testes não apenas fornecem o conhecimento de que seu plano de recuperação de desastres funciona, mas também podem ajudar a obter informações sobre problemas que podem surgir em uma situação imprevista. 

Além disso, com esse procedimento, sua equipe estará treinada para proceder adequadamente, caso ocorra algum incidente.

Faça a si mesmo algumas perguntas

Há certos itens que, impreterivelmente, devem ser considerados em sua estratégia de Disaster Recovery para garantir seu perfeito funcionamento.

Aqui, está um detalhamento do que sua empresa precisa estar ciente para garantir que, se as coisas correrem mal, seu plano de recuperação de desastre funcionará:

1. Quem é o ponto central de contato, tanto dentro de sua empresa quanto com o provedor de serviços, e quais suas responsabilidades?

Você tem diferentes formas de contato para acionar as pessoas responsáveis pela realização do Disaster Recovery quando necessário? Elas são acessíveis 24/7? Se eles não estiverem disponíveis 24 horas por dia, 7 dias por semana, o que você faz quando ocorre um desastre? Quais funções e responsabilidades você e outras pessoas têm se o plano de recuperação de desastres precisar ser implementado?

Conhecer as responsabilidades de seus provedores, assim como as suas, é importante para garantir que você esteja trabalhando em conjunto para restaurar seus dados imediatamente após o desastre. Ter isso bem definido evita a sobreposição de responsabilidades, a perda de tempo e a ocorrência de erros.

2. Quais itens são prioritários para compor o Disaster Recovery Plan, e por quê?

Revise quais itens são críticos para sua organização em um processo de recuperação. Eles devem ser priorizados para que seu negócio esteja em operação o mais rápido possível. Lembre-se de que cada minuto de inatividade pode gerar a perda de muitas vendas.

3. As instruções sobre como proceder com a recuperação de dados são claras?

Cada passo do processo de recuperação de dados deve ser bem detalhado e compreensível por todos os envolvidos. Como ressaltado anteriormente, seus colaboradores devem entender seus papéis e responsabilidades.

Geralmente, quando um Disaster Recovery é acionado, não há tempo para explicar as tarefas ou dar instruções. É uma corrida contra o tempo. Por isso, toda a equipe precisa saber exatamente o que e como fazer.

Por isso, é importante executar simulações do processo de recuperação para que todos possam obter um melhor entendimento de suas funções e responsabilidades. Assim, você consegue garantir que os dados da empresa serão recuperados de forma segura.

Contrate um bom provedor de soluções em nuvem

Atualmente, é quase impossível pensar em planos de Disaster Recovery que não envolvam soluções baseadas em nuvem. Além de serem uma opção segura, elas são altamente gerenciáveis, ajudam a reduzir custos e possibilitam uma recuperação rápida e efetiva dos dados

Nesse sentido, podemos citar a solução SantoDigital Cloud backup. Ela permite criar, de forma fácil, um site de Disaster Recovery em nuvem utilizando as melhores ferramentas de mercado e o melhor da tecnologia em nuvem.

Mais do que meras ações reparadoras, o Disaster Recovery deve ser encarado como um conjunto de medidas preventivas contra perdas e danos. Afinal, é fundamental evitar cenários negativos em vez de precisar remediá-los constantemente. Por isso, um plano de contingência deve prever esse tipo de acontecimento.

Gostou de saber mais sobre o Disaster Recovery? Então, aproveite e conheça os serviços da SantoDigital para saber melhor de que forma podemos prover ajuda na elaboração de um plano para sua empresa!

Resumindo

Como funciona o Disaster Recovery?

O Disaster Recovery funciona a partir de um planejamento bem estruturado com diferentes estratégias. O objetivo é reduzir o tempo de inatividade e a perda de dados. Por isso, são adotadas ações, como o backup de dados críticos e o monitoramento contínuo do ambiente.

Quais elementos um plano de recuperação de desastres deve conter?

Um plano de recuperação de desastres deve conter os procedimentos a serem adotados em caso de imprevistos, sendo que isso deve estar bem documentado. Dessa forma, todos os colaboradores sabem o que fazer diante de uma situação inesperada.

Compartilhe esse artigo

Conteúdos relacionados

Newsletter Newsletter

Fique por dentro

Com a newsletter da SantoDigital, você estará sempre um passo à frente, pronto para elevar seu negócio com o poder da inovação digital.

Inscrição realizada com sucesso.