DARYUS 
Os riscos de ameaças cibernéticas, interrupções de hardware ou fornecedores de TI (Tecnologia da informação), acessos, vazamentos de dados, ou ainda, desastres naturais são reais e factíveis para muitos tipos de negócios. E uma combinação destes riscos não seria interessante, podendo desativar um comércio eletrônico ou um aplicativo para escolas, porém, tais situações podem ser evitadas, ou melhor, gerenciadas. Você sabe o que é um Plano de Continuidade de Negócios (PCN) e um Disaster Recovery Plan (DRP)?
Quando os incidentes em TI não são adequadamente identificados, classificados e gerenciados, podem, dependendo do tempo ou da severidade, se tornarem crises e causar muitos impactos. Para isso não acontecer, as equipes de gestão de TI e de gestão de continuidade de negócios, precisam de conhecimento, estratégia e um bom Disaster Recovery Plan, além de ajustes em processos e em acordos internos ou externos.
Um DRP – Disaster Recovery Plan, ou em língua portuguesa, Plano de Recuperação de Desastres (PRD), compreende, portanto, um conjunto de planos, ações, acordos e estratégias pré-planejadas para responder e recuperar situações adversas de crises ou desastres envolvendo as tecnologias críticas que suportam e viabilizam um negócio. PRD é o nome dado, dentro de um Plano de Continuidade de Negócios (PCN) corporativo, a parte que consiste em proteger e melhorar a resiliência das tecnologias críticas que suportam o negócio.
Baixe
gratuitamente o infográfico “Tipos de Planos de Continuidade de Negócios”
A tecnologia move o mundo e moverá ainda mais, portanto, como o nome sugere, tecnologias críticas com falhas graves ou interrupções abruptas causam verdadeiros desastres aos negócios e as pessoas. Dependendo do produto ou serviço que é provido, vidas podem ficar em risco, serviços essenciais indisponíveis ou até mesmo o fornecimento de energia, desabilitando a capacidade de negócios essenciais em segmentos vitais como financeiro, varejo, saúde, defesa, transporte, energia e governo.
Um dos benefícios estratégicos de se ter o Disaster Recovery Plan e mantê-lo em dia, é de minimizar riscos, perdas e proteger a viabilidade do negócio, garantindo assim os investimentos de acionistas, investidores e clientes. A imagem e o valor de uma organização precisam considerar este tipo de proteção ao negócio, melhorando a resiliência global.
Um bom Disaster Recovery Plan é parte integrante de uma estratégia maior de Plano de Continuidade de Negócios (PCN), que é parte da Gestão de Riscos Estratégicos e isso trata-se de proteção e racionalização de investimentos.
Crises ou desastres que envolvam tecnologias precisam de detecção precoce, resposta adequada e condicionamento das equipes para evitar a confusão e equívocos, que podem perder tempo em um mundo cada vez mais conectado, digital e onde minutos representam perdas milionárias, além de impactos de imagem quase irreversíveis, vejam interrupções de serviços como WhatsApp e Amazon nos últimos anos, eles causaram impactos diretos e indiretos além da desconfiança de acionistas e do mercado.
As grandes perguntas são: Seu TI pode sobreviver a um desastre? A uma situação de acesso ou vazamento de dados? Sua empresa está preparada para sobreviver? A reflexão para responder estas perguntas poderá ser a diferença entre gerenciar crises e sobreviver ou simplesmente encerrar operações daqui pra frente.
Esteja preparado antes! Um Disaster Recovery Plan não é um monte de papel para ser lido no momento da crise ou desastre, trata-se de uma transformação, adequação e condicionamento das equipes de TI, parceiros, fornecedores, acordos e estratégias de TI bem definidas antecipadamente.
Assista ao webinar Gestão de Continuidade de Negócios – Teoria e Prática aplicada a casos reais, com Camila Ishikawa, Latin America WBCM leader, e Fernanda Munim, Banco BV, Gerente de Crise, Continuidade de Negócios e Governça de SI.
RTO x RPO
Antes de chegarmos às abordagens que podem ser implementadas ao planejar a recuperação de desastres, precisamos analisar duas métricas importantes: Objetivo de tempo de recuperação (RTO) e Objetivo de ponto de recuperação (RPO).
O RTO é o limite de tempo durante o qual serviços, sistemas ou ambientes inteiros precisam ser recuperados. Geralmente, se baseia no período em que os incidentes podem ser resolvidos antes que comecem a impactar o negócio significativamente. Para um site de comércio eletrônico ou processos essenciais, por exemplo, o RTO pode durar apenas uma hora.
Os usuários perceberão imediatamente quando o seu site de comércio eletrônico estiver fora do ar, portanto, você precisa recuperar a página o mais rápido possível para evitar perdas de receitas e ganhar desgastes desnecessários. Quanto tempo podemos ficar parados sem causar impactos ao negócio, considerando o pior cenário (pior dia/sazonalidade/período com mais vendas ou atendimentos)? Quanto tempo temos para gerenciar incidentes para determinadas tecnologias e processos de negócios?
Por sua vez, o RPO compreende o intervalo de tempo durante o qual os dados possam ser recuperados com segurança como parte do processo de disaster recovery. A métrica está ligada à continuidade dos negócios, e não à interrupção deste processo. Ela serve para ajudar a entender qual o BACKUP (cópia de dados) adequado em tempo e conteúdo. Podemos perder mais de 1 hora de dados e informações? Quanto e quando temos que recuperar? O que está nos backups atuais nos atenderá?
RTO e RPO, portanto, estão vinculados ao conhecimento necessário para se planejar estratégias de continuidade do negócio e principalmente para orientar as estratégias de tecnologia. Ambos os tempos são identificados e validados numa fase chamada BIA – Business Impact Analysis, muito importante para a continuidade de negócios.
Conheça algumas das opções para estratégias de DRP para TI:
– Cold (fria): estratégia mais barata e acessível para atender tempos de RTO mais longos (ex. RTO=5 dias), ou seja, tecnologias que suportam partes do negócio que não precisam de uma recuperação tão rápida, onde a infraestrutura e estratégia de continuidade não precisa estar totalmente pronta, conectada e ligada. Ou seja, temos mais tempo para ativar e recuperar o TI que suporta o negócio;
– Warm (morna): estratégia mais cara que a anterior, para atender tempos de RTO médios (ex. RTO=48 horas), ou seja, tecnologias que suportam partes do negócio que precisam de uma recuperação mais rápida, onde a infraestrutura e estratégia de continuidade precisam estar mais prontas, conectadas e ligadas. Ou seja, temos menos tempo para ativar e recuperar o TI que suporta o negócio;
– Hot (quente): a estratégia mais cara de todas, para atender tempos de RTO curtos (ex. RTO=10 minutos), ou seja, tecnologias que suportam partes do negócio que precisam de uma recuperação muito rápida, onde a infraestrutura e estratégia de continuidade precisam estar totalmente prontas, conectadas e ligadas, sem a necessidade de seres humanos para ativá-las. Ou seja, temos pouquíssimo tempo para ativar e recuperar o TI que suporta o negócio ou nenhum tempo, o negócio não pode parar.
- Composite: estratégia que combina as anteriores, ou seja, por exemplo podemos ter: 10% do TI crítico usando estratégia HOT, para 40% usaremos WARM e para o restante poderemos usar COLD. A combinação otimizará recursos e investimentos.
Independente da opção que seja mais adequada ao seu negócio, uma coisa é certa: ter um plano de disaster recovery é de suma importância e não há melhor momento para planejar isso do que agora.
Quer se tornar um profissional altamente qualificado em na área?
Conheça nosso MBA e nossas pós-graduações!
MBA GESTÃO DE RISCOS E CONTINUIDADE DE NEGÓCIOS
GESTÃO DE CONTINUIDADE DE NEGÓCIOS E CRISES
