A abordagem proativa da segurança da informação nas empresas visa evitar ou reduzir as consequências dos riscos existentes. Nesta estratégia são incluídos elementos como a análise de riscos ou o plano de resposta a incidentes, mas há outra opção que também pode ser considerada: o Plano de Recuperação de Desastres (do inglês Disaster Recovery Plan - DRP) e seu relacionamento com outros planos, como o Plano de Continuidade de Negócios (do inglês Business Continuity Plan - BCP).
Diferenças entre o DRP e o BCP
Em algumas situações, alguns profissionais não fazem distinção entre os termos DRP e BCP quando se referem aos planos destinados a restaurar as operações primárias de uma empresa em caso de alguma contingência. No entanto, existem diferenças substanciais entre um plano e outro, e a principal característica que permite identificá-los é o seu escopo.
Os dois planos devem colaborar para que os sistemas essenciais usados para o funcionamento normal de um empresa estejam disponíveis, tendo em conta que o DRP se limita aos processos e a infraestrutura de TI de uma empresa e, além disso, é considerado parte do BCP. O DRP é responsável em minimizar as consequências e tomar as medidas para a volta da operação normal em um tempo aceitável, e visa a recuperação enquanto o desastre esta em curso.
Por outro lado, o Plano de Continuidade de Negócios visa descrever os passos que devem ser tomados por uma empresa quando não seja possível funcionar normalmente devido a um desastre natural ou causado pelo homem. O BCP pode ser montado para um processo de negócio específico ou para todos aqueles de missão crítica e é composto por um conjunto de planos, incluindo o DRP. No entanto, esses outros planos que também fazem parte do BCP, como a retomada de negócios (BRP), emergência de ocupantes (OEP) e continuidade de operações (COP), não estão relacionados à infraestrutura e aos processos de TI.
Já o Plano de Gerenciamento de Incidentes (IMP), que também está incluído no BCP, tem relação com TI e estabelece a estrutura e os procedimentos para resolver quaisquer incidentes de segurança da informação, embora geralmente não envolva a ativação do DRP. A imagem a seguir mostra os planos que são considerados em um BCP.
Portanto, o DRP está focado no restabelecimento dos sistemas e infraestrutura de TI que suportam os processos críticos das empresas após eventos de interrupção, enquanto o BCP é orientado para a recuperação dos processos críticos das empresas que são necessários para o seu funcionamento normal, não só incluindo os itens citados anteriormente, como também todos os outros aspectos operacionais necessários dentro de uma empresa.
Desenvolvimento e ativação do DRP
Existem diferentes formas de abordar o desenvolvimento de um plano de recuperação, mas isso deve sempre estar alinhado com o plano de continuidade, portanto, você deve considerar os elementos que definem a razão de ser de uma empresa.
Além disso, o DRP deve incluir os critérios para determinar quando um incidente de segurança não pode ser resolvido por meio de procedimentos comuns de atendimento e é considerado um desastre, ou seja, quando ocorre um evento catastrófico e súbito que anula a capacidade das empresas para realizar os processos essenciais.
Um desastre pode ser o resultado de danos significativos em uma parte das operações, a perda total de uma instalação ou a incapacidade dos funcionários de acessar as instalações, gerado por algum tipo de desastre natural, uma contingência de saúde ou uma greve, por exemplo.
Saiba como é possível desenvolver e aplicar um Plano de Recuperação de Desastres (DRP) em 6 passos:
1. Desenvolva uma política de continuidade de negócio
Todas as atividades devem estar alinhadas com os objetivos de continuidade de negócio, portanto, um ponto de partida pode ser o desenvolvimento de uma política responsável por estabelecer a estrutura de operação dos planos, bem como a classificação dos sistemas ou aplicativos para identificar aqueles que são considerados críticos.
2. Realize uma avaliação dos riscos
A realização de uma avaliação de riscos permite identificar, analisar e avaliar as ameaças que podem afetar a uma empresa, especialmente aquelas que podem causar um desastre.
3. Realize uma análise de impacto nos negócios (Business Impact Analysis - BIA)
Nesta etapa, os objetivos de recuperação são definidos principalmente para os sistemas que suportam os processos da empresa. Dessa forma, define-se o Objetivo do Tempo de Recuperação (Recovery Time Objective – RTO), que é o período permitido para a recuperação de uma função ou recurso comercial a um nível aceitável após um desastre, e o Objetivo do Ponto de Recuperação (Recovery Objective Point - RPO), que descreve o ponto máximo para a restauração dos dados, com base nos requisitos da empresa.
4. Desenvolva estratégias de recuperação e continuidade de negócios
Esta etapa procura esclarecer todas as medidas que devem ser implementadas para retornar ao funcionamento o mais rápido possível, com base em uma priorização derivada da classificação do primeiro ponto.
5. Conscientizem capacite e teste os planos
Um elemento necessário em relação aos planos é fazer sua divulgação entre os membros da empresa, especialmente entre aqueles que serão responsáveis por executá-los, se necessário. Além disso, é preciso testar os planos. Para isso, você pode fazer uso de diferentes opções, desde uma revisão da lista de verificação (checklist) de recuperação até um teste de interrupção completa (full interruption test), onde as operações são interrompidas no lugar primário e transferidas para um lugar de recuperação.
6. Mantenha e melhore o Plano de Recuperação de Desastres
Com base nos resultados do teste dos planos, devem ser feitos os ajustes correspondentes para contar com uma documentação atualizada e apropriada aos interesses da empresa. Isso deve ser feito após a identificação das situações de desastre que podem afetar o negócio, as atividades e os recursos necessários para restaurar as operações críticas.
Em geral, as empresas que desenvolvem os planos de recuperação devem considerar os recursos à sua disposição, os serviços previamente identificados que desejam recuperar o mais rapidamente possível, bem como os tipos e a gravidade das ameaças que podem ser um problema de maior magnitude para a empresa.
Outro elemento necessário é a propensão ao risco da empresa, uma vez que dependerá também dos esforços e recursos alocados para o desenvolvimento e a aplicação do DRP.
Contar com um Plano de Recuperação de Desastres faz com que as empresas possam responder de maneira planejada a uma catástrofe, minimizando o seu impacto contra os objetivos e a missão do negócio de forma proativa.