Plano de recuperação de desastres deve englobar Cibersegurança, alerta especialista

Mesmo após desastres, empresas precisam seguir com um plano de recuperação. O PRD, documento oficial, descreve em detalhes as ações e os ativos necessários em caso de crises

Compartilhar:

A transformação digital e a agilidade exigida nos negócios globais têm mostrado que interrupções nos negócios diários podem acontecer rapidamente e sem aviso prévio, evidenciaram também que seus custos financeiros e reputacionais são muito altos. Seja como resultado de uma pandemia, desastre natural, problemas ou bloqueios na rede devido a incidentes de segurança cibernética, as empresas precisam garantir que suas operações continuem funcionando e que os clientes sejam atendidos.



“Com este objetivo, é fundamental que tenham um plano de recuperação de desastres, também conhecido como PRD (ou DRP – Disaster Recovery Plan) eficiente. Trata-se de um documento formal de negócios, que descreve em detalhes as ações e os ativos necessários em caso de crises e desastres, incluindo processos, ativos, funcionários e serviços necessários”, afirma Matheus Borges, diretor da Redbelt Security.



Borges ressalta que este plano desempenha um papel vital na manutenção de um negócio a longo prazo, quando é projetado e implementado corretamente. Cada negócio é único, mas existe um modelo básico de PDR, que deve incluir oito etapas essenciais: no início da elaboração do PRD, é preciso fazer um balanço e documentar todos os hardwares e softwares críticos para o negócio.



Isso inclui todas as camadas dos sistemas de tecnologia da informação (TI), ou seja, hardwares, softwares, componentes de rede e bancos de dados comerciais relevantes. Mesmo fora da elaboração de um PRD, auditar e documentar todos os ativos de negócios é uma prática recomendada de negócios, que pode levar a uma escalabilidade aprimorada e maior discernimento nas despesas operacionais totais.



Em seguida, ao preparar e implementar a iniciativa de recuperação de desastres é vital estabelecer o Objetivo de Tempo de Recuperação (RTO) e o Objetivo de Ponto de Recuperação (RPO) da empresa. O RTO é um prazo pré-estabelecido para uma empresa recuperar seus sistemas depois de uma interrupção. Isso pode ser medido em horas, dias ou até semanas.



O RPO refere-se à tolerância a perdas de um negócio e pode ser medido pela quantidade de dados que podem ser perdidos e é considerado aceitável antes de causar danos impactantes ao grupo. O RTO e o POR são métricas importantes a serem entendidas, pois várias seções do seu plano de recuperação de desastres as usam como referência. RTOs e RPOs também estão sujeitos a alterações regularmente, por isso é importante que uma empresa audite esses alvos com frequência e atualize seus PRDs conforme necessário.



Com o tempo, muitas empresas começarão a trabalhar com provedores de serviços terceirizados. Ao desenvolver seu plano de recuperação de desastres é essencial identificar e registrar todos os acordos de nível de serviço (SLA) entre provedores de serviços e fornecedores. No caso de uma interrupção da rede é importante ter uma ideia completa de quem é responsável pelo quê ao recuperar sistemas e restaurar backups. Isso é verdade se for uma interrupção local (on premises) ou baseada em nuvem. Fazer um SLA também é uma etapa importante ao garantir que seus provedores de serviços possam atender aos padrões de RTO e RPO de sua empresa.



Logo após, as empresas desejarão encontrar um local de recuperação de desastres para gerenciar os backups da empresa e a infraestrutura de suporte. Os sites de recuperação de desastres geralmente são construídos em locais remotos e são usados para ajudar a restaurar a infraestrutura de TI e outras operações de missão crítica durante uma interrupção de longo prazo. Existem vários tipos de sites de recuperação de desastres para escolher, portanto, encontre um que dê suporte às suas próprias prioridades de negócios.



Ao estabelecer um plano de recuperação de desastres, a empresa deve identificar a função de cada pessoa dentro do grupo ou fora dos processos de recuperação de desastres. Para fazer isso, designar e qualificar uma pessoa ou equipe para declarar certos casos em caso de emergência, conforme necessário. Este será um primeiro passo crítico ao iniciar o processo de PRD e simplificar os níveis de comunicação assim que os esforços de recuperação estiverem em andamento. Definir claramente as atribuições de papéis para cada pessoa e treinar em seu envolvimento com o processo de PRD.



Além disso, a criação de um plano de comunicação completo antes dos esforços de recuperação de desastres é vital para o retorno do trabalho normal. Isso começa nomeando e registrando cuidadosamente todos os departamentos e funcionários envolvidos. A seguir, definir os procedimentos de como entrar em contato com cada um dos funcionários e seus departamentos. Deve-se incluir fornecedores, parceiros e clientes.



Por fim, descreva todos os seus protocolos de recuperação de desastres. Eles farão referência a outras seções do PRD. Eles permitem que a companhia liste instruções passo a passo para retomar o trabalho de acordo com o RTO e o RPO.



Também é importante auditar e testar o PRD para garantir que ele seja eficaz. Para muitas empresas em crescimento, as necessidades de infraestrutura e os contratos de serviço mudam. Portanto, é vital garantir que seu PRD permaneça factual e eficiente ao longo do tempo. Uma rotina regular de auditorias e testes de PRD garantirá que seus esforços de recuperação de desastres continuem funcionando à medida que os negócios crescem e mudam.



“Desenvolver um plano de recuperação de desastres agora é um passo significativo para garantir a viabilidade de longo prazo do negócio. Observe atentamente as necessidades do negócio antes de seguir qualquer modelo específico de plano de recuperação de desastres. Em muitos casos, os especialistas em serviços de recuperação de desastres podem ajudar durante o processo de construção do PRD”, completa Borges.



Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Dia da Internet: Phishing e data leak são duas das maiores ameaças ao usuário

Com o desenvolvimento acelerado da tecnologia, a crescente de tentativas de golpes no ambiente online também se torna uma realidade....
Security Report | Overview

Especialistas alertam para novos modelos personalizados de golpe com QR Code

Especialistas da Check Point Software identificaram novos ataques cibernéticos conhecidos por Quishing e explicam como evitar tais golpes...
Security Report | Overview

61% das empresas aumentarão investimento em Cloud Security, segundo relatório

As organizações participantes do estudo estimam que o aumento planejado dos investimentos em segurança na nuvem alcance os 37%, em...
Security Report | Overview

CTIR Gov emite recomendações de enfrentamento ao ransomware Black Basta

Em informe publicado no site oficial da organização, foram trazidas outras informações a respeito do malware, que tem mirado especificamente...