Do backup à continuidade da sua atividade: como se preparar?

Stratégie de sauvegarde 3-2-1

Do backup à continuidade da sua atividade: como se preparar?

Segundo a Gartner, um incidente que provoque uma interrupção do serviço custa em média 4595 euros por minuto. Consoante a dimensão da empresa, o custo médio deste tipo de incidente é de 45 130 euros para uma MPE e de 74 670 euros para uma PME*. Além do seu impacto financeiro, uma avaria informática ou um sinistro podem danificar temporária ou definitivamente os dados dos seus clientes, o que pode ser dramático para a reputação da sua empresa.

 

    Contexto e situação do mercado

    Preparedness - Response - Recovery - Mitigation

    Desde há 12 anos, a utilização das tecnologias de replicação, de arquitetura de datacenters multisites, de armazenamento de cloud pública e de implementação de DRP aumentou consideravelmente. No entanto, apenas uma parte dos inquiridos (38%) pelo instituto Forrester em 2019 declarou que estava totalmente preparado em caso de incidente**. E as grandes empresas estão, na sua maioria, melhor organizadas do que as pequenas e médias empresas.

    Existem várias razões pelas quais os profissionais preveem criar um DRP. A principal: 54% dos inquiridos desejam permanecer online 24h/24. Trata-se de um desafio importante, em especial para as empresas de e-commerce.

    É igualmente importante que as organizações melhorem a disponibilidade das suas aplicações críticas (para elas ou para os seus clientes). O argumento financeiro relativo ao custo do tempo de interrupção dos serviços continua a ser igualmente importante.

     

    Para responder a estas necessidades, são necessários dois elementos:

    • efetuar backups regulares e restauráveis dos seus dados;
    • definir uma estratégia de DRP realista e eficaz para a sua atividade.

    Backups e replicação

    Esta é a base da proteção da sua empresa. Os backups permitem-lhe evitar a perda dos seus dados e os dos seus clientes. Além disso, constituem uma base sólida para relançar a sua atividade e são úteis em várias situações, como uma deterioração do disco rígido, uma pirataria, uma catástrofe natural ou mesmo um erro humano.

    O que é um backup adequado?
    Um backup eficaz é uma cópia dos seus dados que pode ser recuperada rápida e facilmente em caso de incidente.
    O restauro destes backups é o elemento mais importante.

    Segundo a Veeam, parceiro da OVHcloud, a melhor estratégia de backup tem como base o princípio "3, 2, 1".

    Isto significa:

    • possuir três cópias dos seus dados;
    • em dois suportes diferentes, para evitar casos de perda, corrupção ou pirataria;
    • em que uma cópia é armazenada noutro local (em caso de sinistro na sede da sua empresa, por exemplo).

    Esta estratégia permite-lhe proteger-se contra uma grande parte das perdas de dados, que podem ocorrer em vários casos.

    Para melhor compreender esta estratégia de backup, vejamos o exemplo da empresa X. Trata-se de uma PME que vende um kit online para criar as suas próprias cápsulas de café. Assim, produz informações críticas que deve proteger, como os dados pessoais dos seus clientes. Para isso, optou por efetuar:

    • um backup dos seus dados em Lisboa, num servidor e num disco rígido externo;
    • outro backup num servidor remoto situado no Porto.

    Em caso de incidente em Lisboa, as informações poderão ser encontradas no servidor situado no Porto. Se, por razões raras, os dois servidores forem destruídos, o disco rígido externo permitirá restaurar os dados num novo servidor. Esta solução limita assim os riscos de perda de dados centralizados no mesmo local e no mesmo suporte.

    Se dispõe de uma arquitetura cloud, o nosso cliente YetiForce implementou um sistema de backup completo, que permite uma rápida recuperação da sua atividade em caso de incidente graças à criação de diferentes cópias dos seus dados em servidores dedicados a esta utilização. Estes servidores estão situados num datacenter distante e o sistema efetua backups semanais, diários e de 30 em 30 minutos, em função do tipo de dados a proteger.

     
    ForePaaS - réplication des données

    Outro mecanismo eficaz de backup é a replicação dos dados que pode ser efetuada em tempo real e que permite criar cópias em diferentes datacenters. Assim, em caso de incidente num datacenter, as informações estão sempre ativas nos outros.

    Vejamos o exemplo do nosso cliente ForePasS:

    Os dados da sua plataforma de cloud management são replicados em tempo real em três datacenters, um dos quais está situado noutro continente (América do Norte). Desta forma, se um dos locais sofrer algum incidente grave, a empresa pode recuperar os seus dados noutro. Assim, poderão reiniciar a sua atividade sem demora.

    No entanto, um sistema de backup não passa de uma ferramenta para o proteger contra a perda dos seus dados. Embora constitua a base da continuidade da sua atividade, continua a ser importante prever as ações a implementar de forma antecipada. Assim, poderá reiniciar os seus serviços.

    A estratégia do plano de recuperação após desastres (DRP)

    O DRP define os processos profissionais que deve implementar para reiniciar a sua atividade. Os indicadores importantes para definir as estratégias do seu DRP são os seguintes:

    RPO vs RTO
    • o RPO (objetivo de ponto de recuperação). Este termo designa a taxa máxima de perda de dados admissível. É medida ao longo de um período de tempo, sendo geralmente distribuída do seguinte modo: nenhuma perda possível, 1, 4 ou 24 horas de dados;
    • o RTO (objetivo de tempo recuperação). Este conceito refere-se ao período máximo durante o qual uma aplicação pode ficar desativada antes de ser reiniciada. O RTO está distribuído de forma semelhante ao RPO: sem prazo, 1, 4 ou 24 horas.

    Estes indicadores devem ser predefinidos em função da criticidade dos dados afetados por um incidente. Vejamos o exemplo da empresa X, que dispõe de três tipos de aplicações que requerem um plano de recuperação de desastres diferente. Em primeiro lugar, uma aplicação de dados bancários, que não se pode dar ao luxo de parar nem perder tempo. Em seguida, o seu site institucional, essencial mas não crítico. Por último, a sua aplicação de reserva das salas de reunião, também não crítica. A empresa adapta um DRP diferente consoante a aplicação.

    Como adaptar o seu plano de recuperação após desastres

    Aplicação crítica

    RPO & RTO=0

    Aplicação essencial

    RPO>1h & RTO> 4h

    Aplicação não crítica

    RPO>24h & RTO>24h
    RPO=0 RTO=0
    RPO>1h RTO >4h
    RPO>24h RTO>24h

    A empresa não pode trabalhar sem estas aplicações.

    Faz funcionar a sua aplicação:

    • em 2 datacenters;
    • espaços de vários quilómetros (+100 km);
    • os dados são sincronizados entre as duas localizações;
    • armazenam-se backups num terceiro datacenter.

    A empresa pode trabalhar sem estas aplicações, mas não por mais de uma hora.

     

    Faz funcionar a sua aplicação:

    • num datacenter principal;
    • os dados são replicados numa segunda localização separada de vários quilómetros (+100 km);
    • os backups estão localizados num terceiro datacenter.

     

    A empresa pode trabalhar sem esta aplicação durante mais de um dia.

     

    Faz funcionar a sua aplicação:

    • num datacenter;
    • os backups dos dados estão localizados num segundo datacenter.

     

    Desta forma, a OVHcloud utilizará os dados de backup para restaurar a aplicação no segundo datacenter se o primeiro estiver desativado.

     

    Para ajudar os nossos clientes a implementar o seu DRP, oferecemos-lhes soluções complementares. A partição, por exemplo, oferece diferentes modelos de plano de recuperação após desastres aos seus utilizadores. Baseiam-se em soluções de backup e de replicação manual pela Veeam, com uma replicação automática via Zerto.

    O DRP ajuda-o a limitar o impacto dos incidentes na sua atividade e a diminuir as perdas de dados associadas a uma interrupção temporária do serviço. No entanto, certos tipos de empresas, como os bancos ou os fornecedores de serviços informáticos, não podem simplesmente parar, pois precisam de ter acesso a serviços online a qualquer momento. Isto implica construir uma infraestrutura resiliente para permanecer acessível, independentemente do mau funcionamento.

    O nosso cliente KBRW, que oferece soluções SaaS de cloud nativa às empresas especializadas na venda a retalho e na logística, certifica que construir infraestruturas resilientes é o objetivo a atingir para a segurança de uma empresa. No entanto, a implementação e a posse de um plano de recuperação após desastres eficaz são processos constantes. Este último deve ser testado e atualizado de forma regular. De facto, o seu conjunto de soluções informáticas e a sua infraestrutura evoluem , podendo afetar as suas exigências em matéria de segurança.

    "[...] A resiliência deve ser considerada como uma abordagem global dentro da empresa. Esta não é, de modo algum, a única responsabilidade do serviço informático ou dos especialistas em segurança. Do ponto de vista da empresa em geral, é importante desenvolver uma cultura de gestão dos riscos informáticos. Do mais alto escalão ao mais baixo. Todos os trabalhadores devem conhecer o seu papel e as suas responsabilidades nesta estratégia global. Para a correta implementação de um plano de resiliência IT, é indispensável começar por um estudo real dos potenciais riscos, que deve ser realizado de forma regular. Geralmente, recomenda-se que o realize de seis em seis meses em todos os pontos críticos do seu sistema."

    Arnaud Wetzel, cofundador e CTO da KBRW, e Ronan Garet, Site Reliability Engineer

     

    Para a continuidade da sua atividade

    Um plano de recuperação de desastres permite-lhe reagir a um incidente. Prever a continuidade da sua atividade inclui as ações a realizar antes, durante e depois deste evento para manter os seus serviços e assegurar o funcionamento ideal da sua empresa.

    Este planeamento baseia-se em três elementos:

    • uma boa comunicação nos canais à sua disposição, como os e-mails, as redes sociais ou a imprensa, sobre a possível crise. Mantenha os seus colaboradores, clientes e parceiros informados sobre os progressos da resolução do incidente e quando este estiver terminado;
    • estabelecer um plano de ação para os seus colaboradores em caso de incidente. Precisam saber o que fazer e quem contactar. Tenha o cuidado de os informar regularmente sobre a evolução do planeamento e das alterações das políticas de segurança, por exemplo;
    • uma infraestrutura informática resiliente é a melhor forma de manter os seus serviços online em todas as circunstâncias. Desta forma, evitará perdas ou custos associados às interrupções.

     

    Plan de reprise d’activité vs la continuité de votre activité

    A continuidade da sua atividade é o principal objetivo. Um planeamento dos procedimentos a seguir permitir-lhe-á fazer face à maior parte das situações que ameaçam a sua empresa. Os nossos parceiros, como Thales e Capgemini, podem fornecer-lhe serviços de consultoria para o ajudar a implementar um DRP ou a planear a continuidade da sua atividade.

    "[...] a primeira etapa é identificar bem as suas necessidades de resiliência em função do serviço alojado. Por conseguinte, é necessário definir, para cada um dos serviços, a sua criticidade e o risco incorrido em caso de problema de disponibilidade. Uma vez realizada esta constatação, entramos numa fase de conceção da arquitetura, retomando todos os elementos identificados aquando da análise realizada. [...] É possível desbloquear três diferentes componentes de infraestrutura em que o cliente deve trabalhar para assegurar a sua resiliência:

    • resiliência da infraestrutura de produção;
    • aplicação do backup;
    • aplicação do DRP.

    Estas soluções devem ser seguras para assegurar a conservação de todos os dados do cliente."

    Jean-Charles Ferrand, diretor-geral da Partitio

     

     

    * De acordo com um estudo realizado pelo editor de software CA Technologies.

    ** Fonte: The State Of Disaster Recovery Preparedness In 2020, Forrester Research, Inc., 24 de agosto de 2020.