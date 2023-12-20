Publicado: 21 de dezembro de 2023
A recuperação de desastres e continuidade dos negócios (BCDR) refere-se a um processo que auxilia as organizações a retomarem as operações normais de negócios em caso de desastre. Embora a continuidade dos negócios e a recuperação de desastres estejam intimamente relacionadas, elas descrevem duas abordagens sutilmente diferentes de gerenciamento de crises que as empresas podem adotar.
Com o aumento dos custos relacionados à prevenção de downtime e ao tempo de inatividade, diversas organizações estão intensificando seus investimentos em gerenciamento de emergências. Em 2023, empresas ao redor do mundo estavam previstas para gastar USD 219 bilhões em cibersegurança, um aumento de 12% em relação ao ano anterior, de acordo com um relatório recente da International Data Corporation.
O que é um plano de recuperação de desastres?
Um plano de recuperação de desastres (DRP) é um plano de contingência sobre como uma empresa irá se recuperar de um evento inesperado. Os DRPs ajudam as empresas a gerenciar diferentes cenários de desastre, como grandes quedas de sistemas, desastres naturais, ataques de ransomware e malware, entre outros.
O que é um plano de continuidade de negócios?
Assim como os DRPs, os planos de continuidade de negócios (BCPs) desempenham um papel crucial na recuperação de desastres e ajudam as organizações a retomarem suas funções normais quando ocorre um desastre. Enquanto um DRP se concentra especificamente nos sistemas de TI, o gerenciamento de continuidade de negócios foca de forma mais ampla em vários aspectos da preparação.
A maioria das organizações divide o planejamento de BCDR em dois processos separados: continuidade dos negócios e recuperação de desastres. Essa abordagem é eficaz porque, embora os dois processos compartilhem muitas etapas, também existem diferenças fundamentais na forma como as organizações constroem, implementam e testam os planos.
A principal diferença é que os BCPs são proativos, com o objetivo de manter as operações antes, durante e logo após um desastre. Por outro lado, os DRPs são reativos, focando em como responder e se recuperar de um incidente. Essa distinção deve orientar a criação da sua estratégia de BCDR, com os BCPs focando em processos e funções críticas, e os DRPs nas ações de recuperação após um incidente.
Ambos os processos dependem fortemente de dois componentes críticos: o objetivo de tempo de recuperação e o objetivo de ponto de recuperação.
Objetivo de tempo de recuperação (RTO)
O RTO se refere ao tempo necessário para restaurar os processos de negócios após um incidente inesperado. Estabelecer um RTO razoável é uma das primeiras tarefas que as empresas precisam realizar ao criar seu DRP.
Objetivo de ponto de recuperação (RPO)
O RPO da sua empresa é a quantidade de dados que ela pode perder em um desastre e ainda assim se recuperar. Como a proteção de dados é um recurso central de muitas empresas modernas, algumas copiam constantemente os dados para um data center remoto para garantir a continuidade em caso de uma violação massiva. Outras definem um RPO de alguns minutos ou até horas para recuperar os dados de negócios de um sistema de backup, assegurando-se de que podem recuperar o que foi perdido nesse período.
1. Realize análises de impacto nos negócios
Para criar um BCP eficiente, você primeiro precisa compreender os diversos riscos que sua organização enfrenta. A análise de impacto nos negócios (BIA) é essencial para o gerenciamento de riscos e a resiliência empresarial. A BIA é o processo de identificar e avaliar o impacto potencial de um desastre nas operações normais. Uma BIA robusta inclui uma visão geral de todas as ameaças e vulnerabilidades potenciais, internas e externas, além de planos detalhados para mitigação. A BIA também deve identificar a probabilidade de um evento ocorrer, para que a organização possa priorizar de forma adequada.
2. Projete respostas
Quando concluir a BIA, a próxima etapa na construção do seu BCP é planejar respostas eficazes para cada uma das ameaças identificadas. Ameaças diferentes naturalmente exigem estratégias de recuperação de desastres distintas, portanto, cada resposta deve ter um plano detalhado de como a organização detectará e abordará uma ameaça específica.
3. Identifique as funções e responsabilidades chave
Esta etapa define como os principais membros da sua equipe respondem diante de uma crise ou evento disruptivo. Documenta as expectativas para cada membro da equipe e também os recursos necessários para que cumpram seus papéis. Essa etapa do processo é ideal para considerar como as pessoas se comunicam quando ocorre um incidente. Algumas ameaças desligam redes essenciais, como a conectividade de celular ou internet, por isso é importante ter métodos de comunicação alternativos e confiáveis.
4. Teste e atualize seu plano
Para que seja efetivo, você precisa praticar e refinar constantemente seu plano BCDR. Testes e treinamento constantes de funcionários levam a uma implementação sem falhas quando ocorrer um desastre real. Reproduza cenários realistas como ataques cibernéticos, incêndios, inundações, erros humanos, grandes quedas de energia e outras ameaças relevantes para que os membros da equipe possam construir confiança em seus papéis e responsabilidades.
Assim como os BCPs, os DRPs exigem uma BIA, definição de papéis e responsabilidades, além de testes e ajustes contínuos. No entanto, como os DRPs são mais reativos por natureza, há um foco maior na análise de riscos e no backup e recuperação de dados. As etapas 2 e 3 do desenvolvimento de DRP, que incluem a análise de riscos e a criação de um inventário de ativos, não fazem parte do processo de desenvolvimento do BCP.
Aqui está um processo amplamente utilizado de cinco etapas para criar um DRP:
1. Conduza uma análise de impacto nos negócios
Assim como no processo de BCP, comece avaliando cada ameaça que sua empresa pode enfrentar e quais podem ser suas ramificações. Considere como as ameaças potenciais podem impactar as operações diárias, os canais de comunicação regulares e a segurança dos funcionários. Outras considerações importantes para uma BIA robusta incluem perda de receita, custo de downtime, custo de reparação da reputação (relações públicas), perda de clientes e investidores (a curto e longo prazo) e eventuais penalidades por violações de conformidade.
2. Analise os riscos
Os DRPs geralmente exigem uma avaliação de riscos mais cuidadosa do que os BCPs, já que seu papel é focar nos esforços de recuperação de um desastre potencial. Durante a fase de análise de riscos no planejamento, considere a probabilidade de cada risco e seu impacto potencial na sua empresa.
3. Crie um inventário de ativos
Para criar um DRP eficiente, é essencial saber exatamente o que sua empresa possui, sua função ou propósito e sua situação atual. Fazer um inventário de ativos regularmente ajuda a identificar hardware, software, infraestrutura de TI e qualquer outra coisa que sua organização possa possuir que seja crucial para as operações comerciais. Após identificar seus ativos, você pode agrupá-los em três categorias: críticos, importantes e não importantes.
4. Estabeleça funções e responsabilidades
Assim como no desenvolvimento do BCP, é necessário definir claramente as responsabilidades e garantir que os membros da equipe tenham os recursos necessários para cumprir suas funções. Sem essa etapa essencial, ninguém saberá como agir durante uma situação de desastre. Aqui estão algumas funções e responsabilidades que devem ser consideradas ao criar seu DRP:
5. Testar e refinar
Assim como seu BCP, seu DRP requer prática constante e refinamento para ser eficaz. Execute-o com frequência e ajuste-o de acordo com as mudanças importantes que se tornarem necessárias. Por exemplo, se sua empresa adquirir um novo ativo após a criação do DRP, será necessário incorporá-lo ao plano para garantir sua proteção no futuro.
No que diz respeito ao planejamento BCDR, cada empresa terá seu próprio conjunto único de necessidades. Aqui estão alguns exemplos de planos eficientes para empresas de diferentes tamanhos e setores:
Plano de gerenciamento de crises
Um plano de gerenciamento de crises, também conhecido como plano de gerenciamento de incidentes, é um plano detalhado para lidar com um incidente específico. Ele oferece instruções detalhadas sobre como sua organização deve reagir a uma crise específica, como uma queda de energia, ataque cibernético ou desastre natural.
Plano de comunicações
Um plano de comunicação descreve como sua organização gerencia as relações públicas (PR) em caso de desastre. Os líderes de negócios geralmente trabalham com especialistas em comunicação para formular planos que complementem as ações de gerenciamento de crises, assegurando a continuidade das operações em situações inesperadas.
Plano de recuperação de data center
Um plano de recuperação de data center foca na segurança da instalação do data center e em sua capacidade de voltar a operar após um incidente imprevisto. Algumas ameaças comuns ao armazenamento de dados incluem equipe sobrecarregada, que pode levar a erros humanos, ataques cibernéticos, quedas de energia e dificuldade em seguir os requisitos de conformidade.
Plano de recuperação de rede
Planos de recuperação de rede ajudam as organizações a se recuperarem de interrupções nos serviços de rede, incluindo acesso à internet, dados móveis, redes locais e redes de longa distância. Por conta da importância crítica dos serviços em rede nas operações de negócios, os planos de recuperação de rede precisam definir claramente as etapas, funções e responsabilidades para a restauração rápida e eficiente dos serviços após uma interrupção.
Plano de recuperação virtualizado
Um plano de recuperação virtualizado depende de instâncias de máquinas virtuais (VM) que podem estar prontas para operar em poucos minutos após uma interrupção. Máquinas virtuais são representações ou emulações de computadores físicos que permitem a recuperação de aplicações críticas por meio de alta disponibilidade, ou seja, a capacidade de um sistema operar continuamente sem falhas.
O planejamento BCDR ajuda as organizações a entender melhor as ameaças que enfrentam e a se preparar de forma mais eficiente para lidar com elas. As empresas que não fazem um planejamento BCDR enfrentam diversos riscos, como perda de dados, downtime, penalidades financeiras e danos à reputação. Um planejamento BCDR eficiente ajuda a garantir a continuidade de negócios e a rápida restauração dos serviços após uma interrupção. Veja alguns dos benefícios que empresas com um forte planejamento BCDR obtêm:
Quando um incidente inesperado interrompe o funcionamento normal de uma empresa, o prejuízo pode chegar a centenas de milhões de dólares. Além disso, ciberataques de grande visibilidade frequentemente atraem uma cobertura negativa na imprensa, causando perda de confiança tanto por parte de clientes quanto de investidores.Os planos BCDR aumentam a capacidade de uma organização voltar a funcionar de forma rápida e tranquila após um incidente não planejado.
Segundo o relatório mais recente da IBM sobre o custo de vazamento de dados, o custo médio de uma violação de dados em 2023 foi de USD 4,45 milhões, representando um aumento de 15% em relação aos últimos três anos. Empresas com um planejamento BCDR robusto podem reduzir esses custos ao ajudar a manter a continuidade ddos negócios durante o incidente e acelerar a recuperação posteriormente. Um BCDR eficaz também pode proporcionar economia nos custos com seguro cibernético. Muitas seguradoras não fazem seguro para organizações que não tenham estabelecido um plano sólido de BCDR.
As violações de dados acarretam multas pesadas quando informações privadas de clientes são comprometidas. As empresas que atuam em setores altamente regulamentados, como saúde e finanças pessoais, enfrentam penalidades especialmente elevadas. Como essas penalidades geralmente estão relacionadas à duração e gravidade da violação, manter a continuidade de negócios e encurtar os ciclos de resposta e recuperação é essencial para reduzir as multas financeiras.
