Manual do backup e disaster recovery: Um passo a passo para aplicá-lo ao seu negócio

BÁSICO

Este conteúdo é orientado para quem procura conhecer mais sobre

infraestrutura de TI, link dedicado, segurança de dados, colocation,

PABX e Cloud. Se você está começando a trabalhar com Tecnologia

da Informação, este conteúdo é exatamente o que você precisa. Aqui

abordaremos alguns assuntos de maneira bem introdutória e da forma

mais didática possível.

INTERMEDIÁRIO

O material intermediário é voltado para as pessoas que já estão

familiarizadas com infraestrutura de Tecnologia da Informação. Este tipo

de conteúdo costuma ser um pouco mais técnico, e aqui costumamos

apresentar algumas ferramentas para problemas de maior complexidade.

AVANÇADO

Estes são os materiais mais complexos produzidos pela Telium

Networks. Para usufruir ao máximo dos conteúdos avançados que

produzimos, é essencial que você esteja em dia com o que acontece no

mundo digital. Nossos materiais avançados são para profissionais com

experiência, que buscam aprofundar o seu conhecimento e criar soluções

estratégicas para a sua empresa.

Este ebook é certo para mim?

19Realizando a BIA (Business Impact Analysis)

17A execução de um plano de continuidade de negócios

12Ferramentas de backup e disaster recovery

15Continuidade do negócio com a ISO 22301

07Mapeamento de riscos

04Introdução

22Conclusão

25Sobre a Telium

Introdução

5

INTRODUÇÃO

O prejuízo pelo custo de reparo dos equipamentos já seria alto, mas algo pior

aconteceu: todos os dados do negócio estavam armazenados apenas ali e

foram perdidos: contatos de clientes, documentos importantes, planilhas

financeiras e até um software exclusivo da empresa que foi resultado de

anos de desenvolvimento e muito dinheiro investido.

Um verdadeiro desastre desse porte poderia ser o bastante para fazer um

negócio fechar as portas. Mas para minimizar o impacto dessas tragédias

existe o chamado disaster recovery, normalmente abreviado como DR.

Ele refere-se a um conjunto de práticas e procedimentos que

permitem a recuperação de, pelo menos, parte dos dados e a

continuidade da operação da organização.

O sistema de backup é uma parte importante do DR. Com ele, é possível

recuperar os dados com uma cópia de segurança feita em outro local, isolado

de onde aconteceu o desastre, que pode ser tanto o clássico raio como um

incêndio, inundação ou qualquer ocasião que coloque os dados da empresa

em risco, incluindo aí situações causadas pela ação humana, como ataques

hackers e erros de colaboradores.

Imagine a situação: depois de um raio que atingiu em

cheio a empresa, uma descarga elétrica danificou todos os

computadores e sistemas.

6

INTRODUÇÃO

Neste e-book, vamos aprender um

pouco melhor sobre como funciona

um bom sistema de backup e disaster

recovery e como aplicar essas técnicas

com eficiência no seu negócio.

Mas, antes disso, vamos falar sobre o

mapeamento de riscos, um conceito

que pode ser útil para compreender

o que está em ameaça e como

dimensionar o seu DR.

Boa leitura!

Mapeamento de riscos

8

MAPEAMENTO DE RISCOS

Para responder a boa parte dessas questões, existe o mapeamento de riscos,

uma técnica bem objetiva de identificação e avaliação das incertezas que

podem impactar o desempenho de um negócio.

De uma maneira mais ampla, risco pode ser definido como qualquer elemento

que possa gerar consequências incertas, sejam elas positivas ou negativas.

Ou seja, um risco pode ser uma oportunidade, e é preciso ter atenção para

poder aproveitá-la na hora certa.

Para fins de objetividade, quando elaborarmos um mapeamento de

riscos visando o DR, ele tratará apenas de desastres e infortúnios

que podem causar consequências negativas aos dados da empresa.

Neste capítulo, vamos aprender um passo a passo de como elaborar esse

mapeamento de riscos específico.

Quando uma empresa decide investir em um sistema

de backup e disaster recovery, muitas perguntas vão

surgir, como: “qual é a melhor ferramenta para garantir a

segurança dos dados?” e “quanto vale a pena investir em

cada solução?”.

9

MAPEAMENTO DE RISCOS

IDENTIFICAÇÃO DOS RISCOS

O primeiro passo do mapeamento de

riscos é a identificação dos desastres que

podem afetar os dados da empresa. Isso

pode ser feito com base em conversas

com especialistas em segurança de

dados, colaboradores mais experientes e

dados e documentos históricos, além, é

claro, do bom senso.

Portanto, quando falamos de

sistemas de computadores,

podemos listar, por exemplo,

o risco de um colaborador

acidentalmente apagar parte

deles, risco de raios, incêndios,

roubos físicos e virtuais etc.

Quando todos os riscos estiverem

identificados, é hora de listá-los em

uma planilha.

10

MAPEAMENTO DE RISCOS

Com essas duas informações, é possível

determinar qual é o valor efetivo do risco,

bastando multiplicar a probabilidade pelo impacto:

no total, R$ 10 mil.

Essa é uma técnica chamada de análise

qualitativa, que ainda é subjetiva quando

comparada com a análise quantitativa, que

utilizará mais dados para determinar valores dos

riscos e conseguir resultados mais precisos.

Neste manual, vamos nos limitar a análise

qualitativa para fins de praticidade e também

porque, na maior parte das vezes, ela é suficiente

para fazer um bom mapeamento de riscos de

desastres que envolvem dados.

Esse processo deve ser repetido para todos os

riscos possíveis, o que vai alimentar a planilha

que chamamos de mapeamento de riscos. Com

ela, podemos partir para a etapa seguinte, que é a

gestão desses riscos.

ANÁLISE QUALITATIVA DOS RISCOS

Depois de conhecer os riscos, é hora de estabelecer

quais são os mais importantes e vão precisar de

maior atenção. A técnica mais comum para isso

é a divisão de cada risco em três fatores: o nome

do evento, a probabilidade de ele ocorrer (em

porcentagem) e o impacto causado, normalmente

expresso em reais.

Portanto, quando falamos da chance de um raio

atingir as instalações da empresa, podemos dizer

que o evento em si é a descarga elétrica. Depois de

analisar premissas e dados históricos sobre o local

onde a empresa se encontra, um gestor poderia

concluir que a probabilidade de que aconteça é de

0,1%, ou seja, bem baixa.

Já o impacto do dano seria bem alto: R$ 1 milhão

em equipamentos. Porém, o valor em dados seria

ainda maior, de R$ 9 milhões, totalizando R$ 10

milhões no total.

11

MAPEAMENTO DE RISCOS

Portanto, em vez de assumir um risco de R$ 10 mil que representa

um impacto de até R$ 10 milhões, uma empresa pode investir em

uma boa ferramenta de backup e DR, sendo que qualquer valor até

R$ 10 mil seria razoável para isso.

Vale lembrar que uma mesma solução pode mitigar vários riscos

ao mesmo tempo. Nesse caso, é válido gastar qualquer valor até a

soma de todos eles.

No próximo capítulo, vamos explicar melhor como essas ferramentas

funcionam e o que existe hoje no mercado para suprir essa demanda.

GESTÃO DE RISCOS: COMO RESPONDER

Uma vez que o mapeamento de riscos está feito, é possível

conhecer todas as ameaças aos dados do negócio e, mais

que isso, saber qual o valor delas em dinheiro real. Com isso, é

possível determinar formas de responder a cada um

desses riscos.

No geral, uma empresa pode tomar quatro atitudes ante um

risco iminente: a primeira é evitar completamente o risco

sem custos, o que normalmente não é possível. A segunda é

transferir o risco para terceiros, outra maneira incomum que

acontece relativamente pouco. A terceira é assumir o risco, o

que ocorre apenas quando o valor dele é muito baixo ou quando

a quarta alternativa é financeiramente inviável: mitigar o risco.

A maior parte das ações no alcance de uma empresa em relação

aos riscos está enquadrada na categoria de mitigação.

Mesmo a terceirização do backup na forma de um

serviço na nuvem é encarada como mitigação, já que

envolve um custo que reduzirá o valor desse risco.

Ferramentas de backup e disaster recovery

13

FERRAMENTAS DE BACKUP E DISASTER RECOVERY

A redundância aqui é essencial, e o mais inteligente é sempre combinar pelo

menos duas ferramentas de backup, sendo uma física e outra na nuvem.

Contudo, isso pode variar bastante de acordo com a verba disponível e o

tamanho do risco para o negócio.

O primeiro passo para escolher as ferramentas é definir qual o tempo

máximo de dados perdidos tolerado pela empresa, o Recovery Point

Objective, ou RPO. Geralmente, o RPO é medido em horas.

Logo, se uma empresa define que o RPO será de seis horas, é

preciso definir uma estrutura de processos e ferramentas de

backup que garantam que, a qualquer momento que aconteça

um desastre, será possível acessar documentos passados com no

máximo seis horas de atraso.

Existem diversas estratégias para a proteção de dados e

a escolha da melhor delas geralmente será limitada pela

análise de custo-benefício levantada no capítulo anterior.

14

FERRAMENTAS DE BACKUP E DISASTER RECOVERY

Um exemplo de sistema que atenderia

esse RPO seriam servidores que a

cada seis horas executariam um

backup, replicariam esses dados para

um servidor off-site ou para mídias

externas e, além disso, sincronizariam

tudo em um serviço na nuvem.

Com isso, os dados

estariam sempre em três

lugares distintos e seguros,

mesmo se dois desses locais

fossem comprometidos.

Existem diversas técnicas de como

realizar esse backup; com o crescimento

de máquinas virtuais, as chamadas

VMs, é possível registrar imagens delas

e garantir a integridade de dados e

configurações com muita simplicidade,

reduzindo, inclusive, o tempo gasto

para a recuperação de um desastre.

Continuidade do negócio com a ISO 22301

16

CONTINUIDADE DO NEGÓCIO COM A ISO 22301

Ela substituiu a BS 25999-2, atualizando algumas das suas normas

e práticas. Com a aplicação da ISO 22301, uma organização reduz a

probabilidade e os danos causados por incidentes, utilizando técnicas

comprovadas e planos de resposta bem estabelecidos.

A grande vantagem de aderir aos padrões da ISO 22301 é que a organização

pode se certificar nessa norma, comprovando aos seus parceiros e

stakeholders que está adotando as melhores práticas para proteger os seus

dados. Como muitas vezes uma empresa pode reter dados dessas pessoas,

a certificação é muito bem-vista no mercado.

Para obter a ISO 22301, a recomendação é procurar um corpo de certificação

reconhecido e se orientar com base no material deles.

A ISO 22301 é um padrão de gestão de continuidade de

negócios escrito por especialistas na área e reconhecido

internacionalmente. O seu nome completo é ISO

22301:2012 Segurança social – Sistemas de gestão da

continuidade de negócios – Requisitos.

A execução de um plano de continuidade de negócios

18

A EXECUÇÃO DE UM PLANO DE CONTINUIDADE DE NEGÓCIOS

Neste manual, o foco é o plano de recuperação de desastres. Ele consiste em

uma estratégia pré-documentada para recuperar os ativos da organização,

como os dados.

Já o plano de contingência operacional é destinado a ações que permitam

a definição de processos alternativos na eventualidade de um desastre

comprometer as atividades normais da empresa.

Um exemplo clássico é, se falhar a energia na empresa, as vendas

podem continuar ocorrendo pelo telefone e com anotações

manuais dentro de padrões que deverão ser integradas ao

sistema posteriormente.

Normalmente, quando a empresa é afetada por um desastre, o plano de

continuidade dos negócios inclui ações do PRD, como a restauração de dados

a partir de backups e outras do PCO, como o exemplo já citado. Além disso,

ações de um plano de comunicação também costumam fazer parte do plano

de continuidade de negócios. A ISO 22301 sugere práticas comprovadas de

como fazer esse plano com eficiência.

Na eventualidade de um desastre, uma empresa bem

preparada colocará em ação um bom plano de continuidade

de negócios, que é constituído de, pelo menos, outros

dois planos distintos: o plano de recuperação de desastres

(PRD) e o plano de contingência operacional (PCO).

Realizando a BIA (Business Impact Analysis)

20

REALIZANDO A BIA (BUSINESS IMPACT ANALYSIS)

Cada organização tem valores diferentes nessas duas variáveis, sendo que, em algumas delas, uma hora a mais de interrupção do serviço ou perda de dados pode significar uma tragédia. Um serviço bancário, por exemplo, pode até sobreviver a quatro horas fora do ar, mas passar mais de um dia indisponível representa um prejuízo que pode ser irrecuperável.

Realizar a BIA requer bastante tempo investido e uma técnica apurada. Normalmente, ela é feita com base em entrevistas e conversas com pessoas responsáveis pelas atividades que seriam afetadas por uma interrupção ou perda de dados.

Ou seja, para começar essa análise, é preciso, antes de tudo, ter uma lista das atividades que geram valor para a empresa e definir quem é a equipe de cada área dessas.

Depois disso, é hora de formular questionários para esses colaboradores, que devem responder aos impactos da interrupção do sistema e da perda de dados por períodos predeterminados de horas.

A análise de impacto no negócio é uma das exigências da ISO 22301. Ela existe para ajudar a definição do prazo para a recuperação de um desastre e a perda máxima de

dados tolerada.

21

REALIZANDO A BIA (BUSINESS IMPACT ANALYSIS)

Além dessas respostas, é

necessário conseguir avaliar o

impacto da indisponibilidade

do serviço para clientes.

E depois disso, também é

necessário descobrir a relação

de interdependência entre

essas atividades, para poder

documentar tudo que será

comprometido pelo desastre.

Com base nesses dados, é

possível descobrir quais são os

valores toleráveis para o prazo

de recuperação do desastre e a

perda máxima de dados.

Conclusão

23

CONCLUSÃO

Neste e-book, listamos algumas técnicas para realização do mapeamento

de riscos que vão guiar a definição da estratégia de backup e DR, além de

detalhar um pouco sobre como essas ferramentas funcionam.

Também falamos um pouco sobre as boas práticas de continuidade

de negócio, que envolvem não só a recuperação de desastres, como os

planos para contingência operacional.

Para quem quiser se aprofundar e especializar-se nessa área, uma

recomendação é ir além do conteúdo deste manual e buscar conhecer mais

sobre a ISO 22301, que é hoje o padrão mais reconhecido na área.

Esperamos que este conteúdo sirva para guiar os primeiros passos

dessa jornada.

Obrigado pela leitura!

A perda de dados é, sem exageros, um desastre real para o

negócio. Dependendo da extensão dessa perda, é possível

que a continuidade dos negócios seja comprometida.

Justamente por isso, é muito importante contar com uma

boa estratégia de backup e disaster recovery.

VOCÊ SE INTERESSOU PELO CONTEÚDO E QUER IR ALÉM?

QUERO RECEBER UMA AVALIAÇÃO GRATUITA

O QUE VOCÊ ACHA DE RECEBER UMA AVALIAÇÃO GRATUITA DE SUA ESTRATÉGIA DE TI, OFERECIDA

PELA TELIUM NETWORKS?

A Telium é uma empresa jovem, criada em 2004 com uma bagagem técnica e de negócios muito grande, uma excelente equipe de profissionais e uma carteira de clientes bastante robusta.

A empresa atua não somente no mercado de Telecomunicações, mas também em segmentos relacionados e complementares que engloba dois segmentos: Telecom e Internet Data Center – IDC.

A Telium trabalha para ampliar e qualificar constantemente o seu portfólio de produtos, lançando soluções de Cloud Computing em plataforma 100% instalada no Brasil, distribuída em 6 IDCs próprios, soluções de Telefonia Digital, como PABX-IP e VoIP, novas funcionalidades na hospedagem

de sites e, principalmente, na expansão de sua rede própria de Links Dedicados de Internet, instalando dezenas de quilômetros de Fibra Ótica e criando uma rede de distribuição Wireless que atende plenamente as cidades onde atua.

Desde a sua criação a Telium sempre primou pela satisfação dos seus clientes, valorizando e investindo no atendimento técnico e comercial da sua carteira. Desde 2010 a Telium segue as boas práticas ITIL e com isso consegue gerir e melhorar continuamente a prestação dos serviços.

Possui 6 Datacenters próprios nas cidades de São Paulo, Rio de Janeiro, Belo Horizonte, Porto Alegre, Campinas e Santos, além de contar com parceiros estratégicos que ampliam essa abrangência.