Disaster Recovery: preparando a sua empresa para sobreviver ao pior!
Basta parar um pouquinho para pensar: mesmo que o core business de sua empresa não seja tecnologia, toda a sua operação depende de recursos tecnológicos para funcionar. Computadores, notebooks, tablets, smartphones, servidores, impressoras, backups salvos em HDs externos, telefones… E, é claro, possivelmente a companhia possui uma presença digital (ou seja, ao menos um site e perfis nas principais redes sociais) e se comunique com clientes, fornecedores e parceiros através da web, seja por e-mail ou outro método qualquer.
Trata-se de algo natural. Estamos em plena era das tecnologias da informação e elas facilitam demais a nossa vida profissional. Porém, por outro lado, por mais que elas pareçam confiáveis, um mínimo deslize pode desencadear uma crise capaz de interromper toda a operação corporativa. Esse “deslize” pode ser um erro humano, um desastre natural (alagamentos, terremotos etc.), um apagão generalizado ou, é claro, um ataque cibernético. Um ransomware é o melhor exemplo que podemos citar aqui.
Da noite para o dia, dados críticos se tornam inacessíveis, a comunicação é interrompida e aplicações cruciais não podem ser utilizadas. O que fazer? Sentar e chorar? É óbvio que não! Para contornar tais situações e retornar à normalidade o mais rápido possível, é essencial que a empresa possua um plano de recuperação de desastres, também conhecido pelo termo original em inglês de disaster recovery. Trata-se de algo que, infelizmente, muitos empreendimentos deixam de adotar.
Etapas de um bom plano
Disaster recovery é o nome dado para o plano estratégico que lista um conjunto de ações a serem adotadas para prevenir, sobreviver e remediar uma crise. Estamos falando de uma série de políticas e procedimentos que, a priori, são desenhadas para impedir que um desastre ocorra; porém, esse conjunto de regras também prevê exercícios a serem postos em prática caso algo dê errado, de forma que a continuidade dos negócios seja garantida e seja possível corrigir os erros posteriormente para evitar que eles se repitam.
Trata-se, grosso modo, de um verdadeiro guia de sobrevivência. E, como todo guia de sobrevivência, ele deve ser escrito com muita responsabilidade e parcimônia. A primeira regra para que um plano de recuperação de desastre seja bem-sucedido é que ele seja desenvolvido com base nas ameaças reais que seu ecossistema corporativo pode enfrentar. Nenhuma empresa é igual, logo, a corporação X pode ter maior chance de sofrer com determinado problema do que a corporação Y. Entender seus riscos é fundamental.
Em seguida, o disaster recovery plan (plano de recuperação de desastres ou simplesmente DRP) deve ser elaborado seguindo três etapas:
-
Gestão da Crise: as ações que devem ser adotadas para consertar o problema;
-
Manutenção da Continuidade Operacional: ações de rotina para assegurar o correto funcionamento dos serviços;
-
Recuperação de Serviços: a restauração dos ativos afetados, como dados perdidos, hardwares quebrados, informações corrompidas etc.
Vale lembrar que, naturalmente, o DRP não é uma estratégia perpétua — ela deve ser atualizada constantemente conforme a empresa adota novas tecnologias e conforme novos riscos à continuidade dos negócios forem sendo identificados. Afinal, imagine você tentando sobreviver nos tempos atuais com um guia escrito a dez anos atrás!
A tecnologia é um aliado!
Ao falarmos sobre recuperação de desastres, pode até parecer que estamos lhe dizendo que não podemos confiar na tecnologia por ela não ser confiável. Não se engane! Esse não é o objetivo de um DRP, tal como a existência de airbags não significa que deveríamos deixar de usar carros para nos locomover. Aliás, saiba que as novas tecnologias que vêm surgindo no mercado podem ajudar — e muito! — a compor o seu plano.
A computação na nuvem, por exemplo, é uma forma muito mais flexível, escalável e confiável de armazenar os seus backups, com uma taxa de uptime (disponibilidade) bem maior em comparação com servidores locais. Diversas soluções disponíveis nas gôndolas fazem cópias de segurança e auxiliam na recuperação de maneira automatizada, reduzindo o tempo gasto para remediar uma crise. Frameworks e modelos de governança de TI também estão aí para ajudar.
E, é claro, a conscientização dos usuários também é muito importante no pré, durante e pós-crise, já que todos os colaboradores estarão devidamente condicionados a agir de acordo com o seu plano. Eis a importância de educá-los e garantir que toda a empresa esteja alinhada com a estratégia de segurança.
Produção: Equipe de Conteúdo da Perallis Security