A ausência de interrupções na sua atividade é essencial para a perenidade do seu negócio. As interrupções e corrupções do sistema informático (tais como um incidente na infraestrutura, uma catástrofe natural ou um ciberataque) podem representar ameaças reais para a segurança da sua atividade. No seu último relatório, a Veeam indica que, em 2022, 85% das empresas inquiridas enfrentaram um ataque de tipo ransomware. Além do impacto financeiro, uma avaria informática ou um sinistro podem danificar temporária ou definitivamente os dados dos seus clientes, e essas perdas são dramáticas para a sua reputação. Por isso, é importante dar uma atenção especial ao seu plano de recuperação de desastres.

Para evitar qualquer ameaça para a sua atividade, é imperativo criar ferramentas e processos a fim de minimizar as consequências negativas de um incidente deste tipo. Tais dispositivos limitam os riscos e permitem antecipar eventuais danos, nomeadamente graças a:

•     uma implementação de backups;
•     um plano de recuperação de desastres, ou PRD (Disaster Recovery Plan, DRP);
•     um planeamento da continuidade da sua atividade.

O aumento contínuo e exponencial dos dados representa um verdadeiro desafio para as empresas. Estas últimas devem assegurar a proteção das suas infraestruturas, dos seus dados e dos dados dos seus clientes.

A implementação de um PRD, além de proteger contra a interrupção da sua atividade, apresenta numerosas vantagens. De facto, as consequências de uma interrupção ligada aos dados são inúmeras. Além do aspeto financeiro, uma ocorrência deste tipo pode afetar o seu negócio em vários outros planos, como mostra este gráfico:

A resiliência dos dados e das infraestruturas informáticas constitui um fator cada vez mais importante para assegurar a continuidade da sua atividade. Esta noção de resiliência pode ser assimilada a resistência face a eventuais interrupções e à sua capacidade de manter uma atividade constante. E isto apesar de uma indisponibilidade, mesmo temporária, dos seus dados ou da sua infraestrutura inicial. Esta alta disponibilidade, associada à proteção dos dados através de backups regulares e de um plano de recuperação de desastres, permite-lhe evitar a perda total dos seus dados e dos dados dos seus clientes. Desta forma, poderá sempre reiniciar a sua atividade em caso de interrupção (deterioração do disco rígido, pirataria, erro humano, catástrofe natural, etc.).

O PRD define os processos a implementar para reiniciar a sua atividade em caso de incidente ou de interrupção. Os indicadores mais importantes para definir a sua estratégia são os seguintes:

• o RPO (recovery point objetive). Este termo designa a taxa máxima de perda de dados admissível. É medida num período definido e é geralmente escalonado do seguinte modo: nenhuma perda possível, 1 hora, 4 horas ou 24 horas desde o último backup de dados;
• o RTO (recovery time objective). Esta noção designa o período máximo de interrupção admissível, ou seja, o período durante o qual uma aplicação pode ficar desativada antes de ser reiniciada. O RTO é escalonado de forma semelhante ao RPO: sem prazo possível, 1 hora, 4 horas ou 24 horas antes da recuperação da atividade.

Estes indicadores devem ser predefinidos em função da criticidade dos dados afetados por um incidente. Um certo tipo de aplicação não exigirá necessariamente o mesmo plano de recuperação de desastres que outro. Por exemplo, uma aplicação que utilize dados bancários não pode permitir-se o menor tempo de paragem ou de perda de dados. Pelo contrário, uma aplicação institucional, embora essencial, não é crítica. Por conseguinte, é admitida uma tolerância quanto ao prazo de interrupção.

Na OVHcloud, comprometemo-nos a acompanhar os nossos clientes na implementação de um PRD através das soluções dos nossos parceiros tecnológicos. Estes últimos permitem-nos oferecer as soluções mais difundidas e comprovadas para a implementação do seu plano de recuperação de desastres. A Veeam e a Zerto demonstram bem a importância e a mais-valia destas parcerias tecnológicas.

A implementação de um PRD ajuda-o a limitar o impacto dos incidentes na sua atividade e a diminuir as perdas de dados associadas a uma interrupção temporária do serviço. No entanto, certos tipos de empresas, como os bancos ou os fornecedores de serviços informáticos, não podem simplesmente parar e devem beneficiar de serviços online disponíveis a qualquer momento. Isto implica construir uma infraestrutura resiliente capaz de permanecer acessível em todas as circunstâncias.

De facto, o maior objetivo a atingir para a segurança de uma empresa consiste em construir infraestruturas resilientes. Contudo, um plano de recuperação de desastres eficaz é um processo que tem de ser continuamente adaptado. Este último deve ser testado e atualizado de forma regular. Com efeito, o seu parque de soluções informáticas e a sua infraestrutura evoluem; por conseguinte, a sua exigência em matéria de segurança também.

«A resiliência deve ser considerada uma abordagem global no seio da empresa. Esta não é, de modo algum, uma responsabilidade exclusiva do serviço informático ou dos especialistas em segurança. Do ponto de vista da empresa em geral, é importante desenvolver uma cultura de gestão dos riscos informáticos. Do mais alto escalão ao mais baixo. Todos os trabalhadores devem conhecer o seu papel e as suas responsabilidades nesta estratégia global. Para a correta implementação de um plano de resiliência informática, é indispensável começar por um estudo real dos potenciais riscos, que deve ser realizado de forma regular. Geralmente, recomenda-se que seja realizado de seis em seis meses em todos os pontos críticos do sistema.»

Arnaud Wetzel, cofundador e CTO da KBRW, e Ronan Garet, Site Reliability Engineer

Um plano de recuperação de desastres permite-lhe reagir a um acontecimento imprevisto que possa prejudicar o seu negócio. Assegurar a continuidade da sua atividade requer prever, o mais a montante possível, as ações a empreender antes, durante e após um incidente para manter os seus serviços e assegurar o funcionamento ideal da sua empresa.

Este planeamento baseia-se em três elementos:

• assegurar uma comunicação transparente e tranquilizadora sobre os canais à sua disposição (por exemplo, e-mails, redes sociais, imprensa) sobre a possível crise. Mantenha as suas equipas, os seus clientes e os seus parceiros informados acerca dos progressos da resolução do incidente e avise-os quando este estiver resolvido;
• estabelecer um plano de ação para as suas equipas em caso de incidente. Elas precisam de saber o que fazer e quem contactar. Tenha o cuidado de as informar regularmente sobre a evolução do planeamento e das alterações das políticas de segurança;
• dispor de uma infraestrutura informática resiliente. Esta é a melhor forma de manter os seus serviços online em todas as circunstâncias. Desta forma, evita as perdas ou os custos associados às interrupções.

Um planeamento dos procedimentos a seguir permitir-lhe-á fazer face à maior parte das situações que ameaçam a sua empresa. Os nossos parceiros podem fornecer-lhe serviços de consultoria para o ajudar a implementar um PRD ou a planear a continuidade da sua atividade.

«A primeira etapa é identificar corretamente as suas necessidades de resiliência em função do serviço alojado. Por conseguinte, é necessário definir, para cada um dos serviços, a sua criticidade e o risco incorrido em caso de problema de disponibilidade. Uma vez realizada esta constatação, entramos numa fase de conceção da arquitetura, retomando todos os elementos identificados aquando da análise realizada. [...] É possível desbloquear três diferentes componentes de infraestrutura em que o cliente deve trabalhar para assegurar a sua resiliência:

resiliência da infraestrutura de produção;
implementação do backup;
implementação do PRD.

Estas soluções devem ser seguras para garantir a conservação de todos os dados do cliente.»

Jean-Charles Ferrand, diretor-geral da Partitio

* De acordo com um estudo realizado pela CA Technologies, editora de software.