É comum sabermos que milhares de pessoas ficaram sem água, energia elétrica, sem utilizar algum software público ou privado, que empresas tiveram seus dados vazados, ou perderam dados e diversos outros que eu poderia citar como exemplo. Como integrantes de uma pessoa jurídica e da TI também estamos suscetíveis a algum tipo desastre, de inúmeros tipos e níveis, naturais ou não.
E enquanto os executivos de negócios podem pensar que estão seguros com base em sua localização geográfica, é importante lembrar que as ameaças do dia a dia podem destruir dados e arruinar um negócio. É por isso que é fundamental para todas as empresas terem um plano de recuperação de desastres (DR). O importante é estar preparado.
No entanto, nem todos os planos DR são criados iguais. Para garantir que seus sistemas, dados e pessoal sejam protegidos e sua empresa possa continuar a operar no caso de uma emergência ou desastre real, use as seguintes diretrizes para criar um plano de desastre que o ajude a recuperar rapidamente:
1. Inventarie hardware e software.
Seu plano de DR deve incluir um inventário completo de aplicativos e hardware e em ordem de prioridade. Cada aplicativo e peça de hardware deve ter informações sobre o contrato de suporte técnico do fornecedor e números de contato, para que você possa voltar a funcionar rapidamente.
2. Defina sua tolerância para o tempo de inatividade e perda de dados.
Este é o ponto de partida do seu planejamento. Se você é um mecânico, você provavelmente pode estar no negócio sem servidores ou tecnologia por um tempo. Mas se você é um ecommerce ou uma indústria, você não pode ficar offline por mais de segundos. Descobrir onde você está nesse espectro determinará o tipo de solução que você precisará recuperar de um desastre.
Avalie os níveis aceitáveis do Recovery Point Objective (RPO) e o Recovery Time Objective (RTO) para cada conjunto de aplicativos. Em uma situação ideal, cada aplicação teria um RPO e RTO de apenas alguns milissegundos, mas isso geralmente não é tecnicamente nem financeiramente viável. Ao identificar corretamente essas duas métricas, a empresa pode priorizar o que é necessário para sobreviver com sucesso a um desastre, garantir um nível de recuperação de desastres com custo efetivo e reduzir o risco potencial de calcular mal o que eles podem recuperar durante um desastre.
Ao colocar seu plano de recuperação de desastres por escrito, divida seus aplicativos e hardware em três níveis:
Nível 1 deve incluir os aplicativos que você precisa imediatamente. Estes são os aplicativos de missão crítica que você não pode fazer negócios sem eles.
O Nível 2 cobre os aplicativos que você precisa dentro de oito a 10 horas, ou até 24 horas. Eles são essenciais, mas você não precisa deles imediatamente.
As aplicações de nível 3 podem ser recuperadas confortavelmente dentro de alguns dias.
Definir quais aplicativos são mais importantes ajudará a velocidade e o sucesso da recuperação. Mas o mais importante é testar o plano pelo menos duas vezes por ano. Os níveis podem mudar com base nos resultados, o que pode revelar lacunas desconhecidas para preencher antes de um verdadeiro desastre.
3. Defina e divulgue quem é responsável pelo que e identifique pessoal de backup.
Todos os planos de recuperação de desastres devem definir claramente os principais papéis, responsabilidades e partes envolvidas durante um evento DR. Entre essas responsabilidades deve se ter a decisão de quem declara um desastre. Ter papéis claramente identificados obterá uma compreensão universal sobre quais tarefas precisam ser completadas e quem é responsável pelo que. Isso é especialmente crítico quando se trabalha com vendedores ou fornecedores externos. Todas as partes envolvidas devem estar conscientes das responsabilidades de cada uma delas, a fim de garantir que o processo DR seja tão eficiente quanto possível.
Tenha planos para toda a equipe, desde executivos de C-level até o nível mais baixo, e certifique-se de que eles entendam o processo, e o que se espera deles. Isso faz com que todos se prontifiquem rapidamente.
Os protocolos para um plano de recuperação de desastres (DR) devem incluir quem e como entrar em contato com os indivíduos apropriados na equipe de DR e em que ordem, para que os sistemas funcionem o mais rápido possível. Uma última consideração é ter um plano de sucessão no lugar com funcionários treinados de apoio, caso um membro da equipe chave esteja de férias ou em um lugar onde eles não podem fazer sua parte.
4. Crie um plano de comunicação.
Talvez um dos componentes mais negligenciados de um plano de recuperação de desastres esteja sendo um bom plano de comunicação. No caso de um desastre, como você vai se comunicar com seus funcionários? Os seus funcionários sabem como acessar os sistemas que eles precisam para desempenhar seus deveres de trabalho durante um evento DR?
Muitas vezes, as principais plataformas de comunicação (telefone e e-mail) podem ser afetadas e métodos alternativos de contato com seus funcionários serão necessários. Um bom plano de comunicação dará conta das comunicações iniciais no início de uma catástrofe, bem como atualizações contínuas para manter a equipe informada ao longo do evento.
A comunicação é fundamental quando se responde e se recupera de qualquer emergência, evento de crise ou desastre. Portanto, ter uma estratégia de comunicação clara é essencial. São necessários métodos eficazes e confiáveis para se comunicar com funcionários, fornecedores e clientes em tempo hábil, além da notificação inicial de uma emergência. Ter um processo escrito no lugar de referência garante uma ação eficiente pós-desastre e alinhamento entre organizações, funcionários e parceiros.
Um plano de recuperação de desastres deve incluir uma declaração que pode ser publicada no site da sua empresa e plataformas de redes sociais em caso de emergência. E esteja preparado para dar aos seus clientes atualizações de status oportunas sobre o que eles podem esperar do seu negócio e quando. Se seus clientes entenderem que você está ciente da situação, você está devidamente preparado e trabalhando para cuidar dele em tempo hábil, eles vão se sentir muito melhor.
5. Deixe os funcionários saberem onde ir em caso de emergência e ter um local de trabalho de backup.
Muitas empresas pensam que o plano DR é apenas para seus sistemas de tecnologia, mas eles não percebem que as pessoas, ou seja, seus funcionários, também precisam ter um plano de local de trabalho de backup. Tenha um site alternativo em mente se o seu escritório principal não estiver disponível. Certifique-se de que sua equipe saiba para onde ir, onde se sentar e como acessar os sistemas desse site. Forneça um mapa para o site alternativo e certifique-se de ter atribuições de assentos lá.
No caso de um desastre, sua equipe precisará de um local operacional para trabalhar, com o equipamento certo, espaço e comunicação. Isso pode significar que o trabalho remoto e outras estratégias alternativas precisam ser planejadas no caso de um desastre regional causar cortes de energia em grandes áreas geográficas. Certifique-se de observar os requisitos de conformidade e o espaço de trabalho dedicado por contrato onde pessoal e dados podem permanecer privados. E não contrate 50 lugares se você realmente precisar de 200 para atender seus requisitos de recuperação.
6. Certifique-se de que seus acordos de nível de serviço (SLAs) incluem desastres / emergências.
Se você terceirizou sua tecnologia para uma empresa de TI terceirizada, ou armazene seus sistemas em um datacenter, certifique-se de ter um acordo com eles que defina seu nível de serviço em caso de desastre. Isso ajudará a garantir que eles comecem a trabalhar na resolução de seu problema dentro de um horário especificado. Alguns acordos podem até discutir o prazo para obter sistemas de backup.
7. Incluir como lidar com informações confidenciais.
Definir procedimentos operacionais e técnicos para garantir a proteção de informações confidenciais é um componente crítico de um plano DR. Estes procedimentos devem abordar como informações sensíveis serão mantidas e acessadas quando um plano DR foi ativado.
8. Teste seu plano regularmente.
Se você não está testando seu processo DR, você não possui um. O seu hardware de backup pode ter falhado, sua cadeia de suprimentos pode confiar em alguém incapaz de lidar com o desastre, sua conexão com a Internet pode ser muito lenta para restaurar seus dados na quantidade esperada de tempo, o empregado chave da DR pode ter mudado o número de telefone. Há muitas coisas que podem quebrar um plano perfeito. A única maneira de encontrá-los é testá-lo quando você pode se dar ao luxo de falhar.
O seu plano deve incluir detalhes sobre como o seu ambiente DR será testado, incluindo o método e a frequência dos testes. Uma pesquisa de continuidade de 900 administradores de TI descobriu que menos de 40% das empresas testaram seu DR com mais freqüência do que uma vez por ano e 36% não testaram.
A falta de testes frequentes provavelmente resultarão em ambientes DR que não funcionam conforme necessário durante um desastre. Seu plano deve definir o Recovery Time Objective (RTO) e o Recovery Point Objective (RPO) e validar se eles podem ser alcançados. Felizmente, existe agora tecnologia de garantia de recuperação que é capaz de automatizar os testes de DR sem interromper os sistemas de produção e pode certificar que os objetivos de RTO e RPO estão sendo atendidos em 100% na recuperação de desastres mesmo para aplicações complexas.
Também tenha em mente que quando se trata de recuperação de desastres, você é tão bom quanto seu último teste. Um cronograma de testes é a parte mais importante de qualquer plano DR. Compare suas métricas RTO e RPO definidas com os resultados testados para determinar a eficácia do seu plano. Quanto mais abrangente o teste, mais bem sucedida será sua recuperação. Testamos nossos geradores diariamente para garantir sua função. Lembre-se sempre que falhar em um teste não é uma coisa ruim. É melhor encontrar esses problemas antecipadamente do que encontrá-los durante uma crise. Decida o que precisa ser modificado e teste até que você seja bem-sucedido.
E não se esqueça de testar seus funcionários. Os funcionários que estão envolvidos precisam entender bem o plano e serem capazes de executar todas as tarefas que são atribuídas sem problemas. A execução de desastres e paradas simuladas ajudam a garantir que sua equipe possa executar o plano quando ocorre um evento real.
Saiba mais e conheça sobre nossa consultoria e ferramenta de DRaaS em http://www.getti.net.br/contato