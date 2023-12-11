Publicado: 12 Dezembro 2023
A recuperação de desastres como serviço (DRaaS) é uma solução de terceiros que oferece proteção de dados e recursos de recuperação de desastres (DR) para empresas sob demanda, pela internet e com base em pagamento conforme o uso.
As soluções DRaaS replicam e hospedam servidores físicos e servidores virtuais que proporcionam failover em caso de desastre, um processo onde as operações de TI são transferidas para um sistema secundário quando o principal falha. Um DRaaS eficiente ajuda a limitar o downtime e a reduzir os objetivos de ponto de recuperação (RPOs) e os objetivos de tempo de recuperação (RTOs) quando ocorre um desastre.
As soluções de DR têm ganhado popularidade nos últimos anos devido ao aumento da conscientização na comunidade empresarial sobre a importância da segurança de dados. Empresas que adotam a abordagem DRaaS essencialmente terceirizam seu planejamento de DR para um fornecedor externo. De acordo com um relatório recente da Global Market Insights (GMI) (link externo ao site ibm.com), o tamanho do mercado para DRaaS foi de USD 11,5 bilhões em 2022 e estava projetado para crescer 22% este ano (link externo ao site ibm.com) .
O que é um plano de recuperação de desastres?
As soluções DRaaS dependem de planos de recuperação de desastres (DRPs), que são documentos detalhados que descrevem como uma organização responde a um incidente não planejado. Além dos planos de continuidade de negócios (BCPs), os planos de recuperação de desastres garantem que as empresas estejam prontas para lidar com várias ameaças, incluindo ataques de ransomware e malware, desastres naturais e outros riscos.
Um DRP robusto pode ajudar a restaurar a conectividade e reparar a perda de dados após um desastre. Em um evento não planejado, um fornecedor terceirizado que fornece suporte DRaaS tem menos probabilidade de sofrer a mesma paralisação que seus clientes, permitindo que o fornecedor DRaaS execute o DRP do cliente de forma mais eficiente do que o próprio cliente.
O que é failover/failback?
Failover e failback são conceitos fundamentais para o DRaaS, ajudando fornecedores terceirizados a apoiar efetivamente seus clientes e implementar seus DRPs, independentemente da gravidade do incidente enfrentado. Failover é o processo onde as operações de TI são transferidas para um sistema secundário quando o principal falha devido a uma queda de energia, ataque cibernético ou outra ameaça.
Failback é o processo de retornar ao sistema original uma vez que a funcionalidade total tenha sido restaurada. No modelo de serviço DRaaS, um fornecedor pode realizar failover do data center do cliente para um site secundário onde um sistema redundante entraria em vigor instantaneamente. Se executados corretamente, failover e failback podem criar uma experiência sem interrupções, onde o usuário nem percebe que está sendo transferido para um sistema secundário.
O primeiro passo para o DRaaS é selecionar o fornecedor ou provedor de serviços principal (MSP) adequado para sua organização. Esta é a empresa que fornecerá os recursos DRaaS, incluindo o estabelecimento de RTOs e RPOs, e ajudará a criar um plano de continuidade de negócios (BCP). Normalmente, os provedores de serviços gerenciados de DRaaS competem para oferecer RTOs e RPOs cada vez menores, portanto, essa é uma boa métrica para começar ao avaliar se eles são adequados para suas necessidades.
Objetivo de tempo de recuperação (RTO): RTO refere-se ao tempo necessário para restaurar as operações comerciais após um incidente não planejado. No modelo de DRaaS, os acordos de nível de serviço (SLAs) cobrem o tempo de recuperação (RTO) e explicam como o provedor de serviços gerenciados (MSP) e a empresa vão colaborar para alcançá-lo.
Objetivo do ponto de recuperação (RPO): o RPO é a quantidade de dados que uma organização pode perder em um desastre e ainda assim se recuperar. Algumas empresas precisam que seus dados sejam constantemente copiados para um data center remoto para garantir a continuidade em caso de violação; outras conseguem tolerar um RPO de alguns minutos (ou até horas). Estabelecer expectativas claras sobre o RPO de uma organização é uma etapa crítica para configurar uma solução DRaaS.
Plano de continuidade de negócios: assim como os DRPs, RTOs e RPOs, os planos de continuidade de negócios (BCPs) são essenciais para o processo DRaaS. Os BCPs geralmente analisam de forma mais ampla várias ameaças e opções de resolução do que um DRP, focando no que uma organização e o fornecedor DRaaS precisarão fazer para restaurar funções básicas de negócios após um incidente. No modelo DRaaS, o BCP de uma organização geralmente é desenvolvido pelo MSP que fornece os serviços DRaaS em conjunto com a liderança da organização.
DRaaS depende do backup de sistemas críticos para que possam ser restaurados após um incidente não planejado. Escolher a localização e o tipo de backups que serão usados é uma das decisões mais importantes que uma organização tomará durante o processo DRaaS. Existem três opções para escolher: data center, nuvem e backups híbridos.
Data center
Quando uma organização opta por fazer backup de seus dados mais críticos usando um data center, os dados são transferidos para fora do local, protegendo-os de um desastre natural ou ataque cibernético localizado. Devido à necessidade de mais infraestrutura, como instalações externas e servidores físicos, sistemas e pessoal, os backups em data center costumam ser a opção mais cara. Além disso, restaurar dados de um data center externo é um processo mais demorado do que restaurar da nuvem e pode às vezes levar dias ou até semanas.
Nuvem
Os planos de recuperação de desastres na nuvem costumam ser os mais escaláveis e econômicos porque não precisam de infraestrutura física e suporte. Planos de DR baseados na nuvem armazenam dados críticos na nuvem, permitindo que uma organização crie uma instância de máquina virtual (VM) que pode ser ativada em minutos, até segundos, em caso de desastre.
Hybrid cloud
Os planos híbridos de DRaaS utilizam tanto um ambiente de nuvem pública quanto um data center para fins de backup. Os serviços de nuvem híbrida são os mais flexíveis das três opções disponíveis e são uma boa opção para pequenas e médias empresas (PMEs) que desejam recursos DRaaS em nível empresarial sem investir em infraestrutura física.
Muitas organizações que consideram DRaaS também avaliam backup como serviço (BaaS) como uma opção menos cara. O BaaS é um serviço gerenciado por um provedor terceirizado que ajuda as empresas a recuperar seus dados mais importantes depois de um incidente. As soluções BaaS armazenam dados em um local seguro e externo, frequentemente na nuvem, onde estão protegidos contra várias ameaças.
O backup de dados BaaS pode incluir qualquer coisa de valor para uma organização, como arquivos, registros e até cargas de trabalho completas. Assim como o DRaaS, o BaaS é um serviço fornecido por um MSP e regido por um SLA que detalha todas as responsabilidades e expectativas de ambas as partes.
Existem três diferenças principais entre soluções BaaS e DRaaS que valem a pena considerar:
Requisitos de backup: enquanto o DRaaS faz backup de dados e infraestrutura, o BaaS apenas faz backup de dados. Os provedores de serviços gerenciados de DRaaS geralmente assumem a responsabilidade de manter infraestruturas críticas como servidores, edifícios comerciais e redes disponíveis e acessíveis aos usuários durante e imediatamente após um incidente. Fornecedores de BaaS não oferecem esses serviços.
Tempo de restauração: os provedores de BaaS podem restaurar dados e realizar recuperação de dados, mas leva mais tempo do que com um provedor DRaaS devido à quantidade de dados envolvida. As implementações BaaS normalmente lidam com volumes maiores de dados do que implementações DRaaS e medem seus RPOs e RTOs em horas e dias. Os provedores de DRaaS podem medir RPO e RTO em minutos e, às vezes, até segundos.
Preço da solução: oBaaS custa significativamente menos do que o DRaaS. Isso se deve principalmente ao custo dos recursos que estão sendo implementados. Em uma implantação DRaaS, as empresas pagam por recursos como software de replicação e infraestrutura de computação além de recursos de armazenamento, enquanto em uma implementação BaaS a organização paga apenas por recursos de armazenamento.
A maioria das organizações divide o planejamento de BCDR em dois processos separados: continuidade de negócios e recuperação de desastres. Esta é uma abordagem eficiente porque, embora os dois processos compartilhem muitas etapas, também há diferenças significativas em como os planos são construídos, implementados e testados.
A principal diferença é que os BCPs tendem a ser proativos, enquanto os DRPs tendem a ser mais reativos. É bom ter isso em mente ao construir as duas partes do seu plano BCDR, pois isso governa como os dois processos se relacionam entre si.
Uma estratégia robusta de continuidade de negócios foca em processos, procedimentos e funções críticas para as operações de negócios antes, durante e imediatamente após um desastre. O planejamento de DR é mais direcionado para reagir a um incidente e tomar ações apropriadas para se recuperar dele.
Ambos os processos dependem fortemente de dois componentes críticos, objetivo de tempo de recuperação (RTO) e objetivo de ponto de recuperação (RPO):
1. Realize uma análise de impacto nos negócios (BIA)
Para construir um BCP eficiente, você precisará primeiro entender os diversos riscos que sua organização enfrenta. A análise de impacto nos negócios (BIA) desempenha um papel crucial na gestão de riscos e na resiliência empresarial. A BIA é o processo de identificar e avaliar o impacto potencial de um desastre nas operações normais.
Uma BIA robusta inclui uma visão completa de todas as ameaças e vulnerabilidades potenciais existentes, internas e externas, bem como planos detalhados para mitigação. Além disso, a BIA deve identificar a probabilidade de ocorrência de um evento para que a organização possa priorizar de acordo.
2. Planeje as respostas
Após concluir a BIA, a próxima etapa na construção do seu BCP é planejar respostas eficazes para cada uma das ameaças identificadas. Ameaças diferentes naturalmente exigirão estratégias de recuperação de desastres distintas, portanto, cada resposta deve ter um plano detalhado de como a organização detectará e abordará uma ameaça específica.
3. Identifique as funções e responsabilidades chave
Esta etapa define como os principais membros da sua equipe responderão diante de uma crise ou evento disruptivo. Documenta as expectativas para cada membro da equipe, bem como os recursos necessários para que cumpram seus papéis.
Esta é uma boa parte do processo para considerar como os indivíduos irão se comunicar em caso de um incidente. Algumas ameaças podem interromper redes-chave, como conectividade celular ou de internet, portanto, é importante ter métodos de comunicação alternativos nos quais seus funcionários possam confiar.
4. Teste e atualize seu plano
Para que seja efetivo, você precisa praticar e refinar constantemente seu plano BCDR. Testes e treinamento constantes de funcionários levarão a uma implementação sem falhas quando ocorrer um desastre real. Reproduza cenários realistas como ataques cibernéticos, incêndios, inundações, erros humanos, grandes quedas de energia e outras ameaças relevantes para que os membros da equipe possam construir confiança em seus papéis e responsabilidades.
Assim como os BCPs, os DRPs exigem análise de impacto nos negócios (BIA), a definição de papéis e responsabilidades e testes e refinamentos constantes. Mas, como os DRPs são mais reativos por natureza, há mais foco na análise de riscos e no backup e recuperação de dados. As etapas 2 e 3 do desenvolvimento do DRP, realizar análise de riscos (RA) e criar um inventário de ativos, não fazem parte do processo de desenvolvimento do BCP.
Aqui está um processo de cinco etapas amplamente utilizado para criar um DRP:
1. Realizar análise de impacto nos negócios
Assim como no processo do seu BCP, comece avaliando cada ameaça que sua empresa pode enfrentar e quais seriam suas ramificações. Considere como as ameaças potenciais podem impactar as operações diárias, os canais de comunicação regulares e a segurança dos funcionários.
Considerações adicionais para uma BIA forte incluem perda de receita, custo do downtime, custo de reparação da reputação (relações públicas), perda de clientes e investidores (a curto e longo prazo) e quaisquer penalidades incorridas por violações de conformidade.
2. Analisar os riscos
Os DRPs geralmente exigem uma avaliação de riscos mais cuidadosa do que os BCPs, já que seu papel é focar nos esforços de recuperação de um desastre potencial. Durante a parte de análise de riscos (RA) do planejamento, considere a probabilidade de um risco e o impacto potencial no seu negócio.
3. Criar um inventário de ativos
Para criar um DRP eficiente, você deve saber exatamente o que sua empresa possui, seu propósito e função e sua condição. Fazer um inventário de ativos regularmente ajuda a identificar hardware, software, infraestrutura de TI e qualquer outra coisa que sua organização possa possuir que seja crucial para as operações comerciais. Depois de identificar seus ativos, você pode agrupá-los em três categorias—críticos, importantes e não importantes:
4. Estabelecer funções e responsabilidades
Assim como no desenvolvimento do seu BCP, você precisará delinear claramente as responsabilidades e garantir que os membros da equipe tenham o que precisam para cumprir suas funções. Sem esta etapa crucial, ninguém saberá como agir durante um desastre. Aqui estão algumas funções e responsabilidades que devem ser consideradas ao criar seu DRP:
5. Testar e refinar
Assim como seu BCP, seu DRP requer prática constante e refinamento para ser eficaz. Pratique regularmente e atualize-o conforme quaisquer mudanças significativas que precisem ser feitas. Por exemplo, se sua empresa adquirir um novo ativo após a formação do seu DRP, você precisará incorporá-lo ao seu plano para garantir sua proteção daqui para frente.
Empresas modernas têm cada vez menos tolerância para downtime.
Todos os dias, parece que outro ataque cibernético ou evento não planejado aparece nas manchetes, custando milhões para as empresas. Soluções de recuperação de desastres como DRaaS proporcionam proteção de dados e recuperação de desastres eficazes contra uma variedade de ameaças.
Terceirizar a implementação do seu DRP e fazer backup dos dados mais valiosos da sua organização em um local separado, dois elementos-chave do DRaaS, ajudam a garantir que você possa se recuperar rápida e completamente em caso de desastre.
Aqui estão alguns dos principais benefícios das soluções DRaaS:
As empresas mais competitivas de hoje dependem da tecnologia para suas operações comerciais mais críticas. Quando um desastre ocorre, os dias, horas, até os minutos, em que processos normais são interrompidos podem custar milhões. Além disso, ataques cibernéticos e downtimes em empresas de renome frequentemente viram notícias, elevando os custos de recuperação devido ao impacto na reputação. Um DRaaS eficiente proporciona às empresas proteção e backup de dados e aumenta sua capacidade de se recuperar de quaisquer ameaças que enfrentem.
O custo de se recuperar de um desastre está ficando mais caro a cada ano. Considerando apenas um tipo de incidente não planejado, as violações de dados, o recente relatório de custo de violação de dados da IBM revelou que o custo médio de uma violação em 2023 foi de 4,45 milhões de USD, um aumento de 15% nos últimos 3 anos.
Quando ocorre um desastre, as empresas que utilizam um provedor de DRaaS têm duas grandes vantagens em relação àquelas que não utilizam: seus dados estão armazenados em outro local físico e a equipe responsável por executar seu DRP também está em outra localização física. Isso torna muito menos provável que o provedor de DRaaS seja afetado pelo mesmo incidente que ameaça a organização. Além disso, os provedores de DRaaS oferecem modelos de assinatura ou pagamento conforme o uso, eliminando a necessidade de investimento inicial em infraestrutura de TI.
DRaaS é uma solução altamente adaptável que pode ser ajustada para atender às necessidades de quase qualquer empresa. Os provedores de DRaaS aproveitam funcionalidades baseadas na nuvem e a automação de processos e tarefas chave para maximizar eficiências e reduzir custos operacionais. As empresas que implementam soluções DRaaS podem dedicar recursos críticos para funções de negócios principais que, de outra forma, seriam ocupadas no desenvolvimento, implementação e gerenciamento de seu DRP.
Setores altamente regulados, como integridade e finanças pessoais, aplicam multas severas às empresas que sofrem violações de dados. Muitas vezes, o valor das multas está vinculado ao downtime durante um ataque e à quantidade de dados que foi comprometida. O DRaaS ajuda a reduzir os tempos de resposta e recuperação, diminuindo significativamente as punições financeiras associadas a violações de dados.
Os provedores de DRaaS implementam as mais robustas medidas de cibersegurança e criptografia disponíveis por uma razão simples: é o núcleo do negócio deles. Ao contratar um provedor de DRaaS, você está contratando especialistas em segurança de dados, prevenção de roubo e recuperação de desastres para fazer o que eles fazem de melhor, manter você e seus dados mais críticos seguros.
As soluções de recuperação de desastres como serviço (DRaaS) são oferecidas em três formatos: autoatendimento, assistido e gerenciado. Dependendo das necessidades e recursos de uma organização, há diferenças significativas entre essas opções que valem a pena ser consideradas.
DRaaS de autoatendimento oferece às organizações as ferramentas e recursos de negócios que precisam para construir e gerenciar seu próprio DRP. É uma boa opção para organizações tecnologicamente avançadas com equipes de TI internas dedicadas que requerem um alto nível de controle sobre seus processos.
Por ser mais simples, o DRaaS de autoatendimento tem opções de preços mais baixos do que outros planos e é muito mais flexível. No entanto, as organizações devem saber que, com uma solução DRaaS de autoatendimento, elas estão por conta própria durante as fases de planejamento, teste e gerenciamento de seu DRP.
DRaaS assistido é um bom tipo de serviço de recuperação para organizações que precisam equilibrar a necessidade de controle com um suporte robusto de um MSP terceirizado. No DRaaS assistido, o MSP ajuda a construir, planejar, implementar, testar e refinar o DRP e oferece expertise e orientação valiosas ao longo do processo.
DRaaS gerenciado é uma solução de DRaaS totalmente terceirizada, onde o MSP assume total controle e responsabilidade pelo desenvolvimento e implementação do DRP de uma organização. O DRaaS gerenciado é uma opção sólida para empresas que não possuem seus próprios departamentos de TI, pois ele oferece a oferta de DRaaS mais robusta disponível. Não é surpreendente que também seja frequentemente a mais cara.
