Em um cenário cada vez mais conectado e tecnológico, contar com um plano de recuperação de desastres é fundamental.
O direcionamento definido será utilizado para conduzir as ações da empresa e de seus colaboradores caso seus dados sejam colocados em risco.
Em situações críticas, cada atitude pode influenciar positivamente ou negativamente na imagem e na economia da empresa. Da mesma forma, se nenhuma ação for conduzida, os dados podem ser comprometidos.
Neste artigo, vamos explicar o que é um plano de recuperação de desastres, sua importância e como executá-lo. Confira!
Saiba porque investir na Proteção Web é o melhor para sua empresa. Baixe grátis nosso infográfico e fique por dentro!
Leia também:
- Consultoria em TI: como funciona, o que fazem e quando contratar?
- Terceirização de TI: qual é a hora certa para contratar?
- 5 boas práticas da governança de TI
O que é plano de recuperação de desastres (PRD)?
O plano de recuperação de desastres é um documento que visa direcionar as ações da empresa após ocorrer uma fatalidade.
Entendemos como desastre qualquer tipo de situação que corrompe ou coloca em risco os dados da companhia, seja ele natural, acidental ou intencional.
Tragédias ambientais (como enchentes, vendavais, incêndios), ações criminosas (como roubo, furto, invasões de hackers) e até falhas internas são alguns dos desastres que podem colocar a empresa em risco.
O objetivo de um plano de recuperação de desastres é direcionar as ações dos colaboradores para que eles saibam como agir em qualquer situação crítica. Dessa forma, o negócio continuará ativo, evitando que a operação seja paralisada.
Como um plano de recuperação de desastres funciona?
Em resumo, o plano de recuperação de desastres requer que um ambiente seguro seja usado enquanto outro estiver inativo. Por exemplo, caso um servidor esteja enfrentando downtime, é preciso migrar as operações para outro que seja consistente.
Pode ser um backup, por exemplo, em que um determinado servidor é utilizado para recuperar os dados. Ou o chamado hot site, uma infraestrutura robusta, configurada para atender à demanda.
Podemos mencionar o disaster recovery como um serviço (DRaaS). Nesse caso, os servidores da nuvem são alocados quando existe algum incidente.
Há também o cold site, uma infraestrutura mais simples que é configurada para suprir as necessidades rapidamente; ou até mesmo a virtualização, com imagens virtuais para trabalhar enquanto algum desastre estiver ocorrendo.
O recurso utilizado depende do plano e pode até mesmo consistir em uma orquestração de vários recursos.
Nesse sentido, o plano precisa de resposta a algumas perguntas, que são:
- quais situações são caracterizadas como desastre;
- quais são as pessoas autorizadas a declarar um desastre;
- quais os responsáveis por colocar o plano em execução;
- quais são as ações necessárias após decretado o desastre;
- quais serão os envolvidos no processo e quais as suas responsabilidades;
- o inventário de hardware e software para restaurar a produção;
- o cronograma de ações de continuação das operações para não causar novos traumas.
Ou seja, é um plano que busca solucionar alguns questionamentos importantes em um primeiro momento, enquanto traça uma solução para o futuro.
Duas métricas importantes no plano de recuperação de desastres são o RTO, o objetivo do tempo de recuperação, e o RPO, o objetivo do Ponto de Recuperação.
O RTO é o tempo para recuperar a normalidade dos processos; ao passo que o RPO é o período de inatividade e perda de dados tolerados.
Qual é a diferença entre um plano de recuperação de desastres e um plano de continuidade de negócios?
Quando falamos em plano de recuperação, precisamos estabelecer uma diferenciação com outro conceito: o plano de continuidade de negócios.
A recuperação de desastres no TI visa unicamente diminuir o tempo de inatividade depois que um incidente já ocorreu. Ou seja, quando o problema já existe, é preciso orquestrar ações para diminuir o impacto e retomar os processos.
Quando pensamos em um ataque de negação de serviço, como o DDoS, isso fica mais fácil de ilustrar. Nesse caso, o plano de desastre e recuperação intenciona recuperar os servidores e fazer com que eles voltem ao ar.
Já o plano de continuidade pressupõe o seguinte: a empresa não conseguiu conter completamente os danos e não poderá voltar ao normal. Então, é preciso traçar um planejamento para continuar as operações a partir disso.
Ou seja, mesmo sem estar na normalidade, o plano busca restabelecer as operações de alguma forma, visando o mínimo de custos.
Qual é a importância de um plano de recuperação de desastres?
Agora, vamos comentar um pouco sobre a importância da recuperação de desastres no TI.
Diminuir o impacto econômico
Um dos benefícios é justamente prevenir o impacto econômico de um incidente desastroso. Caso um plano não esteja bem estruturado, a empresa simplesmente fica refém dos ataques e pode se descontrolar financeiramente.
Os investimentos para tentar reparar os danos sem um plano em vigor podem ser extremamente prejudiciais, pois tiram de outras áreas mais importantes.
Treinar as equipes
A recuperação de desastres no TI também é essencial como um documento para comunicação e alinhamento de todos. Ou seja, é possível treinar os colaboradores e garantir que todos estejam na mesma página, com os mesmos objetivos.
Assim, quando o desastre ocorrer, todos saberão o que fazer e que postura tomar diante disso. O esforço coordenado dos membros fará com que os problemas sejam minimizados e enfrentados devidamente.
Minimizar interrupções
Ataques que geram instabilidades são problemáticos por conta dos riscos à produtividade. Por isso, o plano de recuperação é importante para minimizar essas interrupções e eliminar esses gargalos na produtividade diária.
Com menos interrupções, é possível alcançar maiores índices de produtividade, atender às demandas dos clientes e expandir o negócio.
Limitar os danos
A ação de recuperação de desastres é, sobretudo, um plano de contenção de danos. Assume-se que os danos já existem, mas busca-se estudar seus impactos e contê-los para que a empresa seja minimamente afetada.
A questão é que isso é feito em tempo real, justamente quando o tempo é uma variável muito importante. Quanto melhor estruturado for o plano, mais rápido a empresa poderá agir.
Organizar meios alternativos de funcionamento
Quando um desastre ocorre, o plano consegue redirecionar o foco da empresa e dos colaboradores para ambientes seguros, com meios alternativos para as operações. É como um servidor substituto, que não foi afetado pelo ataque.
Assim, enquanto a equipe responsável estuda o que está acontecendo, a outra parte da organização pode continuar seu trabalho.
Proporcionar uma restauração rápida
Por outro lado, o plano é essencial para garantir que a restauração dos documentos e dados seja a mais rápida possível. Assim, a empresa contém os danos e garante que seus dados logo estejam novamente íntegros e controlados.
Além disso, a recuperação permite entender os riscos para também evitar que essa ocorrência surja de novo.
Quais são as etapas de um plano de recuperação de desastres?
Vamos comentar agora as principais etapas de um plano de recuperação de desastres.
Primeiro, a empresa precisa traçar suas metas com relação a esse projeto. É preciso ter em mente o que se busca até em termos de indicadores. Nesse sentido, o tempo de recuperação, por exemplo, é uma boa medida.
Depois, a empresa pode definir as aplicações que deverão ser mantidas em segurança, de acordo com o grau de importância e de sigilo. As aplicações e os dados devem ser gerenciados a partir dessa visão.
Então, a empresa pode definir a equipe responsável pela recuperação de desastres. É preciso garantir que seja um time interdisciplinar, com diferentes visões para ajudar nesse sentido. Esse grupo ficará inteiramente focado na recuperação quando algo ocorrer e não poderá ter outras atribuições.
Em seguida, é preciso escolher o mecanismo de recuperação de desastres ou a orquestração de mecanismos, como já foi falado. Você pode optar pela recuperação com a nuvem, por exemplo, por backups, por cold sites, por hot sites, etc.
É preciso estruturar a postura diante da emergência: qual documentação será feita, as operações de backups e as ações para recuperação diante do problema.
Outra etapa importante é a estruturação dos testes de recuperação de desastres no TI. É preciso ter uma boa noção de como avaliar o plano para efetuar constantes melhorias.
Então, é possível registrar as mudanças efetivamente.
Como as empresas estão desenvolvendo suas estratégias de PRD?
Hoje, temos uma variedade de soluções e estratégias para gerenciar a recuperação de desastres. Uma delas é a própria consultoria de organizações especializadas no assunto.
Outras delas é a própria solução de disaster recovery como um serviço, com alocação de servidores substitutos na nuvem para gerar redundância.
As empresas seguem aprendendo cada vez mais a como gerenciar seus riscos diante de um mundo altamente tecnológico e moderno.
Por exemplo, até mesmo a visão preditiva com relação aos riscos é um sinal de maturidade das empresas. É preciso entender que as ameaças são possíveis e se preparar para elas, mesmo tentando evitar ao máximo que elas ocorram.
Por isso, ter uma equipe e um plano é uma forma de pensar a previsibilidade diante desses ataques, o que não deve ser confundido com a negligência diante deles.
9 etapas para montar um plano de recuperação de desastres no TI
1. Defina o que deve ser recuperado
Como falamos anteriormente, é preciso pensar o que vai ser recuperado, ou seja, o que é crítico para a empresa. Nesse sentido, vale a pena definir uma estrutura de importância com relação aos dados e arquivos.
2. Determine KPIs
É imprescindível trabalhar com os indicadores-chave. Eles permitem acompanhar o plano em andamento e entender como utilizá-lo em tempo real. Os indicadores dizem a verdade para a empresa de acordo com o que ela espera.
3. Monte um plano de continuidade de negócios
O plano de continuidade de negócios faz parte do plano de recuperação de desastres. Por isso, é importante definir o que será feito caso a empresa não alcance o grau de normalidade que espera (ou que definiu nos indicadores, por exemplo).
4. Invista em sistemas de gestão em TI
Outra ótima forma de gerenciar o plano de recuperação de desastres é investir em um sistema de gestão. Eles ajudam a centralizar a governança do setor e a assegurar maior clareza e integração com outras funções.
5. Determine as funções dos profissionais na recuperação
Evidentemente, é importante que as funções estejam bem claras e bem definidas. Assim, será possível assegurar que todos saibam o que fazer e como trabalhar juntos.
6. Avalie e liste os riscos
O que são desastres para a sua empresa ou quais desastres podem prejudicá-la? Alguns modelos de negócios estão imunes a certos tipos de tragédia, por isso não faz sentido criar um plano de recuperação de desastres com todos os riscos.
Crie uma lista com as situações que podem prejudicar o seu negócio. Classifique-as e defina o nível de gravidade de cada uma. O objetivo, nesse último caso, é determinar lá na frente os tipos de alerta que devem ser usados.
7. Defina as ações que devem ser tomadas para cada caso
Assim como existem diversos tipos de desastres, as ações para correção e contenção de cada um também devem ser diferentes. Conte com o auxílio de especialistas para orientar quais são as melhores alternativas para cada problema.
8. Capacite sua equipe
O treinamento adequado é fundamental para que os colaboradores saibam como lidar em situações de risco.
O pânico pode potencializar as consequências de um desastre e ser um bloqueador de atitudes e ações. Por isso, após desenvolver o plano de recuperação de desastres, a empresa deve treinar e envolver a equipe no projeto.
9. Proteja os ativos da empresa
Os dados da empresa estão entre os ativos mais importantes e críticos. O vazamento ou a perda dessas informações podem causar danos graves e, em alguns casos, irreversíveis para o negócio.
Leia mais: Conheça as melhores práticas da governança de TI e não cometa mais os mesmos erros!
Conclusão
O plano de recuperação de desastres é uma estratégia consistente para retomada de operações e diminuição de danos em um incidente.
Com esse plano em dia, a empresa consegue se manter estável, mesmo com riscos que podem acontecer.
É um plano para aumentar a previsibilidade e reforçar a maturidade da empresa com relação a possíveis problemas.
Assim, a empresa sai do pedestal de achar que nunca será atingida e também sai do estado de medo diante dos possíveis riscos. É um equilíbrio.
