Até agora, em 2020, o processo de recuperação após os 11 maiores ataques de ransomware já custou aos órgãos públicos municipais, universidades e empresas privadas mais de US$ 144 milhões, sem contar a perda de produtividade e os danos à reputação.
Os desastres atingem as empresas de várias formas — de ransomware a relâmpagos — muitas vezes sem avisar. Por isso, é fundamental ter um plano de recuperação de desastres (DR) pronto, implementado e testado bem antes de você precisar dele.
A recuperação de desastres deve fazer parte de um plano mais amplo de continuidade dos negócios e incluir, no mínimo, os oito elementos a seguir.
1. Inventário completo de hardware, software e outros equipamentos
Para criar um plano de DR, é preciso saber quais recursos podem precisar ser recuperados. Você deve fazer um inventário completo de cada item de hardware, software e periférico que tenha contato com as redes ou é utilizado por funcionários, terceirizados e fornecedores.
É um plano bem extenso, porque você precisa relacionar todas as ferramentas e tecnologias on premises, na nuvem, móveis e BYOD que a sua empresa usa.
2. Objetivos da empresa documentados
O processo de DR, muitas vezes, está mais associado a decisões de negócios do que à TI. Por isso, é imprescindível envolver todas as unidades de negócios e acionistas na conversa sobre os objetivos da empresa, para que você saiba quais serão as prioridades caso a recuperação seja necessária.
Comece mapeando a infraestrutura de forma que todos os sistemas sejam relacionados. Assim que souber o que está protegendo, você poderá estabelecer as prioridades para garantir que os sistemas e aplicativos mais importantes sejam os primeiros a voltar a funcionar.
Divida os sistemas e aplicativos em três níveis para facilitar o trabalho de recuperação:
- Crítico: prioridade número 1. Faça backup desses sistemas imediatamente para evitar a perda em massa dos dados ou uma interrupção prolongada das operações da empresa.
- Essencial: são os sistemas menos críticos que podem ficar indisponíveis por até 24 horas sem impacto significativo para os negócios.
- Não essencial: aplicativos de menor prioridade porque a empresa pode operar sem eles por alguns dias.
Não deixe de considerar qualquer tipo de dependência dos sistemas nos objetivos de negócios, porque elas podem afetar a definição das prioridades de recuperação.
3. Nível de tolerância para tempo de inatividade e perda de dados
Com seus objetivos documentados e em mãos, chegou a hora de definir os objetivos de tempo de recuperação (RTO) e os objetivos de ponto de recuperação (RPO). Eles são as métricas que você usará para determinar a tolerância da sua empresa em termos de tempo de inatividade e perda de dados. Em outras palavras, eles permitem mensurar quanto tempo um aplicativo pode ficar inativo sem causar danos significativos à empresa (RTO) e o volume de dados que podem ser perdidos antes que ocorra um dano significativo para a empresa (RPO).
4. Uma equipe de DR
Uma equipe de DR bem treinada tem valor inestimável durante uma crise. Designe tarefas específicas para cada membro da equipe para que não haja dúvida sobre quem é responsável por qual parte do processo de recuperação.
Essa equipe também será responsável por toda a parte de comunicação durante a crise e o ponto de contato para todos os envolvidos. A equipe de resposta a desastres é responsável por treinar os funcionários, para que todos fiquem cientes das políticas e procedimentos de resposta a emergências durante um desastre.
5. Espaço de trabalho alternativo
Em caso de incêndio ou desastre natural, talvez não seja possível ter acesso ao local de trabalho. Ter um plano para permitir que os funcionários trabalhem remotamente ajudará a manter a empresa funcionando o mais próximo possível do normal.
Garanta que todos os funcionários tenham ou possam ter acesso a um laptop e uma conexão com a internet o mais rápido possível. E mantenha a conectividade, providenciando soluções de e-mail e telefone alternativas que ofereçam um canal de comunicação essencial para os funcionários, clientes e fornecedores.
6. Acesso remoto
Seja por VPN, RDP, SSH ou qualquer outra tecnologia de controle de acesso, o acesso remoto aos dados e aplicativos da empresa é um risco para a segurança. Isso ficou bem evidente quando as preocupações com a COVID-19 obrigaram milhões de funcionários a trabalhar em casa de uma hora para outra.
O meio de uma crise não é o melhor momento para descobrir que a sua infraestrutura não é capaz de gerenciar o acesso remoto com segurança. Atualize sua tecnologia de segurança agora para garantir que seus dados possam ser acessados com segurança fora do firewall.
7. Backups seguros
A qualidade e a frequência dos seus backups ditarão o sucesso ou o fracasso do seu processo de DR. Considere estas práticas recomendadas para manter os backups seguros e disponíveis se você precisar deles em uma crise:
- Mantenha os backups inacessíveis e fora da rede principal da empresa. Alguns ransomwares podem entrar na rede e criptografar os backups, inutilizando-os.
- Implemente uma estratégia de backup 3-2-1: faça três cópias dos seus dados, armazene duas em mídias diferentes e uma fora da empresa ou na nuvem.
- Invista em uma solução de backup e DR em nuvem que simplifique o backup e a recuperação e ofereça uma interface de usuário centralizada e as ferramentas e tecnologias de recuperação de desastres mais atuais.
8. Uma estratégia de teste abrangente
Não espere que aconteça um desastre real para descobrir se o seu plano de DR funciona. Implemente uma estratégia de teste abrangente agora (e coloque-a em prática). Sua estratégia deve satisfazer três objetivos:
- Testar os backups para verificar se os dados estão protegidos e podem ser recuperados
- Testar os processos de DR para saber se eles funcionam
- Testar o pessoal para ver se eles sabem o que fazer em uma emergência real
Nenhuma empresa imagina que terá de se recuperar de um desastre, mas a realidade é que ataques de ransomware, furacões, incêndios florestais e o bom e velho erro humano podem acontecer a qualquer momento. Baixe o guia Como montar um plano de recuperação de desastres para saber como preparar a sua empresa para que uma crise não se transforme em um pesadelo.