Junte-se a nós e descubra o que é o Disaster Recovery e porque é que precisamos deste processo.
A crescente dependência das organizações relativamente aos sistemas informáticos, cada dia mais complexos, assim como o crescimento exponencial das ameaças, tornam-nos cada dia mais sensíveis à falha dos componentes que os compõem.
Os nossos sistemas, e portanto as nossas organizações, são ameaçados por inúmeros eventos e incidentes que podem ser inofensivos, prejudiciais ou até mesmo catastróficos, incluindo cortes de energia, cortes de comunicações, atos da natureza (como incêndios, inundações, terramotos, etc.), ou eventualmente utilizados como arma em ataques terroristas ou revoluções.
Tudo isto, em conjunto com as notícias que lemos ultimamente sobre empresas que sofrem incidentes catastróficos, faz-nos pensar que as organizações que não estiverem preparadas para os piores cenários têm menor probabilidade de sobrevivência quando estes incidentes ocorrerem.
É por esta razão, e com base na necessidade de garantir a continuidade do negócio, que devemos implementar uma estratégia ou política de Disaster Recovery.
A partir da norma britânica BS25999, que foi a primeira norma a abordar a gestão de continuidade de negócios (BCM ou Business Continuity Management), surgiram diferentes regulamentos nos quais podemos basear-nos para determinar a necessidade que a nossa organização tem de um plano de recuperação de desastres e estabelecer a forma de implementação.
Um problema complexo:
O maior problema para quem pretende manter a continuidade do negócio com um Disaster Recovery é a complexidade, além do custo de implementação e manutenção dos mecanismos em que se baseia.
Costumamos partir da abordagem (um pouco errada) de que apenas os especialistas podem implementar este processo, o que afasta este tipo de implementação das pequenas e médias empresas. E embora os especialistas em Continuidade de Negócios ou DR estejam mais bem preparados e conheçam muito melhor tanto os processos formais como os padrões de aplicação e até as soluções técnicas, uma vez que se dedicam a isso como ‘core’ do seu negócio, isso não significa que não seja possível implementar estes processos sem contar com este tipo de profissionais.
Existe muitas vezes uma visão tímida em que se pensa que os departamentos de TI (especialmente nas PME) não estão preparados para realizar um projeto deste tipo e que não têm experiência nesta área. Isto, somado aos custos associados, significa que os projetos não sejam implementados em muitas empresas.
Esta visão está completamente errada porque, embora a maioria dos técnicos de TI das pequenas empresas sofram frequentemente de falta de experiência na conceção e implementação de soluções de recuperação de desastres, eles têm uma vasta experiência num amplo campo de tecnologias que compõem estas soluções. Afinal, quando falamos em recuperação de desastres, estamos a falar de configurações de aplicações, sistemas operativos, eletrónica de redes, etc., além da parte administrativa, regulatória ou legal.
Então, o que é mesmo o Disaster Recovery?
O termo DR ou recuperação de desastres refere-se a todas as atividades que devem ser realizadas e toda a infraestrutura que deve ser implementada e gerida para recuperar o correto funcionamento da empresa após um evento, para que não exista um grande impacto no serviço prestado.
Se quisermos uma definição mais académica do Disaster Recovery, podemos dizer que é todo o planeamento, preparação, implementação, manutenção e execução de todos os processos necessários para recuperar o serviço após um desastre.
Porque é que precisamos do Disaster Recovery?
A disponibilidade dos sistemas sempre foi imperativa e crítica, pois se não tivermos sistemas de produção ativos ou sistemas de faturação é impossível manter o negócio operacional.
A indisponibilidade dos serviços ou a falta de funcionamento podem impactar o nosso negócio de diversas formas, incluindo um fator que muitas vezes não é levado em conta, que é a imagem e reputação de marca, que pode ser algo decisivo com tanta concorrência.
Hoje em dia, e graças aos computadores, tablets e especialmente aos smartphones, a maioria dos utilizadores habituou-se a ter a possibilidade de aceder instantaneamente a informações, notícias e todo o tipo de conteúdos.
Isto significa que, por um lado, é possível alcançar uma melhor produtividade, mas, por outro lado, criou-se uma dependência dos sistemas de informação e uma certa “ansiedade” quando os sistemas não funcionam tão rapidamente quanto desejamos ou quando não estão disponíveis. Há alguns anos, quando não tínhamos acesso a um site ou a uma loja, tentávamos mais tarde; hoje em dia, muitos utilizadores não esperam que o serviço volte a estar disponível: vão procurar outro site, outra loja ou qualquer outro recurso que acalme a sua necessidade de imediatismo.
Tudo isto torna mais necessário do que nunca que os nossos serviços e processos estejam sempre operacionais para garantir a sobrevivência da nossa organização.
Como ativamos o Disaster Recovery?
Embora não seja o objetivo deste artigo, vamos refletir brevemente sobre como podemos implementar o DR na nossa organização.
Os processos de DR costumam ser planeados de forma holística para conseguir reunir os processos, as pessoas e a tecnologia que compõem a lógica de gestão do negócio. Isto diz-nos que deve ser feito um trabalho de coordenação entre os diferentes departamentos para poder extrair a informação necessária para planear tudo, ter clareza sobre o que é mais importante e desenhar uma solução para restabelecer o serviço.
Por um lado, todos os processos da empresa devem ser analisados em busca daqueles que têm maior impacto nas receitas da empresa, de forma a atribuir a cada processo uma prioridade no seu tratamento e restauração.
Por outro lado, deve-se definir quais são as pessoas e funções-chave na operação dos sistemas, na coordenação e na tomada de decisões, além dos turnos e horários. Com todo o pessoal identificado, todas as tarefas atribuídas e todos os fluxos de trabalho e de comunicação definidos, estaremos numa melhor posição para realizar uma recuperação de desastres.
Por último, devem ser tidas em conta as tecnologias envolvidas tanto no funcionamento normal dos serviços como na produção da empresa, bem como as dependências que os processos têm dessas tecnologias.
Uma vez analisadas as necessidades operacionais da empresa, bem como os fluxos operacionais que não devem ser interrompidos, deve-se pensar nos processos, tecnologias e pessoas que devem trabalhar para restaurar os sistemas e, sobretudo, para que os processos críticos sejam restabelecidos o mais rápido possível.
Posto isto, devemos ter em mente que as necessidades, processos, tecnologias e pessoas envolvidas não serão iguais se o nosso negócio for uma loja de reparação de eletrodomésticos ou se prestarmos serviços de consultoria. Não existe uma fórmula mágica e o protocolo de DR deve ser adequado a cada empresa.
Se o que queremos é apenas obter uma conformidade regulatória padrão, como a UNE-ISO-22301 (Sistemas de Gestão de Continuidade de Negócios), é possível aplicar vários modelos de documentos. Na verdade, existem empresas que se dedicam a vender esta documentação, elaborada através de templates nos quais só precisamos preencher os espaços em branco. Cuidado, estes documentos permitem uma adequação normativa, mas não vão salvar a empresa no caso de uma falha dos sistemas.
Conclusão:
Como vimos ao longo deste artigo, em que exploramos o que é o Disaster Recovery e porque precisamos dele, devemos estabelecer controlos e processos para podermos recuperar o correto funcionamento dos sistemas quando eles falham, especialmente quando afetam serviços fundamentais da nossa organização.
Vimos também que devemos distinguir entre a conformidade regulatória com as normas, como a ISO 22301, e um sistema de recuperação de desastres projetado para recuperar o serviço real da empresa.
Por último, constatámos que um plano de recuperação de desastres não é algo que apenas uma equipa de especialistas pode implementar. Uma equipa técnica composta por elementos de sistemas e comunicações pode perfeitamente tomar conta da missão, com o devido apoio da empresa.
Pode encontrar outras informações sobre recuperação de desastres e tópicos relacionados no nosso blog, onde pode ler artigos como “Disaster Recovery: o que significam as siglas RPO, RTO, WRT ou MTD e porque é que são importantes?“.
Obrigado por ler!