Qualquer que seja a forma que uma catástrofe assuma, a melhor maneira de lidar com ela é estar preparado, recorrendo a um plano de Recuperação de Catástrofes bem pensado. Ficar frio e calmo sob pressão é muito mais fácil quando se tem alguém (ou coisa) para o guiar através de uma situação má. As catástrofes assumem muitas formas, desde catástrofes naturais a ciberataques e acidentes.
Os ciberataques, como os resgates, podem ser desastrosos para uma empresa, interrompendo muitas vezes o trabalho por completo. O impacto da perda acidental de documentos ou de uma violação maliciosa da segurança pode ser grave, incluindo perda de reputação, multas regulamentares, e inactividade do sistema e da empresa. A criação de um plano de continuidade empresarial accionável dá a uma organização a melhor oportunidade possível de minimizar qualquer impacto de um desastre como uma inundação, incêndio, ou ataque cibernético e reduzir o tempo de recuperação.
Aqui está o nosso guia sobre o que é um plano de Recuperação de Catástrofes e como escrevê-lo.
O que é um Plano de Recuperação de Catástrofes?
No Guia de Boleia da Galáxia, a Enciclopédia Galáctica começa com as palavras "Não entre em pânico". Um plano eficaz de Recuperação de Catástrofes (DR) não precisa de ter essas palavras embelezadas na sua capa porque é um guia fundamentado para lidar com uma catástrofe. Um plano DR é um guia de instruções documentado de uma organização para responder a incidentes, incluindo desastres naturais, tais como inundações, cortes de energia, ciberataques, perda de dados, e assim por diante. O plano apresenta uma série de estratégias que ajudam a minimizar o impacto de uma catástrofe; o objectivo é manter as operações comerciais e retomar o trabalho o mais rapidamente possível.
Porque precisa de escrever um Plano de Recuperação de Catástrofes?
Coisas más acontecem e muitas vezes sem aviso prévio, resultando numa perturbação generalizada. As tempestades de 2015-2016 no Reino Unido, por exemplo, resultaram num impacto económico de 1,6 mil milhões de libras, com as empresas a gastarem mais de 500 milhões de libras nos danos causados pelas cheias. Os ciberataques são também um desastre à espera de acontecer: em 2020, 65% das empresas de média dimensão sofreram um ciberataque, de acordo com um inquérito DCMS de 2021. As ameaças internas também podem ser desastrosas, com custos crescentes, segundo o The Ponemon Institute: nos últimos 12 meses, o custo médio anual de uma quebra de informação privilegiada aumentou em 31%, para 11,45 milhões de dólares (£8,27 milhões).
As catástrofes são muitas vezes inevitáveis, mas podem ser geridas para minimizar o seu impacto - é aqui que entra o plano de Recuperação de Catástrofes. Um plano de Recuperação de Catástrofes foi concebido para o efeito:
- Limitar o impacto do desastre no negócio
- Minimizar o impacto nos processos e operações comerciais
- Minimizar qualquer dano físico ou ciberdano
- Reduzir os custos associados com a catástrofe
- Formar pessoal, vendedores e partes interessadas nos processos identificados para mitigar as catástrofes
- Identificar formas de trabalhar enquanto a catástrofe está a ser tratada
- Procedimentos de recuperação pós-catástrofe
Como Escrever um Plano de Recuperação de Catástrofes
Os planos de recuperação em caso de catástrofe são tipicamente compostos por cinco componentes-chave:
- Papéis e responsabilidades
- Quais são as áreas de risco?
- Efectuar uma Avaliação de Impacto nas Empresas (BIA)
- Auditoria patrimonial
- Cópias de segurança de dados
Papéis e responsabilidades
Criar uma equipa DR que será responsável pelo desenvolvimento e manutenção do plano DR. Identificar o pessoal-chave envolvido no desempenho das funções envolvidas no tratamento e recuperação de uma catástrofe. Uma divulgação eficaz da informação e canais de comunicação sólidos são essenciais para um plano eficaz de DR. Colocar os detalhes do pessoal, incluindo informações de contacto e contactos de apoio, num registo facilmente acessível no plano de DR. Esta será a sua lista principal de contactos. Deverá também criar uma equipa de contactos de apoio.
Todos os funcionários devem ser informados sobre o plano DR e quem é responsável pela execução do plano em caso de catástrofe. Isto fará parte de um programa de formação mais amplo em planeamento de catástrofes, para que todos os funcionários compreendam o que acontece no caso de uma catástrofe.
Quais são as áreas de risco?
Definir as áreas de risco associadas a uma catástrofe. Isto tipicamente decompõe as catástrofes em tipos, por exemplo, naturais, criadas pelo homem, relacionadas com a tecnologia. Cada tipo de desastre teria tipicamente as suas próprias estratégias de mitigação. Descrever quais são estas estratégias de mitigação e como cada uma delas é implementada.
Efectuar uma Avaliação de Impacto nas Empresas (BIA)
A gestão eficaz de uma catástrofe exige a definição de prioridades. Uma Avaliação de Impacto nas Empresas (BIA) analisa os tipos de actividades empresariais e mapeia-os para níveis de risco em termos de quão críticos são para a continuação das operações da empresa. Isto é mapeado em função dos requisitos de recursos das operações comerciais críticas que são necessárias para assegurar a resiliência e continuidade operacionais quando o negócio é perturbado. Em termos de planeamento de desastres, um plano de Recuperação de Catástrofes centrar-se-ia tipicamente em áreas-chave de negócio, tais como geração de receitas e salários. O objectivo, no entanto, é conseguir que as operações estejam completas e a funcionar o mais rapidamente possível.
Auditoria patrimonial
Como parte de uma avaliação de impacto mais ampla, o plano DR deverá fornecer uma auditoria das aplicações, documentos, hardware, etc., mais impactantes e da sua criticidade às operações comerciais. Este é um processo contínuo, uma vez que estes itens podem mudar rapidamente.
Cópias de segurança
Ter cópias de segurança de dados de documentos chave e sensíveis é uma segurança contra falhas. Documentos que são essenciais para uma empresa podem ser perdidos ou danificados num desastre ou encriptados em ataques de resgates. Assegure-se de que a sua política inclui uma estratégia de backup e recuperação que abrange a seguinte lista de verificação:
- Quem é responsável pelas cópias de segurança dos dados?
- O que salvar e com que frequência fazer backups
- Como salvá-lo (tipo de sistema de salvaguarda utilizado - isto é especialmente importante para a resistência ao resgate)
- Como testar o sistema de backup e com que frequência testar
- Como recuperar dos backups
É também importante lembrar que um plano de Recuperação de Dados é um documento vivo que deve ser actualizado regularmente. A criação de um plano DR robusto é um processo intensivo que mergulha nas ervas daninhas da sua organização e na forma como irá lidar com o pior cenário possível. Tem muitas partes críticas de negócio e a colaboração com peritos de terceiros deve ser considerada para assegurar um plano de melhor adaptação.
O Seu Plano de Recuperação de Catástrofes está pronto?
Cada plano de Recuperação de Catástrofes é único para uma organização: um plano de Recuperação de Catástrofes penetra no âmago do negócio de uma organização e na forma como funciona. Mas um plano de Recuperação de Catástrofes tem as pessoas no seu coração. A formação do pessoal sobre a implementação dos princípios de um plano de Recuperação de Catástrofes é vital para assegurar que o plano seja levado a cabo eficazmente. O nosso pessoal é o meio de evitar um desastre, mas é necessário torná-los plenamente conscientes do seu papel para evitar ou minimizar o impacto desse desastre.