Home / Artigo / Gestão de Riscos e Continuidade de Negócios / Disaster recovery: o momento para criar um plano é agora

Disaster recovery: o momento para criar um plano é agora

Os riscos de ameaças cibernéticas, interrupções de hardware ou fornecedores de TI (Tecnologia da informação), acessosvazamentos de dados, ou ainda, desastres naturais são reais e factíveis para muitos tipos de negócios. E uma combinação destes riscos não seria interessante, podendo desativar um comércio eletrônico ou um aplicativo para escolasporém, tais situações podem ser evitadas, ou melhor, gerenciadasVocê sabe o que é um Plano de Continuidade de Negócios (PCN) e um Disaster Recovery Plan (DRP)? 

Quando os incidentes em TI não são adequadamente identificados, classificados e gerenciados, podem, dependendo do tempo ou da severidade, se tornarem crises e causar muitos impactos. Para isso não acontecer, as equipes de gestão de TI e de gestão de continuidade de negócios, precisam de conhecimento, estratégia e um bom Disaster Recovery Plan, além de ajustes em processos e em acordos internos ou externos.  

Um DRP – Disaster Recovery Plan, ou em língua portuguesa, Plano de Recuperação de Desastres (PRD), compreende, portanto, um conjunto de planos, ações, acordos e estratégias pré-planejadas para responder e recuperar situações adversas de crises ou desastres envolvendo as tecnologias críticas que suportam e viabilizam um negócio. PRD é o nome dado, dentro de um Plano de Continuidade de Negócios (PCN) corporativo, a parte que consiste em proteger e melhorar a resiliência das tecnologias críticas que suportam o negócio.

Baixe gratuitamente o infográfico “Tipos de Planos de Continuidade de Negócios”

A tecnologia move o mundo e moverá ainda mais, portanto, como o nome sugere, tecnologias críticas com falhas graves ou interrupções abruptas causam verdadeiros desastres aos negócios e as pessoas. Dependendo do produto ou serviço que é provido, vidas podem ficar em risco, serviços essenciais indisponíveis ou até mesmo o fornecimento de energia, desabilitando a capacidade de negócios essenciais em segmentos vitais como financeiro, varejo, saúde, defesa, transporte, energia e governo. 

Um dos benefícios estratégicos de se ter o Disaster Recovery Plan e mantê-lo em dia, é de minimizar riscos, perdas e proteger a viabilidade do negócio, garantindo assim os investimentos de acionistasinvestidores e clientes. A imagem e o valor de uma organização precisam considerar este tipo de proteção ao negócio, melhorando a resiliência global. 

Um bom Disaster Recovery Plan é parte integrante de uma estratégia maior de Plano de Continuidade de Negócios (PCN), que é parte da Gestão de Riscos Estratégicos e isso trata-se de proteção e racionalização de investimentos. 

Crises ou desastres que envolvam tecnologias precisam de detecção precoce, resposta adequada e condicionamento das equipes para evitar a confusão e equívocos, que podem perder tempo em um mundo cada vez mais conectado, digital e onde minutos representam perdas milionárias, além de impactos de imagem quase irreversíveis, vejam interrupções de serviços como WhatsApp e Amazon nos últimos anos, eles causaram impactos diretos e indiretos além da desconfiança de acionistas e do mercado. 

As grandes perguntas sãoSeu TI pode sobreviver a um desastre? A uma situação de acesso ou vazamento de dados? Sua empresa está preparada para sobreviver? A reflexão para responder estas perguntas poderá ser a diferença entre gerenciar crises e sobreviver ou simplesmente encerrar operações daqui pra frente.  

Esteja preparado antes! Um Disaster Recovery Plan não é um monte de papel para ser lido no momento da crise ou desastre, trata-se de uma transformação, adequação e condicionamento das equipes de TI, parceiros, fornecedoresacordos e estratégias de TI bem definidas antecipadamente. 

Assista ao webinar Gestão de Continuidade de Negócios – Teoria e Prática aplicada a casos reais, com Camila Ishikawa, Latin America WBCM leader, e Fernanda Munim, Banco BV, Gerente de Crise, Continuidade de Negócios e Governça de SI.

RTO x RPO

Antes de chegarmos às abordagens que podem ser implementadas ao planejar a recuperação de desastres, precisamos analisar duas métricas importantes: Objetivo de tempo de recuperação (RTO) e Objetivo de ponto de recuperação (RPO). 

O RTO é o limite de tempo durante o qual serviços, sistemas ou ambientes inteiros precisam ser recuperados. Geralmente, se baseia no período em que os incidentes podem ser resolvidos antes que comecem a impactar o negócio significativamente. Para um site de comércio eletrônico ou processos essenciaispor exemplo, o RTO pode durar apenas uma hora.  

Os usuários perceberão imediatamente quando o seu site de comércio eletrônico estiver fora do ar, portanto, você precisa recuperar a página o mais rápido possível para evitar perdas de receitas e ganhar desgastes desnecessários.Quanto tempo podemos ficar parados sem causar impactos ao negócio, considerando o pior cenário (pior dia/sazonalidade/período com mais vendas ou atendimentos)? Quanto tempo temos para gerenciar incidentes para determinadas tecnologias e processos de negócios? 

Por sua vez, o RPO compreende o intervalo de tempo durante o qual os dados possam ser recuperados com segurança como parte do processo de disaster recovery. A métrica está ligada à continuidade dos negócios, e não à interrupção deste processo. Ela serve para ajudar a entender qual o BACKUP (cópia de dados) adequado em tempo e conteúdo. Podemos perder mais de 1 hora de dados e informações? Quanto e quando temos que recuperar? O que está nos backups atuais nos atenderá?  

RTO e RPO, portanto, estão vinculados ao conhecimento necessário para se planejar estratégias de continuidade do negócio e principalmente para orientar as estratégias de tecnologia. Ambos os tempos são identificados e validados numa fase chamada BIA – Business Impact Analysis, muito importante para a continuidade de negócios. 

Conheça algumas das opções para estratégias de DRP para TI: 

– Cold (fria): estratégia mais barata e acessível para atender tempos de RTO mais longos (ex. RTO=5 dias), ou seja, tecnologias que suportam partes do negócio que não precisam de uma recuperação tão rápida, onde a infraestrutura e estratégia de continuidade não precisa estar totalmente pronta, conectada e ligada. Ou seja, temos mais tempo para ativar e recuperar o TI que suporta o negócio; 

– Warm(morna): estratégia mais cara que a anterior, para atender tempos de RTO médios (ex. RTO=48 horas), ou seja, tecnologias que suportam partes do negócio que precisam de uma recuperação mais rápida, onde a infraestrutura e estratégia de continuidade precisam estar mais prontas, conectadas e ligadas. Ou seja, temos menos tempo para ativar e recuperar o TI que suporta o negócio;  

– Hot(quente): a estratégia mais cara de todas, para atender tempos de RTO curtos (ex. RTO=10 minutos), ou seja, tecnologias que suportam partes do negócio que precisam de uma recuperação muito rápida, onde a infraestrutura e estratégia de continuidade precisam estar totalmente prontas, conectadas e ligadas, sem a necessidade de seres humanos para ativá-las. Ou seja, temos pouquíssimo tempo para ativar e recuperar o TI que suporta o negócio ou nenhum tempo, o negócio não pode parar.

- Composite:  estratégia que combina as anteriores, ou seja, por exemplo podemos ter: 10% do TI crítico usando estratégia HOT, para 40% usaremos WARM e para o restante poderemos usar COLD. A combinação otimizará recursos e investimentos.  

Independente da opção que seja mais adequada ao seu negócio, uma coisa é certa: ter um plano de disaster recovery é de suma importância e não há melhor momento para planejar isso do que agora. 

Quer se tornar um profissional altamente qualificado em na área?

Conheça nosso MBA e nossas pós-graduações!

MBA GESTÃO DE RISCOS E CONTINUIDADE DE NEGÓCIOS

GESTÃO DE RISCOS E COMPLIANCE

GESTÃO DE CONTINUIDADE DE NEGÓCIOS E CRISES

 

Sobre Jeferson D'Addario - CBCP, MBCI, CRISC

mm
Consultor sênior há mais de vinte anos em TI, gestão de riscos e continuidade de negócios, ganhador do prêmio SECMASTER 2006 na categoria “Melhor Contribuição para o Desenvolvimento de Mercado”. Possui mais de 35 projetos de Continuidade de Negócios para empresas líderes no Brasil e Exterior nos últimos dez anos. Certificado como CBCP pelo DRII-USA, MBCI pelo BCI-UK, CRISC pela ISACA, ISO 27001 lead auditor (BSI). Formação em Economia e TI. Foi o responsável por trazer e desenvolver os primeiros cursos de continuidade de negócios oficiais do DRII – Disaster Recovery Institute International para o Brasil em 2005. Desde 2010 é instrutor oficial do DRII e representante executivo para o Brasil. É Membro da ISACA-SP, sendo colaborador na tradução do COBIT 4.1. Possui ampla experiência em Gestão de TIC (ITIL e ISO 20.000) e Govenança de TIC (COBIT, ISO 38500), tendo sido gerente e diretor de TI em empresas nacionais, e participado de projetos de implementação e certificação. Criador, coordenador e professor da Pós-graduação em GTSI - Gestão e Tecnologia em Segurança da Informação, curso DARYUS aplicado na Faculdade Impacta Tecnologia (FIT) – SP/SP, desde 2003, atualmente na turma 15. É sócio-diretor e fundador da DARYUS Consultoria e Treinamento, e atualmente CEO do Grupo DARYUS. Possui ampla experiência em gestão empresarial de negócios, pessoas, educação, gestão de crises, comunicação empresarial, relacionamento executivo e gestão financeira, apoiando executivos de grandes empresas no Brasil em projetos de consultoria. Palestrante, articulista e colaborador em eventos nacionais e internacionais relacionados a GRC, TI, Continuidade e Gestão Empresarial. Foi reconhecido pela Infragard – Califórnia em 2010 pela contribuição na área de segurança da informação para o Brasil. Já lecionou anteriormente para IPEN – Instituto de Pesquisas Nucleares – USP – SP e Instituto Trevisan – SP.

Confira tambem

Dicas de como melhorar o gerenciamento de riscos no trabalho

10 dicas de como melhorar a gestão de riscos da sua empresa

Administrar uma empresa sem ter um processo formal de gestão de riscos, pode ser a diferença entre vencer, perder ou até …