As empresas não podem correr o risco de lidar com situações como downtimes e roubos de dados, por isso, devem estar preparadas e evitar tais perigos. Nesse sentido, o RTO – métrica que estima o tempo máximo de inatividade da rede após incidentes ou falhas – deve ser a menor possível.

Nesta mesma abordagem, outro índice de destaque é o RPO – ele se refere aos pontos de recuperação. Sendo assim, ambos os dados são relevantes para a construção do Disaster Recovery Plan (DRP), um plano de prevenção importante para as empresas. 

Entenda melhor o que é RTO, RPO E DRP e como eles funcionam lendo o artigo a seguir!

O que é Disaster Recovery Plan (DRP)?

As novas ferramentas tecnológicas já fazem parte da rotina das empresas. Afinal, elas agilizam processos, garantem um armazenamento seguro de informações e proporcionam o aumento de produtividade. 

Entretanto, esta alta conectividade pode torná-las um alvo para cibercriminosos. Dessa forma, as organizações precisam estar preparadas para evitar esse tipo de ameaça e o Disaster Recovery Plan (DRP) é uma das alternativas para assegurar um alto nível de proteção. 

Um estudo realizado pela Cybersecurity Ventures estima que os crimes cibernéticos podem causar um prejuízo de até 10,5 trilhões de dólares até 2025. Em outras palavras, interrupções nos sistemas tecnológicos podem causar diversos prejuízos e pôr em xeque a segurança da própria empresa. Inclusive, isso coloca em risco a imagem do negócio perante o mercado e os clientes.

Disaster Recovery Plan (Plano de Recuperação de Desastres, em tradução livre) é o termo usado para um documento que contém instruções detalhadas de como responder aos incidentes – sejam naturais ou humanos.

Dessa forma, o DRP é um plano baseado em estratégias e que visa diminuir os efeitos de um desastre. O objetivo maior é garantir a continuidade da operação com a retomada rápida do fluxo de atividades. 

Como funciona um Disaster Recovery Plan (DRP)?

Entender como funciona o DRP é, também, compreender a função do RTO e do RPO dentro do plano de recuperação de desastres.

Usar um sistema de DRP é fundamental porque a estratégia identifica quais dados são essenciais para serem recuperados e qual o prazo máximo para isso. Com isso, um bom plano de Recuperação de Desastres é composto por três elementos principais:

  • Prevenção: é preciso implementar as ferramentas e técnicas certas para prevenir os desastres. Por exemplo, o uso de softwares de verificação é indicado para checagem de todos os novos arquivos instalados;
  • Antecipação: consiste em prever possíveis desastres e criar soluções para evitá-los, como a criação de backups na nuvem de forma recorrente. Assim, caso aconteça alguma falha no sistema, os dados estarão seguros;
  • Mitigação: esse elemento diz como a empresa se comporta após um cenário de desastre. Ou seja, todas as partes envolvidas deverão saber como responder nessas situações. Para tanto, é importante atualizar documentos e identificar os procedimentos operacionais que podem ser realizados manualmente, entre outras ações.

Quais as etapas de um DRP? 

Um plano de DRP pode variar de acordo com a empresa – já que a estratégia é criada pela companhia. Com isso, alguns são mais robustos e ultrapassam 100 páginas. Mas, de maneira geral, todos envolvem os seguintes etapas:

  • Determinar quais aplicativos são importantes para a execução de atividades na empresa;
  • Definir o objetivo de tempo de recuperação (RTO);
  • Estabelecer o objetivo de ponto de recuperação (RPO).

RTO e RPO: o que são? 

Para construir um DRP eficiente, falamos que a companhia precisará definir o RTO e o RPO, dois fatores que influenciam diretamente o plano de recuperação. Mas, você deve estar se perguntando: o que RTO e RPO significa? Veja a seguir!

  • RTO é a sigla para Recovery Time Objective, como já dito, é o Objetivo de Tempo de Recuperação. Esse indicador aponta o tempo que a equipe de TI leva para normalizar os sistemas essenciais durante um desastre ou ataque.
  • RPO é a sigla para Recovery Point Objective, ou Objetivo do Ponto de Recuperação, em uma tradução literal. Trata-se de uma métrica usada para definir um volume aceitável de perda de dados. Ou seja, a empresa precisa entender qual o limite de informações podem ser afetadas sem atrapalhar o andamento da operação.

Na prática, RTO e RPO são importantes por permitirem a análise do cenário no qual a empresa está sujeita a problemáticas nos sistemas. Ao ter essas informações em mãos, a equipe de TI define margens seguras e realistas para o retorno das atividades. Além disso, por meio delas é possível prever quais os prejuízos causados pelos desastres.

Como fazer um RTO eficiente? 

Para conseguir identificar o RTO e chegar a um denominador de tempo ideal, é preciso entender as prioridades da empresa e, com isso, escolher de quais sistemas ela depende para funcionar. Esta avaliação leva em consideração os elementos que compõem toda a estrutura da organização.

Dessa forma, é possível garantir que a principal parte da infraestrutura de TI seja prioritária em casos de desastres, o que minimiza as chances de aplicações críticas ficarem fora do ar por muito tempo. 

Qual a importância de um DRP na empresa?

Além de implementar um DRP, é necessário se atentar ao que é exigido pelas regras da LGPD.

As empresas lidam com um conjunto de  ativos valiosos: os dados dos clientes, fornecedores e colaboradores. Isso faz com que elas se tornem alvos de cibercrimes. Assim, é fundamental planejar a cibersegurança do negócio.

Além de fornecer todo o planejamento de como agir de forma prática e rápida em casos de invasões ou desastres no sistema, o DRP proporciona outros benefícios como, por exemplo:

  • Redução de custos com cibersegurança;
  • Facilidade ao implantar o sistema de recuperação;
  • Maior segurança para os dados e sistemas essenciais ao negócio;
  • Aumento da retenção de clientes com o alto índice de credibilidade e segurança.

Outro detalhe importante é que, além de priorizar a segurança cibernética, as empresas precisam estar em conformidade com as leis de proteção de dados. Isso porque o descumprimento delas pode gerar multas em valores altíssimos.

Cibersegurança e a LGPD: entenda a relação!

Quanto maior o volume de dados de uma operação, mais cuidado e critérios é preciso ter para garantir a segurança deles. É nesse sentido que a cibersegurança se torna uma estratégia que está presente até mesmo na lei.

Com a LGPD em vigor desde 2020, as organizações precisam estar cada vez mais atentas à proteção de dados dos usuários. Assim, a lei estabelece as seguintes regras a serem seguidas pelo negócio:

  • A coleta de dados só pode ser feita com a autorização dos usuários;
  • A solicitação deve ser realizada de maneira transparente;
  • Os dados pessoais de menores de idade só podem ser usados com a autorização dos responsáveis;
  • Se houver alguma mudança quanto à finalidade de usos dos dados, a empresa precisa notificar o usuário e pedir autorização;
  • Os dados sensíveis, ou seja, aqueles que envolvem informações extremamente particulares, são mais restritivos e usá-los para fins discriminatórios é passível de punição;
  • Caso os dados fornecidos não sejam mais necessários, as empresas devem apagá-los. Exceto em situações que há alguma obrigação legal ou outra razão para preservá-los.

Como implementar um DRP na empresa?

Uma maneira de visualizar o melhor RTO para o negócio, é realizar uma análise BIA – Business Impact Analysis.

Antes de criar um planejamento detalhado, a empresa precisa realizar uma análise de impacto nos negócios (Business Impact Analysis ou BIA) e um estudo de risco (RA), para estabelecer os objetivos dessa recuperação.

Por meio de BIA, é possível identificar os impactos causados por estes eventos de invasão e/ou perda de informações. Isso auxilia no mapeamento dos perigos a que a empresa pode ficar exposta. 

Assim, a análise de risco auxilia na identificação de ameaças e vulnerabilidades que podem interromper a operação de sistemas e processos destacados pela BIA. Ou seja, ela examina as chances de acontecer um desastre e descreve a gravidade de cada possível cenário.

Para elaborar uma lista de verificação DRP, é importante seguir algumas etapas como:

  1. Estabelecer o escopo da recuperação;
  2. Reunir os documentos e ativos relevantes da infraestrutura de rede;
  3. Identificar ameaças e vulnerabilidades mais graves;
  4. Revisar o histórico de desastres e interrupções de atividades;
  5. Analisar os procedimentos atuais de recuperação e estratégias;
  6. Formar uma equipe que responda aos incidentes;
  7. Submeter o DRP à aprovação da equipe responsável;
  8. Realizar testes após a conclusão do DRP;
  9. Atualizar o DRP, caso necessário;
  10.  Implementar uma auditoria DRP.

É importante ressaltar que um DRP é um documento vivo e dinâmico. Por isso, envolver os colaboradores é tão importante. Eles conhecem o dia a dia corporativo e a contribuição de cada um aumenta o valor do plano. Assim, é possível  ter uma visão mais ampla, baseada na necessidade de cada setor.

Como a Ingram Micro pode te ajudar?

Em síntese, um DRP é uma política que ajuda a organização nos processos de recuperação e resposta a um desastre. Sendo assim, elaborar um plano eficiente é fundamental para diminuir o tempo de resposta.

Para as empresas, o desafio da vez é construir um DRP que corresponda às demandas internas. Nesta abordagem, uma das etapas mais relevantes é usar as análises para encontrar o RPO (Ponto de Recuperação) e o RTO (Tempo de Recuperação). 

Assim, a empresa garante a máxima disponibilidade do sistema e da infraestrutura de rede, mesmo depois de incidentes complexos. 

Para aumentar a segurança da organização, conte com a  Ingram Micro, referência no fornecimento de soluções para segurança cibernética. Entre em contato com um dos nossos especialistas e saiba como podemos ajudar você com o seu plano DRP.

Fale conosco!

Este artigo foi útil?

(5)

Você já votou neste post

Tags

Alexandre Nakano

Alexandre Nakano

Diretor de Segurança e Networking da Ingram Micro Brasil. A frente da diretoria de novos negócios para a área de Enterprise, Colaboração e Cybersec na Ingram Micro Brasil, possui mais de 20 anos no mercado de tecnologia e esteve sempre em cargos de gestão e direção de vendas em grandes empresas do setor de TI. Tem, em seu currículo, passagem por empresas como Cisco Systems, Cyclades/Avocent, Westcon/Comstor e Scansource/Network1. Além da experiência profissional, traz na bagagem acadêmica dois MBAs executivos, o primeiro em gestão corporativa pela FGV, o segundo em finanças, pelo Insper, além da graduação em Engenharia Eletrônica.