Um passo a passo para aplicá-lo ao seu negócio · um impacto de até R$ 10 milhões, uma empresa...
-
Upload
hoangtuyen -
Category
Documents
-
view
214 -
download
0
Transcript of Um passo a passo para aplicá-lo ao seu negócio · um impacto de até R$ 10 milhões, uma empresa...
BÁSICO
Este conteúdo é orientado para quem procura conhecer mais sobre
infraestrutura de TI, link dedicado, segurança de dados, colocation,
PABX e Cloud. Se você está começando a trabalhar com Tecnologia
da Informação, este conteúdo é exatamente o que você precisa. Aqui
abordaremos alguns assuntos de maneira bem introdutória e da forma
mais didática possível.
INTERMEDIÁRIO
O material intermediário é voltado para as pessoas que já estão
familiarizadas com infraestrutura de Tecnologia da Informação. Este tipo
de conteúdo costuma ser um pouco mais técnico, e aqui costumamos
apresentar algumas ferramentas para problemas de maior complexidade.
AVANÇADO
Estes são os materiais mais complexos produzidos pela Telium
Networks. Para usufruir ao máximo dos conteúdos avançados que
produzimos, é essencial que você esteja em dia com o que acontece no
mundo digital. Nossos materiais avançados são para profissionais com
experiência, que buscam aprofundar o seu conhecimento e criar soluções
estratégicas para a sua empresa.
Este ebook é certo para mim?
19Realizando a BIA (Business Impact Analysis)
17A execução de um plano de continuidade de negócios
12Ferramentas de backup e disaster recovery
15Continuidade do negócio com a ISO 22301
07Mapeamento de riscos
04Introdução
22Conclusão
25Sobre a Telium
5
INTRODUÇÃO
O prejuízo pelo custo de reparo dos equipamentos já seria alto, mas algo pior
aconteceu: todos os dados do negócio estavam armazenados apenas ali e
foram perdidos: contatos de clientes, documentos importantes, planilhas
financeiras e até um software exclusivo da empresa que foi resultado de
anos de desenvolvimento e muito dinheiro investido.
Um verdadeiro desastre desse porte poderia ser o bastante para fazer um
negócio fechar as portas. Mas para minimizar o impacto dessas tragédias
existe o chamado disaster recovery, normalmente abreviado como DR.
Ele refere-se a um conjunto de práticas e procedimentos que
permitem a recuperação de, pelo menos, parte dos dados e a
continuidade da operação da organização.
O sistema de backup é uma parte importante do DR. Com ele, é possível
recuperar os dados com uma cópia de segurança feita em outro local, isolado
de onde aconteceu o desastre, que pode ser tanto o clássico raio como um
incêndio, inundação ou qualquer ocasião que coloque os dados da empresa
em risco, incluindo aí situações causadas pela ação humana, como ataques
hackers e erros de colaboradores.
Imagine a situação: depois de um raio que atingiu em
cheio a empresa, uma descarga elétrica danificou todos os
computadores e sistemas.
6
INTRODUÇÃO
Neste e-book, vamos aprender um
pouco melhor sobre como funciona
um bom sistema de backup e disaster
recovery e como aplicar essas técnicas
com eficiência no seu negócio.
Mas, antes disso, vamos falar sobre o
mapeamento de riscos, um conceito
que pode ser útil para compreender
o que está em ameaça e como
dimensionar o seu DR.
Boa leitura!
8
MAPEAMENTO DE RISCOS
Para responder a boa parte dessas questões, existe o mapeamento de riscos,
uma técnica bem objetiva de identificação e avaliação das incertezas que
podem impactar o desempenho de um negócio.
De uma maneira mais ampla, risco pode ser definido como qualquer elemento
que possa gerar consequências incertas, sejam elas positivas ou negativas.
Ou seja, um risco pode ser uma oportunidade, e é preciso ter atenção para
poder aproveitá-la na hora certa.
Para fins de objetividade, quando elaborarmos um mapeamento de
riscos visando o DR, ele tratará apenas de desastres e infortúnios
que podem causar consequências negativas aos dados da empresa.
Neste capítulo, vamos aprender um passo a passo de como elaborar esse
mapeamento de riscos específico.
Quando uma empresa decide investir em um sistema
de backup e disaster recovery, muitas perguntas vão
surgir, como: “qual é a melhor ferramenta para garantir a
segurança dos dados?” e “quanto vale a pena investir em
cada solução?”.
9
MAPEAMENTO DE RISCOS
IDENTIFICAÇÃO DOS RISCOS
O primeiro passo do mapeamento de
riscos é a identificação dos desastres que
podem afetar os dados da empresa. Isso
pode ser feito com base em conversas
com especialistas em segurança de
dados, colaboradores mais experientes e
dados e documentos históricos, além, é
claro, do bom senso.
Portanto, quando falamos de
sistemas de computadores,
podemos listar, por exemplo,
o risco de um colaborador
acidentalmente apagar parte
deles, risco de raios, incêndios,
roubos físicos e virtuais etc.
Quando todos os riscos estiverem
identificados, é hora de listá-los em
uma planilha.
10
MAPEAMENTO DE RISCOS
Com essas duas informações, é possível
determinar qual é o valor efetivo do risco,
bastando multiplicar a probabilidade pelo impacto:
no total, R$ 10 mil.
Essa é uma técnica chamada de análise
qualitativa, que ainda é subjetiva quando
comparada com a análise quantitativa, que
utilizará mais dados para determinar valores dos
riscos e conseguir resultados mais precisos.
Neste manual, vamos nos limitar a análise
qualitativa para fins de praticidade e também
porque, na maior parte das vezes, ela é suficiente
para fazer um bom mapeamento de riscos de
desastres que envolvem dados.
Esse processo deve ser repetido para todos os
riscos possíveis, o que vai alimentar a planilha
que chamamos de mapeamento de riscos. Com
ela, podemos partir para a etapa seguinte, que é a
gestão desses riscos.
ANÁLISE QUALITATIVA DOS RISCOS
Depois de conhecer os riscos, é hora de estabelecer
quais são os mais importantes e vão precisar de
maior atenção. A técnica mais comum para isso
é a divisão de cada risco em três fatores: o nome
do evento, a probabilidade de ele ocorrer (em
porcentagem) e o impacto causado, normalmente
expresso em reais.
Portanto, quando falamos da chance de um raio
atingir as instalações da empresa, podemos dizer
que o evento em si é a descarga elétrica. Depois de
analisar premissas e dados históricos sobre o local
onde a empresa se encontra, um gestor poderia
concluir que a probabilidade de que aconteça é de
0,1%, ou seja, bem baixa.
Já o impacto do dano seria bem alto: R$ 1 milhão
em equipamentos. Porém, o valor em dados seria
ainda maior, de R$ 9 milhões, totalizando R$ 10
milhões no total.
11
MAPEAMENTO DE RISCOS
Portanto, em vez de assumir um risco de R$ 10 mil que representa
um impacto de até R$ 10 milhões, uma empresa pode investir em
uma boa ferramenta de backup e DR, sendo que qualquer valor até
R$ 10 mil seria razoável para isso.
Vale lembrar que uma mesma solução pode mitigar vários riscos
ao mesmo tempo. Nesse caso, é válido gastar qualquer valor até a
soma de todos eles.
No próximo capítulo, vamos explicar melhor como essas ferramentas
funcionam e o que existe hoje no mercado para suprir essa demanda.
GESTÃO DE RISCOS: COMO RESPONDER
Uma vez que o mapeamento de riscos está feito, é possível
conhecer todas as ameaças aos dados do negócio e, mais
que isso, saber qual o valor delas em dinheiro real. Com isso, é
possível determinar formas de responder a cada um
desses riscos.
No geral, uma empresa pode tomar quatro atitudes ante um
risco iminente: a primeira é evitar completamente o risco
sem custos, o que normalmente não é possível. A segunda é
transferir o risco para terceiros, outra maneira incomum que
acontece relativamente pouco. A terceira é assumir o risco, o
que ocorre apenas quando o valor dele é muito baixo ou quando
a quarta alternativa é financeiramente inviável: mitigar o risco.
A maior parte das ações no alcance de uma empresa em relação
aos riscos está enquadrada na categoria de mitigação.
Mesmo a terceirização do backup na forma de um
serviço na nuvem é encarada como mitigação, já que
envolve um custo que reduzirá o valor desse risco.
13
FERRAMENTAS DE BACKUP E DISASTER RECOVERY
A redundância aqui é essencial, e o mais inteligente é sempre combinar pelo
menos duas ferramentas de backup, sendo uma física e outra na nuvem.
Contudo, isso pode variar bastante de acordo com a verba disponível e o
tamanho do risco para o negócio.
O primeiro passo para escolher as ferramentas é definir qual o tempo
máximo de dados perdidos tolerado pela empresa, o Recovery Point
Objective, ou RPO. Geralmente, o RPO é medido em horas.
Logo, se uma empresa define que o RPO será de seis horas, é
preciso definir uma estrutura de processos e ferramentas de
backup que garantam que, a qualquer momento que aconteça
um desastre, será possível acessar documentos passados com no
máximo seis horas de atraso.
Existem diversas estratégias para a proteção de dados e
a escolha da melhor delas geralmente será limitada pela
análise de custo-benefício levantada no capítulo anterior.
14
FERRAMENTAS DE BACKUP E DISASTER RECOVERY
Um exemplo de sistema que atenderia
esse RPO seriam servidores que a
cada seis horas executariam um
backup, replicariam esses dados para
um servidor off-site ou para mídias
externas e, além disso, sincronizariam
tudo em um serviço na nuvem.
Com isso, os dados
estariam sempre em três
lugares distintos e seguros,
mesmo se dois desses locais
fossem comprometidos.
Existem diversas técnicas de como
realizar esse backup; com o crescimento
de máquinas virtuais, as chamadas
VMs, é possível registrar imagens delas
e garantir a integridade de dados e
configurações com muita simplicidade,
reduzindo, inclusive, o tempo gasto
para a recuperação de um desastre.
16
CONTINUIDADE DO NEGÓCIO COM A ISO 22301
Ela substituiu a BS 25999-2, atualizando algumas das suas normas
e práticas. Com a aplicação da ISO 22301, uma organização reduz a
probabilidade e os danos causados por incidentes, utilizando técnicas
comprovadas e planos de resposta bem estabelecidos.
A grande vantagem de aderir aos padrões da ISO 22301 é que a organização
pode se certificar nessa norma, comprovando aos seus parceiros e
stakeholders que está adotando as melhores práticas para proteger os seus
dados. Como muitas vezes uma empresa pode reter dados dessas pessoas,
a certificação é muito bem-vista no mercado.
Para obter a ISO 22301, a recomendação é procurar um corpo de certificação
reconhecido e se orientar com base no material deles.
A ISO 22301 é um padrão de gestão de continuidade de
negócios escrito por especialistas na área e reconhecido
internacionalmente. O seu nome completo é ISO
22301:2012 Segurança social – Sistemas de gestão da
continuidade de negócios – Requisitos.
18
A EXECUÇÃO DE UM PLANO DE CONTINUIDADE DE NEGÓCIOS
Neste manual, o foco é o plano de recuperação de desastres. Ele consiste em
uma estratégia pré-documentada para recuperar os ativos da organização,
como os dados.
Já o plano de contingência operacional é destinado a ações que permitam
a definição de processos alternativos na eventualidade de um desastre
comprometer as atividades normais da empresa.
Um exemplo clássico é, se falhar a energia na empresa, as vendas
podem continuar ocorrendo pelo telefone e com anotações
manuais dentro de padrões que deverão ser integradas ao
sistema posteriormente.
Normalmente, quando a empresa é afetada por um desastre, o plano de
continuidade dos negócios inclui ações do PRD, como a restauração de dados
a partir de backups e outras do PCO, como o exemplo já citado. Além disso,
ações de um plano de comunicação também costumam fazer parte do plano
de continuidade de negócios. A ISO 22301 sugere práticas comprovadas de
como fazer esse plano com eficiência.
Na eventualidade de um desastre, uma empresa bem
preparada colocará em ação um bom plano de continuidade
de negócios, que é constituído de, pelo menos, outros
dois planos distintos: o plano de recuperação de desastres
(PRD) e o plano de contingência operacional (PCO).
20
REALIZANDO A BIA (BUSINESS IMPACT ANALYSIS)
Cada organização tem valores diferentes nessas duas variáveis, sendo que, em algumas delas, uma hora a mais de interrupção do serviço ou perda de dados pode significar uma tragédia. Um serviço bancário, por exemplo, pode até sobreviver a quatro horas fora do ar, mas passar mais de um dia indisponível representa um prejuízo que pode ser irrecuperável.
Realizar a BIA requer bastante tempo investido e uma técnica apurada. Normalmente, ela é feita com base em entrevistas e conversas com pessoas responsáveis pelas atividades que seriam afetadas por uma interrupção ou perda de dados.
Ou seja, para começar essa análise, é preciso, antes de tudo, ter uma lista das atividades que geram valor para a empresa e definir quem é a equipe de cada área dessas.
Depois disso, é hora de formular questionários para esses colaboradores, que devem responder aos impactos da interrupção do sistema e da perda de dados por períodos predeterminados de horas.
A análise de impacto no negócio é uma das exigências da ISO 22301. Ela existe para ajudar a definição do prazo para a recuperação de um desastre e a perda máxima de
dados tolerada.
21
REALIZANDO A BIA (BUSINESS IMPACT ANALYSIS)
Além dessas respostas, é
necessário conseguir avaliar o
impacto da indisponibilidade
do serviço para clientes.
E depois disso, também é
necessário descobrir a relação
de interdependência entre
essas atividades, para poder
documentar tudo que será
comprometido pelo desastre.
Com base nesses dados, é
possível descobrir quais são os
valores toleráveis para o prazo
de recuperação do desastre e a
perda máxima de dados.
23
CONCLUSÃO
Neste e-book, listamos algumas técnicas para realização do mapeamento
de riscos que vão guiar a definição da estratégia de backup e DR, além de
detalhar um pouco sobre como essas ferramentas funcionam.
Também falamos um pouco sobre as boas práticas de continuidade
de negócio, que envolvem não só a recuperação de desastres, como os
planos para contingência operacional.
Para quem quiser se aprofundar e especializar-se nessa área, uma
recomendação é ir além do conteúdo deste manual e buscar conhecer mais
sobre a ISO 22301, que é hoje o padrão mais reconhecido na área.
Esperamos que este conteúdo sirva para guiar os primeiros passos
dessa jornada.
Obrigado pela leitura!
A perda de dados é, sem exageros, um desastre real para o
negócio. Dependendo da extensão dessa perda, é possível
que a continuidade dos negócios seja comprometida.
Justamente por isso, é muito importante contar com uma
boa estratégia de backup e disaster recovery.
VOCÊ SE INTERESSOU PELO CONTEÚDO E QUER IR ALÉM?
QUERO RECEBER UMA AVALIAÇÃO GRATUITA
O QUE VOCÊ ACHA DE RECEBER UMA AVALIAÇÃO GRATUITA DE SUA ESTRATÉGIA DE TI, OFERECIDA
PELA TELIUM NETWORKS?
A Telium é uma empresa jovem, criada em 2004 com uma bagagem técnica e de negócios muito grande, uma excelente equipe de profissionais e uma carteira de clientes bastante robusta.
A empresa atua não somente no mercado de Telecomunicações, mas também em segmentos relacionados e complementares que engloba dois segmentos: Telecom e Internet Data Center – IDC.
A Telium trabalha para ampliar e qualificar constantemente o seu portfólio de produtos, lançando soluções de Cloud Computing em plataforma 100% instalada no Brasil, distribuída em 6 IDCs próprios, soluções de Telefonia Digital, como PABX-IP e VoIP, novas funcionalidades na hospedagem
de sites e, principalmente, na expansão de sua rede própria de Links Dedicados de Internet, instalando dezenas de quilômetros de Fibra Ótica e criando uma rede de distribuição Wireless que atende plenamente as cidades onde atua.
Desde a sua criação a Telium sempre primou pela satisfação dos seus clientes, valorizando e investindo no atendimento técnico e comercial da sua carteira. Desde 2010 a Telium segue as boas práticas ITIL e com isso consegue gerir e melhorar continuamente a prestação dos serviços.
Possui 6 Datacenters próprios nas cidades de São Paulo, Rio de Janeiro, Belo Horizonte, Porto Alegre, Campinas e Santos, além de contar com parceiros estratégicos que ampliam essa abrangência.