Necessidade de testes e atualizações regulares dos planos e processos de Disaster Recovery Planning.

Por: Max Gorissen

Falar de Disaster Recovery Planning (DRP), pressupõe já ter um plano de Segurança da Informação, pois este faz parte do mesmo.

Um plano de Segurança da Informação nada mais é do que um plano desenvolvido com base em uma análise detalhada da operação da empresa e da sua segurança e é constituído por duas análises; do risco e do impacto no negócio e de dois planos; o de desastre e o de continuidade.

Para que esse plano seja realista e na hora H sirva para alguma coisa, deve ser estruturado e desenvolvido considerando cinco fases distintas que costumo chamar de: inspeção, prevenção, detecção, reação e reflexão.

Inspeção é a avaliação das necessidades de segurança da organização e seu nível atual de preparação;
Prevenção são as ações pro ativas e preventivas de redução de risco para evitar uma possível interrupção do negócio;
Detecção é o momento em que ocorre o risco. É o indicador de reação para minimizar imediatamente as perdas ocorridas com um incidente ou com a interrupção do negócio;
Reação é o plano emergencial a ser implantado quando o incidente de segurança ocorra. Também chamado de DRP – Disaster Recovery Planning;
Reflexão é a avaliação e análise post-mortem e o conjunto de modificação no plano com base nas lições aprendidas.

Em poucas palavras, posso dizer que o DPR só é utilizado se todas as ações de prevenção não funcionaram e algo deve ser feito de imediato para minimizar a interrupção das atividades do negócio.

Utilizando uma definição mais elaborada, o objetivo do DRP é: não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso.

O DPR é um plano ou processo de contingência e para seu desenvolvimento deve-se levar em conta algumas premissas:

  1. Entender os riscos a que a organização está exposta, no que diz respeito à sua probabilidade e impacto no tempo, incluindo a identificação e priorização dos processos críticos do negócio;
  2. Identificar todos os ativos envolvidos em processos críticos de negócio;
  3. Entender o impacto que incidentes de segurança da informação provavelmente terão sobre os negócios e sobre o processamento da informação;
  4. Considerar a contratação de seguro compatível que possa ser parte integrante do processo de continuidade do negócio, bem como a parte de gestão de risco operacional;
  5. Identificar e considerar a implementação de controles preventivos e de mitigação;
  6. Identificar os recursos financeiros, organizacionais, técnicos e ambientais suficientes para atender aos requisitos de segurança da informação;
  7. Garantir a segurança de pessoal e a proteção dos recursos de processamento das informações e dos bens organizacionais;
  8. Detalhar e documentar os planos de continuidade do negócio que contemplem os requisitos de segurança da informação alinhados com a estratégia atual do negócio;
  9. Testar e atualizar constantemente os planos e processos implantados;
  10. Garantir que a gestão da continuidade do negócio esteja incorporada aos processos e estruturas da organização.

Desta lista, motivo do título, gostaria de destaca a importância do “testar e atualizar constantemente os planos e processos implantados” que, infelizmente, é esquecido na maioria das organizações.

Não vou entrar no mérito mas, podemos afirmar, que isso ocorre por diversos motivos, como por exemplo: é trabalhoso, toma muito tempo, falta recursos humanos parar se dedicar, não preparamos os controles necessários, a auditoria ainda vai demorar a voltar, outras prioridades operacionais, etc.

Apesar destas desculpas, é de suma importância o teste e a atualização dos planos já que, caso não sejam realizados, a recuperação do desastre pode não ser efetiva e todo este trabalho ter sido feito em vão.

Se você não consegue fazer o teste e a atualização do plano com a devida frequência usando recursos internos, contrate alguém que o faça, mas não deixe de realizá-lo.

Seu negócio depende disto.


Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

w

Connecting to %s