Parte 1 – Elaborando um Plano para a Recuperação de Desastres

novembro de 2021

Autor: Igor Humberto Monte Marques

Não importa o segmento da empresa, atualmente todas dependem de alguma forma de serviços de TI, seja para processar a folha de pagamento, seja para fazer o controle de estoque, seja para fazer o controle de contas a pagar/receber, entre diversas outras funções, sendo assim uma preocupação bastante comum para todo administrador de redes é a integridade e a proteção das informações, ou seja, mais precisamente, uma preocupação com o backup dos dados.  

Dependendo do segmento da empresa, outra preocupação importante também está naquilo que tange a continuidade dos negócios também, nesse sentido existem uma série de tecnologias que visam garantir esses pontos e assim, permitir que o administrador tenha um sono tranquilo. 

Cenário atual 

O que normalmente vejo nas empresas que visito diariamente se divide nos seguintes pontos: 

  • Não se preocupam com a perda de dados 
  • Acreditam que estão protegidas contra um desastre 
  • Efetivamente conseguem proteger as suas informações 

Infelizmente, uma boa parte das empresas se enquadra na lista daquelas que não se preocupam com a perda de dados, na verdade só passam a se preocupar quando passam por algum tipo de incidente, onde um desastre natural ou não acaba com os dados da empresa. Adicionalmente, existem aqueles incidentes onde o problema não é necessariamente a perda de dados, mas a continuidade dos negócios, isso ocorre quando algum servidor que hospeda algum serviço importante sai do ar e dessa forma indisponibiliza um serviço importante para o negócio da empresa, como por exemplo um um sistema ERP. 

Em um cenário assim, o servidor com o banco de dados pode até estar operacional, ou seja, não há perda de dados, mas se o servidor web que disponibiliza a aplicação para os usuários não estiver funcionando, a experiência para o usuário final é a de que a solução não está operacional. 

Elaborando a Estratégia para a Recuperação de Desastres 

Pensando nos desafios expostos anteriormente, como administrador do ambiente você precisa elaborar um plano para o caso o pior venha a acontecer um dia. 

Nesse sentido, existem algumas perguntas que você deve fazer, cujas respostas você deve considerar ao elaborar esse plano, são elas: 

  • Quanto de informação você pode perder caso algum problema aconteça? 
  • Por quanto tempo a empresa pode permanecer com o sistema inoperante? 

Essas perguntas possuem um escopo bem macro, uma vez que a empresa pode possuir diversos sistemas e cada um deles com níveis de criticidade diferentes para o negócio, sendo assim eu costumo indicar aos meus clientes que façam uma entrevista com os setores da empresa, por exemplo, vamos supor que você tenha que fazer as perguntas que irei apresentar para os setores Financeiro e RH da empresa, o cenário ficaria mais ou menos assim: 

Departamento Financeiro: 

Quanto de informação o setor pode perder caso um incidente aconteça? 

Todos os dias, existem novas petições sendo geradas no setor e é possível perder no máximo 5 horas de trabalho. 

Caso algum incidente aconteça, por quanto tempo o setor pode esperar até que possamos nos recuperar do problema? 

Podemos aguardar por 48 horas para que os sistemas sejam reestabelecidos. 

Por quanto tempo os dados precisam ser retidos? 

Para atender a algumas obrigações legais, precisamos guardar os dados por um período de 5 anos. 

Departamento de RH: 

Quanto de informação o setor pode perder caso um incidente aconteça? 

O ideal é que não se perca nada, mas como em nosso trabalho registramos os dados em sistemas de nossos fornecedores (Vale-refeição, Vale-Transporte, etc.), podemos ficar até 3 dias sem acesso aos sistemas. 

Caso algum incidente aconteça, por quanto tempo o setor pode esperar até que possamos nos recuperar do problema? 

A rotina pode ser registrada em papel até que os sistemas se reestabeleçam, podemos aguardar até 48 horas. 

Por quanto tempo os dados precisam ser retidos? 

Em função de obrigações legais, precisamos reter os dados por 10 anos. 

Nos exemplos expostos, ficou claro que os setores da empresa podem ter necessidades de proteção diferentes e assim não podem ser tratados com igualdade, com base nessas respostas, você pode começar a elaborar a sua estratégia, mas quando pessoas dos setores não sabem responder, isso é mais comum do que imagina. Nesses casos, o departamento de TI precisa definir uma estratégia e assim informar para aos setores quais definições foram praticadas, ou seja, estipular que a perda de dados será de 24 horas, que os dados podem ser recuperados também em até 24 horas e que os dados serão retidos por até um 1 ano. 

Essa última alternativa é a mais comum de todas, ou seja, o departamento de TI faz o backup dos dados, de acordo com critérios próprios e nesses casos, sempre que existe a necessidade de fazer alguma recuperação, divergências sempre acabam acontecendo e a razão é simples: Os setores sabem que o departamento de TI faz o backup, apesar disso, como este departamento nunca alinhou a expectativa de proteção e recuperação dos dados e como os setores demandantes nem sempre entendem de tecnologia, ao fazer uma requisição não conseguem entender que os dados podem não ser recuperados instantaneamente e/ou que os dados não ficam eternamente armazenados.  

Para evitar problemas desse tipo, o departamento de TI deve estar sempre alinhado com as áreas demandantes sobre as expectativas para a recuperação de informações, de forma que as mesmas tenham a real percepção daquilo que acontece quando é necessário recuperar algum dado. 

Agora que você entendeu a importância em se elaborar um plano para recuperação de desastres, vamos expor quais são os pontos que precisam ser levados em consideração para colocá-lo em prártica, do ponto de vista do negócio da empresa, permitir definir como os dados devem ser protegidos. 

O primeiro requisito a levar em consideração é a necessidade de negócio da empresa, pois um erro muito comum dos administradores de redes é o de pensar primeiro em custos com ferramentas, qual é a ferramenta melhor, etc, mas não estimam a importância das necessidades de negócio da empresa, é bem provável que sejam feitas escolhas incorretas e assim na hora em que um dado precisar ser recuperado ficará aquela sensação de que o investimento foi realizado, mas que a tecnologia não funciona.  

Nesses casos, o problema está na falha no alinhamento da expectativa e do entendimento das necessidades de negócio da empresa, pois existem dois pontos importantes que você deve considerar para começar a elaborar o seu plano, são eles: 

  • RPO (Recovery Point Objective): Define o quanto de informação pode ser perdido quando algum tipo de desastre acontece. 
  • RTO (Recovery Time Objective): Determina a quantidade de tempo que é possível aguardar o processo de recuperação, sem causar grande impacto para o negócio. 

Depois de encontrar as respostas para essas duas perguntas, fica mais fácil definir quais tecnologias de proteção podem ser usadas, por exemplo, se o volume de informações for muito grande e você sempre precisar de um RTO baixo (2 horas, por exemplo), uma solução de proteção baseada somente em nuvem, pode não ser a melhor alternativa, porque o tempo de download dos dados pode não atender ao RTO estabelecido. 

Nesse artigo você teve a oportunidade de entender que fazer o backup de dados toca em um aspecto bastante importante do processo de gestão de um ambiente de TI. Aspecto esse que só é lembrado normalmente, quando algum problema acontece, ou seja, somente na hora em que o incidente acontece que é possível valorizar um bom Plano para Recuperação de Desastres. 

Além disso, você entendeu que não adianta o departamento de TI de forma independente, resolver definir esse plano, se as áreas que serão demandantes desse tipo de recurso não tiverem as expectativas de recuperação alinhadas, certamente o departamento de TI será cobrado por níveis de proteção não previstos onde por exemplo, o departamento pode fazer a retenção dos dados por apenas 1 mês e há setores que precisam desses dados protegidos por 1 ano, e/ou, de casos onde o tempo para recuperar os dados é alto (3 dias), mas o setor demandante precisa dos dados em, no máximo, 5 horas. 

Na segunda parte desse artigo, você irá começar a conhecer quais são as tecnologias que irão lhe ajudar na definição da melhor estratégia de recuperação a seguir e dessa forma, garantir que um desastre lhe causará apenas um susto, mas que com um planejamento bem realizado, permitirá que a empresa possa retomar às atividades em pouco tempo. 


Compartilhe nas redes sociais Compartilhe nas redes.