Um plano de recuperação abrangente minimizará o efeito de um desastre natural na continuidade dos negócios, na conformidade e na perda de dados. Um bom plano também ajuda a acelerar a recuperação de ciberataques.
Se o plano de recuperação de desastres da sua organização estiver desatualizado, for insuficiente ou, pior ainda, não existir, deixe que estes eventos o motivem a analisar, rever ou criar uma estratégia de recuperação agora, antes de precisar dela.
Então, o que é um plano de recuperação de desastres e o que ele deve incluir?
Eis oito passos para criar um plano de recuperação de desastres que ajudará a evitar a perda de dados, facilitará a continuidade do negócio e garantirá que os seus dados sensíveis e SLAs permanecem em conformidade.
Passo 1: Criar uma equipa de resposta a desastres e documentar as responsabilidades
Durante uma crise, a sua equipa de resposta a desastres irá liderar os esforços de recuperação e divulgar informações aos funcionários, clientes e partes interessadas.
Atribua a cada membro da equipa tarefas específicas durante a resposta e documente-as para que todos saibam quem supervisiona o quê. Também precisará de pessoal de apoio para os principais membros da equipa, se um líder designado não estiver disponível durante uma crise.
Passo 2: Definir RTOs e RPOs claros
Um dos componentes mais importantes de um plano de recuperação de desastres é estabelecer o objetivo de tempo de recuperação (RTO) e o objetivo de ponto de recuperação (RPO).
O RTO é o período de tempo durante o qual uma aplicação pode estar em baixo antes de o seu negócio sofrer um impacto negativo. O RTO varia muito entre aplicações porque algumas podem estar em baixo durante apenas alguns segundos antes de a empresa, os clientes ou os utilizadores serem afetados. Em contrapartida, outras podem estar em baixo durante horas, dias ou semanas.
Os RTOs são calculados com base na importância da aplicação:
- RTO próximo de zero: Aplicações de missão crítica que precisam de failover
- RTO de quatro horas: Menos crítico, portanto há tempo para recuperação no local a partir de bare metal.
- RTO de oito ou mais horas: Aplicações não essenciais que podem ficar inativas indefinidamente.
O seu objetivo de ponto de recuperação (RPO) é a maior quantidade de dados que podem ser perdidos antes de a sua empresa ser significativamente prejudicada. Este componente do plano de recuperação de desastres de TI determina a frequência com que é necessário efetuar cópias de segurança dos dados.
O montante que está disposto a gastar para fazer cópias de segurança de uma determinada aplicação também entra em jogo, uma vez que está a trabalhar para controlar os custos de TI:
- RPO próximo de zero: Utilizar a replicação contínua (dados de missão crítica). Este requisito exigirá soluções eficazes de continuidade do negócio que praticamente eliminem o tempo de inatividade.
- RPO de quatro horas: Utilizar replicação de instantâneos programada.
- RPO de 8-24 horas: Utilizar a solução de cópia de segurança existente (dados que podem ser potencialmente recriados a partir de outros repositórios).
Passo 3: Faça uma planta da sua infraestrutura de rede
A criação de documentação detalhada da sua infraestrutura de rede facilitará muito a reconstrução do sistema após um desastre, especialmente se um ataque informático tiver corrompido a rede.
Diferentes componentes do sistema têm diferentes níveis de importância para a continuidade dos negócios, portanto, certifique-se de indicar a prioridade de cada serviço como missão crítica, essencial ou não essencial, para poderem ser restaurados na ordem apropriada. Não se esqueça de incluir as dependências do sistema no seu plano, pois elas podem afetar a forma como você prioriza a recuperação.
Passo 4: Selecionar uma solução de recuperação de desastre
A capacidade de armazenamento, o tempo de recuperação e a complexidade da configuração afetarão o custo de uma solução de recuperação de desastres. Em muitos casos, está a escolher entre uma solução que oferece tempos de recuperação rápidos, mas que pode perder dias de dados, e uma solução que mantém a disponibilidade do sistema, mas que o mata com elevada complexidade e custos.
Procure uma solução de recuperação de desastres que protege os seus sistemas e aplicativos contra a perda de dados de forma acessível. Soluções que também minimizam a complexidade, facilitam o gerenciamento do backup e da recuperação de desastres e a restauração dos contratos de nível de serviço.
Passo 5: Criar uma lista de verificação dos critérios para iniciar o plano de resposta a catástrofes.
Apenas alguns incidentes justificam uma implementação completa do seu plano de resposta a desastres. A criação de uma lista de verificação de critérios para identificar o que constitui uma catástrofe ajuda a sua equipa de recuperação a saber quando é altura de entrar em ação sem desperdiçar recursos ou dinheiro ao reagir de forma exagerada a uma ameaça menor.
Para garantir que os dados e as operações são restaurados rapidamente após uma catástrofe, crie instruções passo a passo em linguagem simples para que a sua equipa possa iniciar o esforço de recuperação de catástrofes assim que for seguro.
Armazene uma cópia do plano de recuperação de desastres longe da rede ou em armazenamento imutável para protegê-lo de corrupção durante um ataque de ransomware ou perda física de um desastre natural.
