Em termos de Tecnologia da Informação, um desastre é qualquer tipo de evento que interrompe a rede, coloca os dados em risco ou faz com que as operações normais fiquem mais lentas ou parem. Um plano de recuperação de desastres (DRP) é criado para lidar com os riscos e as possibilidades desses tipos de eventos e minimizar os danos que eles causam.
Os desastres comuns incluídos em um DRP incluem:
Atividade maliciosa/ataques cibernéticos
Agentes mal-intencionados, malware, vírus e ameaças internas podem facilmente causar tempo de inatividade dispendioso e perda de dados. Com os ataques cibernéticos se tornando mais frequentes a cada mês, os DRPs tendem a concentrar muita atenção nessa área de risco.
Quedas de energia
As operações devem ser capazes de seguir em frente diante de interrupções de serviços públicos, especialmente se forem prolongadas e caóticas, como ocorre após muitos desastres naturais.
Falhas de equipamentos
Embora a equipe de TI trabalhe arduamente para manter tudo funcionando, é importante ter planos de failover em vigor caso algo dê errado.
Estados de emergência
Antes de 2021, muitas organizações não tinham provisões para algo como uma pandemia global em seu planejamento de desastres, ilustrando por que é aconselhável planejar cenários remotos, não apenas os mais óbvios.
Na verdade, seu plano de recuperação de desastres deve ser bastante abrangente e não deve incluir apenas cenários que você acha que têm grande probabilidade de acontecer.
Neste artigo, examinaremos esse e outros fatos vitais sobre o planejamento da recuperação de desastres.
O que este artigo abordará:
- O que é um plano de recuperação de desastres?
- Quatro tipos de recuperação de desastres de TI
- Principais elementos de um DRP
- Etapas para criar um plano de recuperação de desastres
O que é um plano de recuperação de desastres?
Um plano de recuperação de desastres (DRP) de TI é um documento formalizado que uma organização cria para codificar as políticas e os procedimentos em resposta a um desastre. Ele se concentra em setores relevantes para a TI, como manter a rede e os sistemas telefônicos VoIP on-line ou proteger dados confidenciais por meio de políticas de backup. O DRP é um componente do Plano de Continuidade de Negócios (BCP)da organização e, da mesma forma, deve ser testado e atualizado regularmente para garantir que a equipe de TI possa ter sucesso nos esforços de recuperação, independentemente do tipo de desastre.
Os DRPs são considerados essenciais, pois minimizam a exposição ao risco, reduzem as interrupções e garantem a estabilidade econômica. Um plano bem elaborado e robusto também pode reduzir os prêmios de seguro e a possível responsabilidade, além de garantir que sua organização esteja em conformidade com os requisitos regulamentares. A economia potencial pode ser chocante quando se determina o risco financeiro que se está enfrentando sem um plano de recuperação de desastres.
Para determinar quanto um desastre pode custar à sua organização, basta considerar o custo do tempo de inatividade do sistema e dos dados perdidos. Quantas vendas seriam perdidas se o site ou o sistema telefônico ficasse fora do ar por vários dias? Quantas horas faturáveis seriam perdidas se os documentos de uma semana fossem acidentalmente excluídos? Para qualquer empresa com mais de algumas pessoas, esses números podem crescer exponencialmente com muita rapidez.
Quatro tipos de recuperação de desastres
O compartilhamento de arquivos é uma excelente ferramenta de produtividade, mas o que realmente queremos saber é sobre segurança e proteção. Essa é a arena do backup de dados e da recuperação de arquivos.
1) Recuperação de desastres do data center
Esse tipo de recuperação de desastres considera todo o edifício em que o sistema de computação está alojado: o data center. Inclui todos os recursos e ferramentas dentro do edifício, como segurança física, pessoal de suporte, energia de reserva, HVAC, serviços públicos e supressão de incêndio, que devem ser confiáveis e estar em condições de funcionamento. Ele também pode incluir redundâncias que mantêm esses sistemas em funcionamento em caso de interrupções isoladas. O planejamento para esse tipo de DR pode ser muito caro, pois inclui muitos custos e manutenção físicos e baseados no local.
2) Recuperação de desastres baseada na nuvem
Isso transfere todos os ônus de configuração e manutenção do site para o provedor de nuvem, usando seu data center por meio de um acordo ou contrato de licenciamento. Embora isso reduza significativamente a complexidade e os custos para o usuário final, é mais limitado do que a propriedade completa de um data center. Na maioria dos casos, a economia de custos do backup e recuperação na nuvem supera em muito qualquer liberdade sacrificada por não ter seu próprio data center.
3) Recuperação de desastres de virtualização
A virtualização é extremamente popular, especialmente em um momento em que as máquinas virtuais são mais comuns devido às mudanças na força de trabalho. Essa abordagem elimina a necessidade de reconstruir um servidor físico no caso de um desastre, facilitando muito o alcance dos objetivos de tempo de recuperação (RTO) almejados ao colocar um servidor virtual na capacidade de reserva ou na nuvem.
4) Recuperação de desastres como um serviço
A recuperação de desastres como serviço (DRaaS) é um meio terceirizado de garantir a recuperação de desastres de TI usando uma variedade de abordagens diferentes. O DRaaS pode ser fornecido por meio da nuvem ou como um serviço site a site. Os provedores podem reconstruir e enviar servidores para o local do cliente como parte de um serviço de substituição de servidor ou podem usar a nuvem para fazer failover de aplicativos, orquestrar failback para servidores reconstruídos e reconectar usuários por meio de VPN ou Remote Desktop Protocol.
Principais elementos de um plano de recuperação de desastres
A seguir, alguns elementos importantes a serem incluídos no planejamento de recuperação de desastres.
Avaliação do impacto nos negócios
Uma avaliação do impacto nos negócios (BIA) deve ser realizada antes da criação do DRP. Essa avaliação abrangente avalia os sistemas críticos de uma empresa e como priorizar a recuperação desses sistemas.
Objetivo de ponto de recuperação (RPO) e objetivo de tempo de recuperação (RTO)
Um RPO determina a quantidade aceitável de dados que uma empresa pode correr o risco de perder e é usado para definir as frequências de backup. O RTO envolve o cálculo e a definição de metas sobre quanto tempo levará para restaurar um sistema após um desastre.
Saiba mais sobre a diferença entre RPO e RTO.
Local de armazenamento fora do local
Os servidores de backup, o hardware e outros materiais necessários para o processo de recuperação de desastres devem ser armazenados em um local afastado do escritório principal. A distância ou o número de locais diferentes dependerá dos cenários de desastre para os quais você está se planejando. Por exemplo, se o site principal estiver em uma área propensa a inundações, o local externo pode precisar estar a centenas de quilômetros de distância.
Leia nosso guia de soluções de backup para saber mais sobre o uso de soluções de backup e recuperação de dados baseadas na nuvem para atender a essa necessidade.
Plano de comunicação
Um DRP deve facilitar a comunicação rápida e fácil entre todos os funcionários e prestadores de serviços necessários ao processo de recuperação. Ele também deve estabelecer e definir as funções e responsabilidades de todos durante um desastre.
Instrução clara e direta
Os melhores DRPs são divididos em listas de verificação acionáveis para que os usuários não precisem ler centenas de páginas ao responder a um perigo imediato.
Nove etapas para criar um plano de recuperação de desastres
Toda empresa precisa de um plano de recuperação de desastres que seja tão exclusivo quanto seus requisitos de dados. Para definir a melhor abordagem para a sua empresa, é necessário ponderar o valor dos seus dados, sistemas e aplicativos em relação ao risco que a sua organização pode assumir. Ao criar um plano de recuperação de desastres, certifique-se de incluir as seguintes etapas:
1) Obter o comprometimento de toda a organização
Todos na organização devem estar cientes e aptos a apoiar e executar o plano de recuperação. O planejamento adequado começará no topo, pois a própria gerência/propriedade deve apoiar e se envolver no desenvolvimento do processo de planejamento de recuperação de desastres, garantindo que os recursos adequados sejam fornecidos para a tarefa.
2) Estabeleça um comitê de planejamento
Um grupo de partes interessadas deve ser organizado para supervisionar o desenvolvimento e a implementação do plano de recuperação de desastres. O comitê de planejamento deve incluir representantes de todas as áreas funcionais da organização e membros importantes de setores relevantes, como TI e gerenciamento de operações.
3) Realizar uma análise de risco e de impacto nos negócios
O comitê do DRP deve preparar uma análise de risco e uma análise de impacto nos negócios para estabelecer linhas de base para seu planejamento. Essas avaliações devem incluir uma série de desastres, inclusive ameaças naturais, técnicas e humanas. Cada setor da organização deve ser analisado para determinar a ameaça potencial e o impacto de cenários prováveis de desastres.
O problema que surge com esse recurso é que os ataques comuns de ransomware e criptografia geralmente renomeiam e criptografam arquivos nas unidades da vítima. Isso é feito intencionalmente para contornar o histórico de versões e a lixeira, de modo que não seja fácil recuperar os arquivos.
4) Priorizar as operações
As necessidades críticas de cada departamento devem ser avaliadas em áreas como pessoal, dados/documentação, políticas, serviços e sistemas de processamento.
É importante determinar o tempo máximo que qualquer departamento pode funcionar sem cada sistema crítico. O comitê de planejamento também deve determinar as necessidades críticas de cada departamento para priorizar melhor a recuperação e a alocação de recursos de emergência. Todas as operações devem ser classificadas como essenciais, importantes ou não essenciais, dependendo de sua prioridade.
5) Codificar estratégias de recuperação
Alternativas práticas para recursos de TI perdidos ou inativos em caso de desastre devem ser pesquisadas e avaliadas. É importante considerar todos os aspectos normais da operação ao escolher esses failovers ou redundâncias.
Essa parte do plano geralmente inclui informações detalhadas sobre a compra e a manutenção de ferramentas e recursos de emergência, ou seja, soluções de backup e recuperação de dados, bem como a mão de obra e outras considerações necessárias para mantê-los em um estado de prontidão.
6) Realizar a coleta de dados
Dados importantes devem ser coletados e armazenados. A coleta de dados recomendada pode incluir:
Documentação de backup e recuperação
- Números de telefone críticos
- Inventário de hardware de comunicações
- Documentação interna
- Registros de gerenciamento de ativos
- Apólices de seguro
- Inventário de hardware de rede
- Lista de contatos do fornecedor principal
- Lista de verificação de notificação
- Inventário de locais de armazenamento fora do local
7) Organizar e documentar um plano por escrito
O plano deve incluir todos os procedimentos detalhados a serem usados antes, durante e depois de um desastre. Isso inclui uma política de manutenção e atualização do plano para refletir quaisquer mudanças significativas na organização, bem como um processo de revisão regular.
Para facilitar a implementação, os DRPs geralmente são estruturados em equipes e têm responsabilidades delegadas. A equipe de gerenciamento é especialmente importante porque coordena o processo de recuperação.
Deve haver equipes responsáveis pelas principais funções, incluindo:
- Funções administrativas
- Instalações e operações
- Cadeia de suprimentos e logística
- Suporte ao usuário/atendimento ao cliente
- Backup de computadores e TI
- Restauração de serviços
8) Teste o plano
Todos os planos de emergência devem ser exaustivamente testados e avaliados regularmente. Os procedimentos para passar nesses testes devem ser rigidamente documentados. Sem testes, é impossível saber se todas as facetas de um cenário de emergência foram abordadas pelo DRP até que seja tarde demais.
Um teste inicial fornecerá feedback sobre quaisquer etapas adicionais que precisem ser incluídas, mudanças nos procedimentos que não sejam eficazes e outros ajustes para melhorar a eficácia. Esses testes podem assumir a forma de listas de verificação, simulações ou blecautes forçados reais. Obviamente, é melhor fazer esses testes fora do horário de expediente para minimizar a interrupção da organização.
9) Aprovação e implementação
Depois que o plano de recuperação de desastres for elaborado e exaustivamente testado, ele deverá ser aprovado pela liderança da organização.
A gerência é responsável por:
- Estabelecer as políticas, os procedimentos e as responsabilidades para o planejamento de desastres, bem como a formação inicial do comitê
- Revisar e aprovar o plano de contingência anualmente, bem como manter a documentação das revisões e testes por motivos de responsabilidade e conformidade
- Garantir que o DRP seja compatível com quaisquer fornecedores ou prestadores de serviços
Conclusão
Criar um plano de recuperação de desastres é essencial para garantir a sobrevivência de qualquer organização que dependa de tecnologia. Um planejamento bem-sucedido significa encontrar soluções de recuperação de desastres que atendam aos seus requisitos exclusivos de TI e sejam práticas para gerenciar e testar.
Muitas PMEs optam por trabalhar com provedores de serviços gerenciados (MSPs) para compensar o ônus de conhecimentos específicos, enquanto outras recorrem diretamente a ferramentas como o NinjaOne, que lhes permite aproveitar a tecnologia criada especificamente para simplificar a recuperação de desastres de TI. Essas ferramentas tornam extremamente fáceis etapas como a configuração de backups, o teste de failovers e a ativação de novos sistemas após um desastre.
Independentemente de sua organização desejar manter a administração de TI internamente ou terceirizá-la, a NinjaOne lhe dá o poder de garantir a continuidade dos negócios com failover rápido de cargas de trabalho críticas para nossos data centers remotos e seguros. No caso de um desastre, você pode contar com disponibilidade instantânea de dados e sistemas funcionais, graças a uma infraestrutura baseada em nuvem resiliente o suficiente para receber a confiança de milhares de usuários e provedores de TI do NinjaOne.
Independentemente de qualquer incerteza que você possa encontrar, o NinjaOne será uma parte valiosa do seu planejamento de desastres. Se estiver pronto para ver as vantagens por si mesmo, nós o convidamos a se inscrever para uma teste gratuito hoje mesmo.
