Como construir uma estratégia bem-sucedida de recuperação de desastres

Se o seu setor enfrenta desafios de conflitos geopolíticos, consequências de uma pandemia global ou agressão crescente no espaço de segurança cibernética, o vetor de ameaças para empresas modernas é inegavelmente poderoso. Estratégias de recuperação de desastres fornecem a estrutura para que os membros da equipe possam restaurar as operações de uma empresa após um evento imprevisto.

Globalmente, a popularidade das estratégias de recuperação de desastres está aumentando de forma compreensível. No ano passado, as empresas gastaram USD 219 bilhões apenas em soluções e cibersegurança, um aumento de 12% em relação a 2022, segundo um relatório recente da International Data Corporation (IDC) (link fora de ibm.com).

Uma estratégia de recuperação de desastres estabelece como sua empresa responderá a uma série de incidentes não planejados. Estratégias robustas de recuperação de desastres consistem em planos de recuperação de desastres (planos de DR), planos de continuidade de negócios (BCPs) e planos de resposta a incidentes (IRPs). Juntos, esses documentos ajudam a garantir que as empresas estejam preparadas para enfrentar uma variedade de ameaças, incluindo quedas de energia, ataques de ransomware e malware, desastres naturais, entre outros.

Os planos de recuperação de desastres (DRPs) são documentos detalhados que descrevem como as empresas responderão a diferentes tipos de desastres. Normalmente, as empresas criam seus próprios DRPs ou terceirizam seu processo de recuperação para um fornecedor de DRP. Junto com os planos de continuidade de negócios (BCPs) e os planos de resposta a incidentes (IRPs), os DRPs desempenham um papel fundamental na eficácia da estratégia de recuperação de desastres.

Assim como os DRPs, os BCPs e os IRPs fazem parte de uma estratégia mais ampla de recuperação de desastres que uma empresa pode utilizar para restaurar as operações normais em caso de desastre. Os BCPs geralmente examinam as ameaças de forma mais ampla do que os DRPs, concentrando-se no que uma empresa precisa para restaurar a conectividade. Os IRPs são um tipo de DRP que se concentra exclusivamente em ataques cibernéticos e ameaças aos sistemas de TI. Os IRPs descrevem claramente a resposta de emergência em tempo real de uma organização desde o momento em que uma ameaça é detectada até sua mitigação e resolução.

Desastres podem impactar as empresas de diferentes maneiras, causando todos os tipos de problemas complexos. Desde um terremoto que afeta a infraestrutura física e a segurança dos trabalhadores até uma interrupção dos serviços de nuvem que impede o acesso a armazenamento de dados sensíveis e serviços ao cliente, ter uma estratégia sólida de recuperação de desastres ajuda a garantir que as empresas se recuperem rapidamente. Aqui estão alguns dos maiores benefícios de construir uma forte estratégia de recuperação de desastres:

• Manutenção da continuidade dos negócios: a continuidade dos negócios e a recuperação de desastres de continuidade de negócios (BCDR) ajudam a garantir que as organizações retornem às operações normais após um evento imprevisto, fornecendo proteção de dados, backup de dados e outros serviços críticos.
• Redução de custos: de acordo com o relatório recente da IBM sobre o custo de uma violação de dados, o custo médio de uma violação de dados em 2023 foi de USD 4,45 milhões, um aumento de 15% nos últimos 3 anos.As empresas que não possuem estratégias de recuperação de desastres estão correndo o risco de sofrer custos e penalidades que podem superar em muito o dinheiro economizado por não investir na solução.
• Menor downtime: as empresas modernas dependem de tecnologias complexas, como soluções de infraestrutura baseadas na nuvem e redes celulares. Quando um incidente não planejado interrompe as operações comerciais, ele pode custar milhões. Além disso, a natureza de alto perfil dos ataques cibernéticos, o longo downtime ou as interrupções relacionadas a erros humanos podem causar a fuga de clientes e investidores.
• Manutenção da conformidade: as empresas que operam em setores altamente regulamentados, como saúde e finanças pessoais, enfrentam multas e penalidades pesadas por violações de dados devido à natureza crítica dos dados que gerenciam. Ter uma estratégia sólida de recuperação de desastres ajuda a encurtar os processos de resposta e recuperação após um incidente não planejado, o que é crucial em setores onde o valor da penalidade financeira geralmente está vinculado à duração da violação.

As estratégias de recuperação de desastres mais fortes preparam as empresas para enfrentarem uma ampla variedade de ameaças. Um modelo sólido para restaurar as operações normais pode ajudar a construir a confiança do investidor e do cliente e aumentar a probabilidade de recuperação de quaisquer ameaças que seu negócio enfrente. Antes de entrarmos nos componentes reais das estratégias de recuperação de desastres, vamos analisar alguns termos importantes.

• Failover/failback: o failover é um processo amplamente utilizado na recuperação de desastres de TI, em que as operações são transferidas para um sistema secundário quando o sistema primário falha devido a uma queda de energia, ataque cibernético ou outra ameaça. O failback é o processo de retornar ao sistema original assim que os processos normais forem restaurados. Por exemplo, uma empresa pode realizar o failover de seu data center para um local secundário, onde um sistema redundante entrará em ação instantaneamente. Se executado corretamente, o processo de failover/failback pode criar uma experiência contínua em que o usuário/cliente nem percebe que foi movido para um sistema secundário.
• Objetivo de tempo de recuperação (RTO): o RTO refere-se ao tempo necessário para restaurar as operações de negócios após um incidente imprevisto. Estabelecer um RTO razoável é uma das primeiras coisas que as empresas precisam fazer quando estão criando sua estratégia de recuperação de desastres.
• Objetivo de ponto de recuperação (RPO): o RPO da sua empresa é a quantidade de dados que ela pode perder e ainda se recuperar. Algumas empresas copiam constantemente dados para um data center remoto para garantir continuidade. Outros definem um RPO tolerável de alguns minutos (ou até mesmo horas) e sabem que conseguirão recuperar tudo o que foi perdido durante esse período.
• Recuperação de desastres como serviço (DRaaS): o DRaaS é uma abordagem de recuperação de desastres que vem ganhando popularidade devido a uma crescente conscientização sobre a importância da segurança de dados. As empresas que adotam uma abordagem DRaaS para a recuperação após desastres estão essencialmente terceirizando seus planos de recuperação de desastres (DRPs) para terceiros. Esse terceiro hospeda e gerencia a infraestrutura necessária para recuperação, depois cria e gerencia planos de resposta e garante a rápida retomada das operações críticas para os negócios.De acordo com um relatório recente da Global Market Insights (GMI) (link fora de ibm.com), o tamanho do mercado para DRaaS era de USD 11,5 bilhões em 2022 e estava pronto para crescer 22% nos próximos anos.

O planejamento de recuperação de desastres começa com uma análise profunda dos processos de negócios mais críticos, conhecidos como análise de impacto nos negócios (BIA) e avaliação de risco (RA). Embora cada empresa seja diferente e tenha requisitos exclusivos, há vários passos que você pode seguir, independentemente do tamanho ou setor, para garantir um planejamento eficaz de recuperação de desastres.

Passo 1: conduza uma análise de impacto nos negócios

A análise de impacto nos negócios (BIA) é uma avaliação cuidadosa de cada ameaça que sua empresa enfrenta, juntamente com os possíveis resultados. Uma BIA sólida avalia como as ameaças podem impactar as operações diárias, canais de comunicação, segurança dos trabalhadores e outras partes críticas do seu negócio. Exemplos de fatores a serem considerados ao conduzir a BIA incluem perda de receita, duração e custo do downtime, custo da reparação de reputação (relações públicas), perda de confiança de clientes ou investidores (a curto e longo prazo) e possíveis penalidades que você pode enfrentar por violações de conformidade causadas por uma interrupção.

Etapa 2: realize uma análise de risco

As ameaças variam muito dependendo do seu setor e do tipo de negócio que você administra. Realizar uma análise de risco (RA) sólida é um passo crítico na elaboração de sua estratégia. Você pode avaliar cada ameaça potencial separadamente, considerando duas coisas: a probabilidade de ocorrer e seu impacto potencial nas operações comerciais. Existem dois métodos amplamente utilizados para isso: análise qualitativa e quantitativa de risco. A análise qualitativa de risco é baseada em risco percebido, e a análise quantitativa é realizada usando dados verificáveis.

Passo 3: crie seu inventário de ativos

A recuperação de desastres depende de ter uma visão completa de todos os ativos que sua empresa possui. Isso inclui hardware, software, infraestrutura de TI, dados e qualquer outra coisa que seja crítica para as operações de negócios. Aqui estão três rótulos amplamente usados para categorizar seus ativos:

• Crítico: rotule apenas os ativos como críticos se eles forem necessários para as operações normais do negócio.
• Importante: atribua esse rótulo a ativos que sua empresa utiliza pelo menos uma vez por dia e que, se interrompidos, afetariam as operações de negócios (mas não os encerrariam completamente).
• Sem importância: esses são ativos que sua empresa usa com pouca frequência e que não são essenciais para as operações normais.

Passo 4: estabeleça funções e responsabilidades

A atribuição clara de funções e responsabilidades é, sem dúvida, a parte mais importante de uma estratégia de recuperação de desastres. Sem isso, ninguém saberá o que fazer no caso de um desastre. Embora as funções e responsabilidades variem muito de acordo com o tamanho da empresa, setor e tipo de negócio, há algumas funções e responsabilidades que toda estratégia de recuperação deve conter:

• Relator de incidentes: um indivíduo responsável por se comunicar com stakeholders e autoridades relevantes quando ocorrem eventos disruptivos, além de manter informações de contato atualizadas para todas as partes envolvidas.
• Gerente do plano de recuperação de desastres: o gerente de DRP garante que os membros da equipe de recuperação de desastres executem as tarefas que lhes foram atribuídas e que a estratégia funcione corretamente.
• Gerente de ativos: alguém deve ser designado para garantir a segurança e a proteção dos ativos críticos quando um desastre ocorrer e relatar seu status durante o incidente.

Etapa 5: teste e refine

Para garantir que sua estratégia de recuperação de desastres seja eficaz, você precisará praticá-la constantemente e atualizá-la regularmente de acordo com qualquer mudança significativa. Por exemplo, se sua empresa adquirir novos ativos após a formação de sua estratégia de DRP, eles precisarão ser incluídos no plano para garantir que estejam protegidos no futuro. Testar e refinar sua estratégia de recuperação de desastres pode ser dividido em três etapas simples:

1. Crie uma simulação precisa: ao testar seu DRP, tente criar um ambiente o mais próximo possível do cenário real que sua empresa enfrentará, sem colocar ninguém em risco físico.
2. Identifique problemas: use o processo de teste de DRP para identificar falhas e inconsistências em seu plano, simplificar processos e corrigir quaisquer problemas com seus procedimentos de backup.
3. Teste seus procedimentos de recuperação de desastres: ver como você responderá a um incidente é vital, mas é igualmente importante testar os procedimentos que você implementou para restaurar sistemas críticos após o incidente. Teste como você reativará as redes, recuperará quaisquer dados perdidos e retomará as operações normais de negócios.

As empresas modernas dependem mais do que nunca da tecnologia para atender seus clientes. Mesmo pequenas interrupções podem causar downtime crítico e impactar a confiança de clientes e investidores. A IBM FlashSystem Cyber Recovery Guarantee é projetada para qualquer pessoa que compre uma nova matriz do FlashSystem com o IBM Storage Expert Care e o IBM Storage Insights Pro.