De repente, toda a informação vital da sua empresa e dos seus clientes está perdida. O que vai fazer? Consegue recuperar tudo até amanhã ou vai ficar com o negócio inoperacional por tempo indeterminado? Existem danos irremediáveis? Qual a sua extensão e custos? Vai perder clientes? Espera eventuais processos em tribunal? A imagem da sua organização vai ser afetada? Contas feitas, a sua empresa é viável depois de tudo isto? Uma estratégia de segurança é vital para a proteção da informação contra ataques cibernéticos, mas não está imune a desastres. Tem de contemplar cenários de emergência e de crise provocados por acidentes, ou seja, uma política de disaster recovery assertiva.
Incêndios, terramotos, derrocadas, inundações, problemas elétricos, falhas de hardware ou erros humanos nos sistemas, sejam eles equipamentos ou software, podem destruir por completo sistemas e infraestruturas. É neste momento que uma boa política de gestão de crise e de disaster recovery garante a continuidade dos serviços e do próprio negócio.
Um Disaster Recovery Plan (DRP) não é mais do que um conjunto de procedimentos que visa mitigar o impacto causado por problemas internos e externos que comprometam o bom funcionamento da infraestrutura de TIC corporativa e do negócio. O objetivo é gerir os riscos e assegurar o rápido restabelecimento das operações, da segurança dos dados e do índice de produtividade, com danos e custos mitigados.
A implementação de uma política de disaster recovery eficaz envolve os seguintes passos:
Identificação das ameaças – Antes de desenhar um plano de intervenção, a empresa tem de identificar os potenciais problemas internos e externos à organização como catástrofes naturais, cibercrime, manutenção, erro humano, entre outros exemplos. É igualmente importante listar todos os pontos de impacto como computadores, terminais móveis, servidores, bases de dados e avaliar como ponto de mitigação as apólices de seguros.
Avaliação do impacto – A empresa deve aferir a sua tolerância à perda de dados e à interrupção das operações, apurar o impacto económico e da continuidade dos serviços, bem como de um eventual problema prolongado, determinando o tempo que consegue operar sem atividade. Aqui impõe-se a resposta às seguintes perguntas: a sua infraestrutura permite-lhe que o seu negócio continue em caso de desastre e perda do seu data center ou infraestrutura principal? E por quanto tempo? Se necessitar de efetuar manutenção na sua infraestrutura, tem forma do seu negócio não ser interrompido? Existem dois indicadores essenciais para definir os níveis de serviços e de eficiência num processo de recuperação.
- O ponto de recuperação (RPO): mede o volume de perda de dados que uma empresa consegue suportar sem comprometer a continuidade do negócio. Esta métrica está intimamente ligada à periodicidade dos backups e ao esforço para repor os dados que foram perdidos no período remanescente de tempo.
- O tempo de recuperação (RTO): indica o tempo máximo que o sistema necessita para ficar disponível após um desastre. Inclui a recuperação de dados, reinstalações, atualizações e outras operações necessárias para a plena recuperação do sistema. O cálculo deve ter por base o período de tolerância, ou seja, o tempo que a empresa consegue ficar inativa ou a utilizar outras formas de apoio ao negócio ou serviços, sem comprometer a sua segurança e produtividade, tendo em conta a capacidade posterior de reposição dos dados durante este período.
Esta informação é fulcral para definir os recursos necessários e suporte aos serviços mais críticos.
Criação e implementação do Disaster Recovery Plan – Qualquer política de disaster recovery deve ser ajustada à dinâmica e atividade da organização e incluir: identificação das unidades de negócio críticas que necessitam de maior suporte numa situação de crise, plano de prevenção nas áreas mais vulneráveis, plano de recuperação ágil e eficiente que minimize a paralisação das operações de negócio e reduza o impacto financeiro e, por fim, plano de gestão de crise com a coordenação eficaz e envolvência de prestadores de serviços externos. As estratégias de recuperação devem contemplar planos de curto, médio e longo prazo e abranger a organização em todos os pontos chave para o sucesso do mesmo.
Foco na prevenção – Um sistema de antimalwares e de deteção de intrusão não vai salvar uma empresa em caso de incêndio, mas uma monitorização assertiva através de tecnologias avançadas e um bom sistema de backups conseguem evitar perdas de informação e prejuízos financeiros potencialmente fatais. As cópias de segurança são absolutamente críticas para a implementação de uma política de disaster recovery. Os serviços baseados na cloud oferecem escalabilidade, redundância, disponibilizam um processo de recuperação mais ágil e a oportunidade de adoção de uma estratégia de proteção contínua de dados. A estratégia passa por realizar backups frequentes para proteger e minimizar o tempo de reposição, através de uma gestão próxima e sensível com as áreas de negócio e serviços. Mantenha uma visão de suporte a fontes alternativas, desde energia ao acesso à internet, que consigam compensar eventuais falhas, e recorra a parceiros se não tiver uma equipa com competências orientadas para este tipo de políticas. Um parceiro de referência e especializado pode garantir a gestão da infraestrutura de TI, sistemas de informação e da política de segurança, backup e disaster recovery. Desta forma, as equipas podem estar focadas noutras áreas críticas para o crescimento core da empresa, sabendo que a continuidade do negócio está a ser apoiada e protegida por profissionais experientes e por ferramentas/soluções avançadas.
Revisão do Disaster Recovery Plan – Os planos de recuperação devem estar permanentemente atualizados para se manterem eficientes e estarem em conformidade com a governança da organização. As equipas devem avaliar frequentemente novos riscos, soluções e ferramentas disponíveis, para que não existam surpresas durante um eventual processo de recuperação.
Uma estratégia de segurança preventiva tem de incluir sempre uma política de disaster recovery. Esta medida não deve ser vista pelos decisores como um custo acrescido, mas sim como uma ferramenta que garante o futuro do negócio e serviços em caso de desastre. O administrador e auditor de suporte à área de TI deve fazer auditorias contínuas, identificar possíveis problemas e apurar as consequências associadas aos distintos cenários de crise, sublinhando que o preço a pagar por uma eventual falha é exponencialmente superior àquele associado à adoção de uma solução de disaster recovery. Além disso, devido às medidas que integra, um DRP acaba por promover vários benefícios ao nível da produtividade, desempenho e segurança.
Os serviços de diagnóstico e consultoria, e as soluções de cibersegurança modulares e híbridas da Warpcom, visam endereçar os temas de exposição de risco e perda de informação num contexto de 360º: Cloud-Perímetro-Datacenter-EndPoints. A equipa Warpcom tem as competências multidisciplinares exigidas para ajudar a sua organização a definir, implementar e suportar uma política de disaster recovery, gestão de backups e monitorização contínua. Conte connosco!