Falar de Disaster Recovery Planning (DRP), pressupõe já ter um plano de Segurança da Informação, pois este faz parte do mesmo.
Um plano de Segurança da Informação nada mais é do que um plano desenvolvido com base em uma análise detalhada da operação da empresa e da sua segurança e é constituído por duas análises; do risco e do impacto no negócio e de dois planos; o de desastre e o de continuidade.
Para que esse plano seja realista e na hora H sirva para alguma coisa, deve ser estruturado e desenvolvido considerando cinco fases distintas que costumo chamar de: inspeção, prevenção, detecção, reação e reflexão.
Inspeção é a avaliação das necessidades de segurança da organização e seu nível atual de preparação;
Prevenção são as ações pro ativas e preventivas de redução de risco para evitar uma possível interrupção do negócio;
Detecção é o momento em que ocorre o risco. É o indicador de reação para minimizar imediatamente as perdas ocorridas com um incidente ou com a interrupção do negócio;
Reação é o plano emergencial a ser implantado quando o incidente de segurança ocorra. Também chamado de DRP – Disaster Recovery Planning;
Reflexão é a avaliação e análise post-mortem e o conjunto de modificação no plano com base nas lições aprendidas.
Em poucas palavras, posso dizer que o DPR só é utilizado se todas as ações de prevenção não funcionaram e algo deve ser feito de imediato para minimizar a interrupção das atividades do negócio.
Utilizando uma definição mais elaborada, o objetivo do DRP é: não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso.
O DPR é um plano ou processo de contingência e para seu desenvolvimento deve-se levar em conta algumas premissas:
1) Entender os riscos a que a organização está exposta, no que diz respeito à sua probabilidade e impacto no tempo, incluindo a identificação e priorização dos processos críticos do negócio;
2) Identificar todos os ativos envolvidos em processos críticos de negócio;
3) Entender o impacto que incidentes de segurança da informação provavelmente terão sobre os negócios e sobre o processamento da informação;
4) Considerar a contratação de seguro compatível que possa ser parte integrante do processo de continuidade do negócio, bem como a parte de gestão de risco operacional;
5) Identificar e considerar a implementação de controles preventivos e de mitigação;
6) Identificar os recursos financeiros, organizacionais, técnicos e ambientais suficientes para atender aos requisitos de segurança da informação;
7) Garantir a segurança de pessoal e a proteção dos recursos de processamento das informações e dos bens organizacionais;
8) Detalhar e documentar os planos de continuidade do negócio que contemplem os requisitos de segurança da informação alinhados com a estratégia atual do negócio;
8) Testar e atualizar constantemente os planos e processos implantados;
9) Garantir que a gestão da continuidade do negócio esteja incorporada aos processos e estruturas da organização.
Desta lista, motivo do título, gostaria de destaca a importância do “testar e atualizar constantemente os planos e processos implantados” que, infelizmente, é esquecido na maioria das organizações.
Não vou entrar no mérito mas, podemos afirmar, que isso ocorre por diversos motivos, como por exemplo: é trabalhoso, toma muito tempo, falta recursos humanos parar se dedicar, não preparamos os controles necessários, a auditoria ainda vai demorar a voltar, outras prioridades operacionais, etc.
Apesar destas desculpas, é de suma importância o teste e a atualização dos planos já que, caso não sejam realizados, a recuperação do desastre pode não ser efetiva e todo este trabalho ter sido feito em vão.
Se você não consegue fazer o teste e a atualização do plano com a devida freqüência usando recursos internos, contrate alguém que o faça, mas não deixe de realizá-lo.
Seu negócio depende disto.
No comments:
Post a Comment