A transformação digital e a agilidade exigida nos negócios globais têm mostrado que interrupções nos negócios diários podem acontecer rapidamente e sem aviso prévio, evidenciaram também que seus custos financeiros e reputacionais são muito altos. Seja como resultado de uma pandemia, desastre natural, problemas ou bloqueios na rede devido a incidentes de segurança cibernética, as empresas precisam garantir que suas operações continuem funcionando e que os clientes sejam atendidos.
“Com este objetivo, é fundamental que tenham um plano de recuperação de desastres, também conhecido como PRD (ou DRP – Disaster Recovery Plan) eficiente. Trata-se de um documento formal de negócios, que descreve em detalhes as ações e os ativos necessários em caso de crises e desastres, incluindo processos, ativos, funcionários e serviços necessários”, afirma Matheus Borges, diretor da Redbelt Security.
Borges ressalta que este plano desempenha um papel vital na manutenção de um negócio a longo prazo, quando é projetado e implementado corretamente. Cada negócio é único, mas existe um modelo básico de PDR, que deve incluir oito etapas essenciais:
1. Gestão de Ativos – no início da elaboração do PRD, é preciso fazer um balanço e documentar todos os hardwares e softwares críticos para o negócio. Isso inclui todas as camadas dos sistemas de tecnologia da informação (TI), ou seja, hardwares, softwares, componentes de rede e bancos de dados comerciais relevantes. Mesmo fora da elaboração de um PRD, auditar e documentar todos os ativos de negócios é uma prática recomendada de negócios, que pode levar a uma escalabilidade aprimorada e maior discernimento nas despesas operacionais totais.
2. Identificação RTO e POR – ao preparar e implementar a iniciativa de recuperação de desastres é vital estabelecer o Objetivo de Tempo de Recuperação (RTO) e o Objetivo de Ponto de Recuperação (RPO) da empresa. O RTO é um prazo pré-estabelecido para uma empresa recuperar seus sistemas depois de uma interrupção. Isso pode ser medido em horas, dias ou até semanas. O RPO refere-se à tolerância a perdas de um negócio e pode ser medido pela quantidade de dados que podem ser perdidos e é considerado aceitável antes de causar danos impactantes ao grupo. O RTO e o POR são métricas importantes a serem entendidas, pois várias seções do seu plano de recuperação de desastres as usam como referência. RTOs e RPOs também estão sujeitos a alterações regularmente, por isso é importante que uma empresa audite esses alvos com frequência e atualize seus PRDs conforme necessário.
3. Coletar e auditar acordos de SLA – com o tempo, muitas empresas começarão a trabalhar com provedores de serviços terceirizados. Ao desenvolver seu plano de recuperação de desastres é essencial identificar e registrar todos os acordos de nível de serviço (SLA) entre provedores de serviços e fornecedores. No caso de uma interrupção da rede é crucial ter uma ideia completa de quem é responsável pelo quê ao recuperar sistemas e restaurar backups. Isso é verdade se for uma interrupção local (on premises) ou baseada em nuvem. Fazer um SLA também é uma etapa importante ao garantir que seus provedores de serviços possam atender aos padrões de RTO e RPO de sua empresa.
4. Escolha e estabeleça um local de recuperação de desastres – em seguida, as empresas desejarão encontrar um local de recuperação de desastres para gerenciar os backups da empresa e a infraestrutura de suporte. Os sites de recuperação de desastres geralmente são construídos em locais remotos e são usados para ajudar a restaurar a infraestrutura de TI e outras operações de missão crítica durante uma interrupção de longo prazo. Existem vários tipos de sites de recuperação de desastres para escolher, portanto, encontre um que dê suporte às suas próprias prioridades de negócios.
5. Estabeleça funções de pessoal – ao estabelecer um plano de recuperação de desastres, a empresa deve identificar a função de cada pessoa dentro do grupo ou fora dos processos de recuperação de desastres. Para fazer isso, designe e qualifique uma pessoa ou equipe para declarar certos casos em caso de emergência, conforme necessário. Este será um primeiro passo crítico ao iniciar o processo de PRD e simplificar os níveis de comunicação assim que os esforços de recuperação estiverem em andamento. Defina claramente as atribuições de papéis para cada pessoa e treine-as em seu envolvimento com o processo de PRD.
6. Construa um Plano de Comunicação – a criação de um plano de comunicação completo antes dos esforços de recuperação de desastres é vital para o retorno do trabalho normal. Isso começa nomeando e registrando cuidadosamente todos os departamentos e funcionários envolvidos. A seguir, defina os procedimentos de como entrar em contato com cada um dos funcionários e seus departamentos. Deve-se incluir fornecedores, parceiros e clientes.
7. Esboce os protocolos de recuperação de desastres – por fim, descreva todos os seus protocolos de recuperação de desastres. Eles farão referência a outras seções do PRD. Eles permitem que a companhia liste instruções passo a passo para retomar o trabalho de acordo com o RTO e o RPO.
8. Realize testes regulares – não se esqueça de auditar e testar seu PRD para garantir que ele seja eficaz. Para muitas empresas em crescimento, as necessidades de infraestrutura e os contratos de serviço mudam. Portanto, é vital garantir que seu PRD permaneça factual e eficiente ao longo do tempo. Uma rotina regular de auditorias e testes de PRD garantirá que seus esforços de recuperação de desastres continuem funcionando à medida que os negócios crescem e mudam.
“Desenvolver um plano de recuperação de desastres agora é um passo significativo para garantir a viabilidade de longo prazo do negócio. Observe atentamente as necessidades do negócio antes de seguir qualquer modelo específico de plano de recuperação de desastres. Em muitos casos, os especialistas em serviços de recuperação de desastres podem ajudar durante o processo de construção do PRD”, completa Borges.
Sobre a Redbelt Security
Fundada em 2009, a Redbelt Security é uma consultoria especializada em Segurança da Informação, que atua com Serviços Gerenciados de Segurança (MSS), Security Operations Center (SOC), Offensive Security, Threat Intelligence, Governança, Riscos & Compliance (GRC), e suporte especializado na gestão de ambientes de TI e ações preventivas contra novas ameaças, contando com uma equipe de mais de 170 profissionais altamente especializados e certificados.
A Redbelt Security oferece também ao mercado uma plataforma própria para gerir riscos cibernéticos: a RIS (Risk Information and Security), plataforma SaaS que integra os mais variados softwares (APIs), machine learning alimentada por inteligência humana, automação para enriquecer dados e orquestração na tomada de decisões.