Plano de recuperação de desastres: como preparar a sua TI?

Hoje em dia, ter um Disaster Recovery Plan (ou Plano de Recuperação de Desastres) é um requisito essencial para a continuidade dos serviços prestados pelas empresas que trabalham em ambientes digitais.

Afinal, falhas e vulnerabilidades podem ocorrer por diversas razões, seja por causas naturais ou ações humanas. Além disso, com o avanço da tecnologia e da transformação digital, a ameaça dos crimes cibernéticos torna-se cada vez maior e mais presente na realidade de diversos empreendimentos. Não à toa, o Brasil é recordista em ataques dessa natureza a empresas de diferentes segmentos.

Em 2021, por exemplo, o Brasil foi o 5° país do mundo que mais sofreu com crimes cibernéticos. Somente no primeiro trimestre foram mais de 9 milhões de ocorrências e isso é mais do que o ano inteiro de 2020, segundo a consultoria alemã Roland Berger.

Assim, apresentando seus benefícios e a importância diante das diferentes possibilidades de ataques e complicações que as empresas estão sujeitas no mundo virtual, o objetivo deste conteúdo é trazer mais informações sobre o Plano de Recuperação de Desastres e como ele pode te ajudar.

Boa leitura!

O que é Disaster Recovery Plan?

Disaster Recovery Plan significa reparação de desastres e sua tradução é Plano de Recuperação de Desastres. Assim, como o próprio nome já diz, ele se refere a técnicas e medidas que as empresas podem utilizar a fim de minimizar os impactos de um ataque cibernético, por exemplo, mas não só isso. 

Ele também se aplica a qualquer problema que possa colocar o sistema em risco, prejudicando a produtividade da organização. 

Exemplos para essa situação podem ser queda de energia, forte descarga elétrica, erros humanos e panes no sistema. Ou seja, não é só sobre ciberataques, mas também sobre demais situações que todas as empresas sofrem em algum momento.

Assim, o Plano de Recuperação de Desastres se trata de um planejamento que tem por objetivo garantir a continuidade da infraestrutura de TI após um incidente de qualquer natureza.

Afinal, se a cada problema que acontecesse os serviços da sua empresa precisassem ser paralisados por horas (as vezes até dias), os prejuízos seriam enormes.

Por que a sua TI precisa de um plano de ação?

A infraestrutura de TI digital ou física tem a possibilidade de sofrer alguns imprevistos, seja por ação humana ou ação externa, como explicado anteriormente. 

Nesse cenário, o Disaster Recovery Plan atua como um conjunto de ações que pode minimizar os impactos negativos, causados por incidentes, nos resultados da organização, bem como poderá atuar na recuperação de dados internos e dados de clientes, mitigando os  prejuízos financeiros e à reputação da sua marca.

Veja quais são as principais intempéries às quais a infra de TI está sujeita:

1- Ataques cibernéticos

Empresas brasileiras são uns dos principais alvos de ataques cibernéticos, principalmente via phishing, ransomware e roubo de dados pessoais. Só em 2020, foram mais de 80 milhões de tentativas.

Segundo a SonicWall, dos 304 milhões de ataques ransomware executados no primeiro semestre de 2021, 9,1 milhões deles foram somente no Brasil.

No mundo corporativo, as empresas de pequeno e médio porte são as que sofrem ataque com maior frequência, principalmente pela falta de recursos ou informação para investir em cibersegurança. Afinal, os hackers sabem da combinação de negligência com falta de treinamento e usam isso a seu favor.

Se quiser ir mais além, não deixe de conferir a leitura: Tendências de cibersegurança para 2022

2- Falhas de equipamento

Se a empresa trabalha com data centers locais para armazenar sua infraestrutura de TI, ela corre o risco de perder parte ou todos os dados com uma sobrecarga de energia, por exemplo. 

A obsolescência pode levar ao rompimento e travamento de partes internas dos equipamentos, cabos podem se desgastar, por exemplo, e comprometer toda a estrutura se não houver manutenção constante e preventiva.

Ou seja, qualquer data center físico é um potencial risco de prejuízo às organizações e por isso requer cuidados extras.

3- Erro humano

O agente humano é também um dos principais causadores das falhas na estrutura de TI, seja operando o sistema ou a máquina de forma errada, até a possibilidade de derramar água no equipamento causando um acidente com perdas irreparáveis.

Além disso, erros humanos podem ser a porta de entrada para os ataques cibernéticos, comentados no tópico 1. Afinal, clicar em um link de um email que aparentava ser seguro costuma ser um dos erros mais comuns e são a porta de entrada para ataques ransomware.

4- Queda de energia

Se não houver gerador ou um aterramento adequado na empresa, uma simples queda de energia pode derrubar o sistema da empresa por horas e dificultar seu restabelecimento pleno.

Empresas localizadas em cidades que sofrem com inundações e, consequentemente, queda de energia, precisam com o maior nível de urgência do Plano de Recuperação de Desastres, pois, se a cada problema seus serviços precisarem ficar paralisados, com certeza ela não só perderá em vendas como também em credibilidade.

5- Desastre natural

Há ainda a possibilidade de uma forte descarga de energia causada por um raio inviabilizar a continuidade da infra de TI ou fortes chuvas que podem danificar equipamentos externos ou as fiações às quais a infra em data center local esteja ligada.

Dessa forma, todos os problemas anteriores acabam se conectando por consequência da falta de um Plano de Recuperação de Desastres.

Como desenvolver um plano de recuperação de desastres?

Para evitarmos que tais problemas apontados anteriormente prejudiquem as organizações, podemos adotar algumas estratégias no Disaster Recovery Plan com essa finalidade. 

A seguir, listamos boas práticas que podem ser consideradas:

#1 Conheça as ameaças existentes

Identifique os tipos de desastres aos quais a sua empresa e o setor de TI, em específico, estejam mais suscetíveis. Chove muito na cidade? São chuvas torrenciais com muitos raios? Eis uma preocupação a ter em vista. Também avalie a qualidade do fornecimento de energia. Sempre tem queda de luz ou oscilação? 

Lembrando que alguns desastres como incêndios e erros humanos independem de localidade, bem como os crimes cibernéticos. Assim, é preciso considerar todos os eventos que possam ameaçar a continuidade da TI, medindo o impacto negativo de cada um deles na rotina e produtividade do setor e da empresa, como um todo.

#2 Identifique a capacidade de perda da empresa

Essa capacidade pode ser calculada por dois indicadores: (1) o ponto de recuperação (RPO) e o (2) tempo de recuperação (RTO).

O primeiro diz respeito à quantidade de informação que seu sistema ou aplicativo suporta perder, antes de ser acionado o plano de recuperação. Nesse caso, quanto maior for, mais tolerante é o sistema. Nesse caso, se o resultado for abaixo, é fundamental que haja backups com mais frequência, de preferência na nuvem.

O segundo indicador diz respeito, por sua vez, ao tempo de resposta da recuperação, ou seja, em quanto tempo a recuperação é efetuada. Aqui, quanto menor for, melhor para o negócio.

Sem ter a mensuração desses dois indicadores, é impossível executar a recuperação de desastres com eficiência.

#3 Elabore as estratégias de Recuperação

Ao mapear as principais ameaças que podem pôr seu negócio em risco, construa as estratégias de recuperação, respondendo exatamente ao questionamento: o que fazer quando houver um desastre dessa natureza? Cada um terá um impacto maior ou menor, dependendo do preparo da equipe para minimizar seus efeitos.

Por isso, é estritamente importante que o time tenha conhecimento e seja treinado para pôr em prática as estratégias elaboradas. Também é preciso considerar se a equipe é suficiente para atingir as metas do Disaster Recovery Plan, assim como avaliar se a empresa dispõe de infraestrutura para alcançar as metas do plano.

Por exemplo, avaliar se existe infraestrutura de backup e banda suficientes. 

Algumas soluções que podem ajudar nesse sentido, são:

Infra de Backup

Ter ou aumentar a infra de backup é necessário para que o plano de recuperação de desastres possa ser efetivo. 

Nesse caso, o backup deve ser realizado com periodicidade. Assim, ao ocorrer o desastre, a empresa terá cópias dos arquivos, podendo restabelecer a infra de TI em menor tempo. 

Cloud computing

A computação em nuvem é hoje forte aliado na gestão de TI. Pela estrutura online e servidores descentralizados, a cloud protege os dados em qualquer tipo de desastre. 

Além disso, nos casos específicos de ataques cibernéticos, os provedores de nuvem trabalham com um sistema de segurança rigoroso e em diversos níveis, desde programas antivírus à acesso criptografados.

Soluções EDR

As soluções EDR atuam especificamente nos endpoints da TI, ou seja, nos computadores, tablets e smartphones conectados aos sistemas e aplicações da TI. 

Se sua empresa já trabalha com computação em nuvem, então, significa que o acesso ao sistema é realizado de diversas máquinas, dentro e fora do escritório, o que, se por um lado, flexibiliza o trabalho e aumenta a produtividade, de outro aumenta os riscos de roubos e invasão. 

Por isso as soluções endpoint são essenciais, pois elas rastreiam os acessos e são capazes de identificar a origem da invasão, eliminando ou minimizando os impactos da ameaça, sem descontinuar a infra de TI.

#4 Integração entre departamentos

Além de treinar a equipe de TI, é fundamental que haja também integração com outros setores, como logística e financeiro, posto que são áreas que geram dados importantes para a empresa. 

Tais departamentos também precisam ter ciência do plano de recuperação de desastres e saber pô-lo em prática, caso seja necessário.

#5 Teste o plano

Tão importante quanto elaborar, é testar o plano de recuperação de desastres, uma vez que é preciso ter certeza que aquele conjunto de estratégia é o mais adequado para cada tipo de ameaça que a empresa possa sofrer.

Teste, inclusive, com a equipe para medir o tempo de recuperação e o nível de aprendizado de cada colaborador com a estratégia. Com os testes, é possível verificar fragilidades e potencialidades, fazendo ajustes necessários antes que o desastre real aconteça.

Disaster Recovery Plan: é hora de levar segurança 

Vimos que a recuperação de desastres é hoje um recurso essencial para qualquer empresa que utilize o digital como parte dos ativos. 

Assim, é fundamental investir em uma infraestrutura que seja adequada ao volume de dados, bem como em recursos que possam garantir a segurança e a recuperação dos dados em tempo mínimo para manter a continuidade da infra de TI. Do contrário, não só a TI, como outros setores, podem ficar fora do ar por tempo indeterminado.

Ainda há o risco da empresa ser punida pela ANPD, receber multas e até a suspensão de seus serviços, principalmente em casos de invasões.

Como benefícios, um bom plano de recuperação de desastres, usando soluções digitais eficazes, como as EDR, contribui com a economia de custos, manutenção de boa reputação da empresa, mais segurança para os dados e informações, garantia de continuidade da infra de TI e, por consequência, manutenção da produtividade. 

Quer saber mais quais estratégias usar para proteger os dados da sua empresa? Acompanhe as novidades, inscrevendo-se em nosso blog.