Como garantir a continuidade dos negócios
As organizações se preparam para tudo, desde desastres naturais a ataques cibernéticos, com planos de recuperação de desastres que detalham um processo para retomar funções críticas rapidamente e sem grandes perdas de receita ou operações comerciais.
Desastres são de todas as formas e tamanhos. Não são apenas eventos catastróficos, como furacões, terremotos e tornados, mas também incidentes como ataques cibernéticos, falhas de equipamentos e até terrorismo que podem ser classificados como desastres.
Empresas e organizações se preparam criando planos de recuperação de desastres que detalham as ações a serem executadas e os processos a serem seguidos para retomar rapidamente as funções críticas e sem grandes perdas de receita ou de negócios.
O que é recuperação de desastre?
No espaço de TI, a recuperação de desastres se concentra nos sistemas de TI que ajudam a suportar funções críticas de negócios. O termo “continuidade de negócios” é frequentemente associado à recuperação de desastres, mas os dois termos não são completamente intercambiáveis. A recuperação de desastres faz parte da continuidade dos negócios, que se concentra mais em manter todos os aspectos de um negócio funcionando, apesar do desastre. Como os sistemas de TI atualmente são muito críticos para o sucesso dos negócios, a recuperação de desastres é um pilar principal no processo de continuidade dos negócios.
O custo dos desastres
Perdas econômicas e operacionais podem sobrecarregar negócios despreparados. Uma hora de inatividade pode custar pequenas empresas até US$ 8.000, empresas de médio porte até US$ 74.000 e grandes empresas até US$ 700.000, de acordo com um relatório de 2015 do Conselho de Preparação para Recuperação de Desastres de TI (DRP).
As avaliações de risco identificam vulnerabilidades
Mesmo que sua empresa já tenha algum tipo de plano de recuperação de desastres, talvez seja hora de atualizar. Se sua empresa não possui um e se você recebeu a tarefa de criar um, não pule de pé primeiro sem fazer uma avaliação de risco. Identifique vulnerabilidades na sua infraestrutura de TI e onde as coisas podem dar errado. Um pré-requisito é saber como é a sua infraestrutura de TI.
Saber onde as coisas podem dar errado não significa que você começa a criar planos de pior cenário. Em uma recente postagem no blog do Disaster Recovery Journal, os autores Tom Roepke e Steven Goldman sugerem que nomear o pior cenário no planejamento de continuidade de negócios pode ser perigoso, afastando a atenção de outras ameaças significativas:
“A tendência natural é tentar nomear ou definir qual é o pior cenário. Isso se torna uma falha fatal porque molda todo o esforço de planejamento a partir de então, mesmo que seja no nível subconsciente. Portanto, quando inserimos um cenário nomeado – pandemia, terremoto, ataque cibernético etc. – automaticamente começamos a pensar e planejar em termos de resposta / recuperação para esse incidente definido específica e subconscientemente. Quando isso ocorre, não apenas tendemos a ter uma visão em túnel em nossos esforços de planejamento, mas também corremos o risco de aumentar nosso risco e exposição. Isso ocorre porque haverá um foco excessivo em apenas uma ou duas áreas específicas no que pensamos ser o pior cenário, e não o evento real. ”
Fonte: O mito do ‘pior cenário’
A chave, sugerem Roepke e Goldman, é se concentrar em “gerenciar a crise, restaurar funções críticas dos negócios e recuperar tudo enquanto se comunica com seus stakeholders”.
O que é um plano de recuperação de desastres?
Digite “modelo de plano de recuperação de desastre” no Google e dezenas, se não centenas, de modelos aparecerão. Use-os para começar e modificar em direção à sua empresa ou organização.
O plano em si deve incluir o seguinte:
- Declaração, visão geral e principais objetivos do plano.
- Informações de contato para o pessoal-chave e os membros da equipe de recuperação de desastres.
- Descrição das ações de resposta a emergências imediatamente após um desastre.
- Diagrama de toda a rede de TI e do site de recuperação. Não se esqueça de incluir instruções sobre como chegar ao local de recuperação para as pessoas que precisam chegar lá.
- Identificando os ativos de TI mais críticos e determinando o tempo máximo de interrupção. Conheça os termos Objetivo do Ponto de Recuperação (RPO) e Objetivo do Tempo de Recuperação (RTO). O RPO indica a “idade” máxima dos arquivos que uma organização deve recuperar do armazenamento de backup para que as operações normais sejam retomadas após um desastre. Se você escolher um RPO de cinco horas, o sistema deverá fazer backup pelo menos a cada cinco horas. O RTO é o período máximo de tempo, após um desastre, para a empresa recuperar seus arquivos do armazenamento de backup e retomar as operações normais. Se o seu RTO durar três horas, não poderá demorar mais.
- Lista de software, chaves de licença e sistemas que serão usados no esforço de recuperação.
- Documentação técnica de fornecedores sobre o software do sistema de tecnologia de recuperação.
- Resumo da cobertura do seguro.
- Propostas para lidar com questões financeiras e jurídicas, bem como com a mídia.
Construindo uma equipe de recuperação de desastres
O plano deve ser coordenado pelos membros da equipe de TI responsáveis pela infraestrutura crítica de TI dentro da empresa. Outros que precisam estar cientes do plano incluem o CEO ou um gerente sênior delegado, diretores, líderes de departamento, recursos humanos e funcionários de relações públicas.
Fora da empresa, os fornecedores associados aos esforços de recuperação de desastres (backup de software e dados, por exemplo) e suas informações de contato devem ser conhecidos. Proprietários de instalações, gerentes de propriedades, contatos de agentes da lei e equipes de emergência também devem ser conhecidos e listados no plano (e atualizados com freqüência à medida que nomes ou números de telefone mudam).
Depois que o plano for redigido e aprovado pela gerência, teste-o e atualize-o, se necessário. Certifique-se de agendar o próximo período de revisão e / ou auditoria das funções de recuperação de desastres. Atualize, atualize, atualize conforme os eventos acontecem (grandes ou pequenos). Não basta colocar o plano em uma gaveta da mesa e torcer para que não ocorra um desastre.
Um desastre aconteceu – e agora?
Se um desastre ocorreu, é hora de iniciar sua resposta a incidentes. Verifique se a equipe de resposta a incidentes (se for diferente da equipe de planejamento de recuperação de desastres) possui uma cópia do plano de recuperação de desastres.
A resposta a incidentes envolve a avaliação da situação (sabendo que hardware, software, sistemas foram afetados pelo desastre), recuperação dos sistemas e acompanhamento (o que funcionou, o que não funcionou, o que pode ser aprimorado).
Qual é o próximo? Nuvem ou recuperação como serviço
Como muitos outros sistemas de TI corporativos que mudaram para a nuvem, o mesmo ocorre com a recuperação de desastres. Os benefícios da nuvem incluem custo mais baixo, implantação mais fácil e capacidade de testar planos regularmente. No entanto, isso pode vir com o aumento das necessidades de largura de banda ou degradar o desempenho da rede de uma empresa com sistemas mais complexos.
Um relatório do Gartner de 2016 identificou mais de 250 fornecedores de ofertas de DRaaS. Obviamente, você provavelmente não deseja revisar 250 empresas e suas ofertas, então aqui é um bom ponto de partida: Mike Smith, fundador e presidente da AeroCom e um colaborador da IDG Network, ofereceu um relatório analisando cerca de 20 diferentes fornecedores de DRaaS . Aqui está outro artigo recente de algumas das principais empresas de DRaaS para assistir .
A empresa de analistas Forrester Research também tem uma opinião sobre o mercado de DRaaS. Ele avaliou os 10 players mais importantes do mercado em seu relatório Forrester Wave (disponível por US $ 2.500).
Paulo Célio Soares
CEO // Pccom Pro
Especialista em Gestão de TI e Infraestrutura Digital