Plano de recuperação de desastres deve englobar Cibersegurança, alerta especialista

Mesmo após desastres, empresas precisam seguir com um plano de recuperação. O PRD, documento oficial, descreve em detalhes as ações e os ativos necessários em caso de crises

Compartilhar:

A transformação digital e a agilidade exigida nos negócios globais têm mostrado que interrupções nos negócios diários podem acontecer rapidamente e sem aviso prévio, evidenciaram também que seus custos financeiros e reputacionais são muito altos. Seja como resultado de uma pandemia, desastre natural, problemas ou bloqueios na rede devido a incidentes de segurança cibernética, as empresas precisam garantir que suas operações continuem funcionando e que os clientes sejam atendidos.



“Com este objetivo, é fundamental que tenham um plano de recuperação de desastres, também conhecido como PRD (ou DRP – Disaster Recovery Plan) eficiente. Trata-se de um documento formal de negócios, que descreve em detalhes as ações e os ativos necessários em caso de crises e desastres, incluindo processos, ativos, funcionários e serviços necessários”, afirma Matheus Borges, diretor da Redbelt Security.



Borges ressalta que este plano desempenha um papel vital na manutenção de um negócio a longo prazo, quando é projetado e implementado corretamente. Cada negócio é único, mas existe um modelo básico de PDR, que deve incluir oito etapas essenciais: no início da elaboração do PRD, é preciso fazer um balanço e documentar todos os hardwares e softwares críticos para o negócio.



Isso inclui todas as camadas dos sistemas de tecnologia da informação (TI), ou seja, hardwares, softwares, componentes de rede e bancos de dados comerciais relevantes. Mesmo fora da elaboração de um PRD, auditar e documentar todos os ativos de negócios é uma prática recomendada de negócios, que pode levar a uma escalabilidade aprimorada e maior discernimento nas despesas operacionais totais.



Em seguida, ao preparar e implementar a iniciativa de recuperação de desastres é vital estabelecer o Objetivo de Tempo de Recuperação (RTO) e o Objetivo de Ponto de Recuperação (RPO) da empresa. O RTO é um prazo pré-estabelecido para uma empresa recuperar seus sistemas depois de uma interrupção. Isso pode ser medido em horas, dias ou até semanas.



O RPO refere-se à tolerância a perdas de um negócio e pode ser medido pela quantidade de dados que podem ser perdidos e é considerado aceitável antes de causar danos impactantes ao grupo. O RTO e o POR são métricas importantes a serem entendidas, pois várias seções do seu plano de recuperação de desastres as usam como referência. RTOs e RPOs também estão sujeitos a alterações regularmente, por isso é importante que uma empresa audite esses alvos com frequência e atualize seus PRDs conforme necessário.



Com o tempo, muitas empresas começarão a trabalhar com provedores de serviços terceirizados. Ao desenvolver seu plano de recuperação de desastres é essencial identificar e registrar todos os acordos de nível de serviço (SLA) entre provedores de serviços e fornecedores. No caso de uma interrupção da rede é importante ter uma ideia completa de quem é responsável pelo quê ao recuperar sistemas e restaurar backups. Isso é verdade se for uma interrupção local (on premises) ou baseada em nuvem. Fazer um SLA também é uma etapa importante ao garantir que seus provedores de serviços possam atender aos padrões de RTO e RPO de sua empresa.



Logo após, as empresas desejarão encontrar um local de recuperação de desastres para gerenciar os backups da empresa e a infraestrutura de suporte. Os sites de recuperação de desastres geralmente são construídos em locais remotos e são usados para ajudar a restaurar a infraestrutura de TI e outras operações de missão crítica durante uma interrupção de longo prazo. Existem vários tipos de sites de recuperação de desastres para escolher, portanto, encontre um que dê suporte às suas próprias prioridades de negócios.



Ao estabelecer um plano de recuperação de desastres, a empresa deve identificar a função de cada pessoa dentro do grupo ou fora dos processos de recuperação de desastres. Para fazer isso, designar e qualificar uma pessoa ou equipe para declarar certos casos em caso de emergência, conforme necessário. Este será um primeiro passo crítico ao iniciar o processo de PRD e simplificar os níveis de comunicação assim que os esforços de recuperação estiverem em andamento. Definir claramente as atribuições de papéis para cada pessoa e treinar em seu envolvimento com o processo de PRD.



Além disso, a criação de um plano de comunicação completo antes dos esforços de recuperação de desastres é vital para o retorno do trabalho normal. Isso começa nomeando e registrando cuidadosamente todos os departamentos e funcionários envolvidos. A seguir, definir os procedimentos de como entrar em contato com cada um dos funcionários e seus departamentos. Deve-se incluir fornecedores, parceiros e clientes.



Por fim, descreva todos os seus protocolos de recuperação de desastres. Eles farão referência a outras seções do PRD. Eles permitem que a companhia liste instruções passo a passo para retomar o trabalho de acordo com o RTO e o RPO.



Também é importante auditar e testar o PRD para garantir que ele seja eficaz. Para muitas empresas em crescimento, as necessidades de infraestrutura e os contratos de serviço mudam. Portanto, é vital garantir que seu PRD permaneça factual e eficiente ao longo do tempo. Uma rotina regular de auditorias e testes de PRD garantirá que seus esforços de recuperação de desastres continuem funcionando à medida que os negócios crescem e mudam.



“Desenvolver um plano de recuperação de desastres agora é um passo significativo para garantir a viabilidade de longo prazo do negócio. Observe atentamente as necessidades do negócio antes de seguir qualquer modelo específico de plano de recuperação de desastres. Em muitos casos, os especialistas em serviços de recuperação de desastres podem ajudar durante o processo de construção do PRD”, completa Borges.



Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

45% das empresas sofreram interrupções relacionadas a terceiros nos últimos dois anos

De acordo com levantamento, a gestão bem-sucedida de riscos de cibersegurança de terceiros depende da capacidade da organização de segurança...
Security Report | Overview

8 mentiras mais utilizadas por golpistas em canais de relacionamentos

Empresa alerta sobre as “desculpas” mais comuns entre golpistas em apps, sites de paquera e redes sociais. Saiba como identificar...
Security Report | Overview

Setor financeiro segue como um dos mais visados por grupos de ransomware

Ainda segundo levantamento, a entrega de malware em nuvem representou 50% dos downloads maliciosos neste setor, em tendência com outros...
Security Report | Overview

68% das organizações utilizarão ferramentas com IA para combater ameaças em 2024

Os entrevistados identificaram várias maneiras pelas quais a IA poderia melhorar a postura de segurança de suas organizações. Para 67%...