As iniciativas de recuperação de desastres tecnológicos (DR) fornecem estratégias e procedimentos que podem ajudar as organizações a proteger investimentos em sistemas de TI e infraestrutura.A missão essencial para a recuperação de desastres é retornar operações de TI a um nível aceitável de desempenho o mais rápido possível após um evento disruptivo.O desenvolvimento e a rápida aceitação de tecnologias baseadas em nuvem aprimoraram bastante o processo de TI DR.
Um plano de recuperação de desastres tem uma estrutura consistente, o que facilita a organização e a condução da atividade de desenvolvimento.Vamos examinar o fluxo de um programa.
Figure 1 is adapted from International Standard ISO 27031:2011, developed by the International Organisation for Standardisation (ISO), Information technology – security techniques – guidelines for information and communications technology readiness for business continuity.Ele usa o modelo Plan-Do-check-ACT presente nos padrões ISO atuais.
Como pode ser visto na Figura 1 abaixo, o processo de recuperação de desastres de TI (também chamado de tecnologia de informação e comunicação/continuidade da TIC) tem um fluxo de processo padrão, com base no modelo ISO Plan-Do-check-ACT.
As análises de impacto nos negócios (BIA) são normalmente conduzidas antes de uma avaliação de risco para identificar as funções comerciais mais importantes e os sistemas e ativos de TI que os apoiam.
Em seguida, a avaliação de risco (AR) examina as ameaças e vulnerabilidades internas e externas que podem afetar negativamente os ativos de TI.Disponibilidade de serviços baseados em nuvem, que normalmente estão localizados em outro lugar fora do controle de um departamento de TI, ressalta a importância de realizar essas duas atividades analíticas.
Uma vez que os sistemas críticos, funções e riscos críticos de negócios associados a cada um, o próximo passo é definir estratégias para mitigar os riscos e ameaças a esses ativos críticos.
Dois exemplos de tais estratégias podem ser contratar para armazenamento fora do local de dados e sistemas críticos usando uma empresa de serviços em nuvem de terceiros, como a Amazon Web Services (AWS) ou o Microsoft Azure, e para obter ativos críticos de TI, como servidores e roteadoresde vários fornecedores.
Os planos de DR fornecem um processo passo a passo para responder a um evento disruptivo-conforme identificado na avaliação de risco.As etapas de resposta são projetadas para fornecer um processo fácil de usar e repetível para recuperar os ativos danificados de TI e devolvê-los à operação normal o mais rápido possível.Isso apresenta um desafio interessante com serviços baseados em nuvem, pois o departamento de TI praticamente não tem controle prático dos serviços prestados e deve ser especialmente proativo ao avaliar-e subsequentemente gerenciando-um provedor de serviços em nuvem.
Os exercícios ajudam a determinar se os procedimentos de recuperação de desastres funcionam como pretendido.Uma variedade de exercícios pode ser realizada, variando de uma revisão de mesa (geralmente em uma sala de conferências) de planos e seus procedimentos de recuperação associados, a um exercício de "puxar o plug" em grande escala que examina o que acontece quando o sistema real falha.
Em um ambiente em nuvem, o provedor de serviços DR pode oferecer sua própria versão do exercício DR, e é importante examinar o que pode ser feito antes de contratar um serviço em nuvem.É especialmente importante descobrir quais recursos o fornecedor usará, quantos dados de desempenho do exercício podem ser fornecidos e quão ativamente os usuários podem ser durante um exercício.
A manutenção do plano garante que seja estabelecido um processo que acomoda o gerenciamento de mudanças, as mudanças no pessoal e outras situações que podem afetar o conteúdo e a eficácia do plano.A manutenção garante que os planos sejam adequados para propósito e alinhados com o pessoal atual e operações comerciais.
Os provedores de serviços de serviços de DR baseados em nuvem podem oferecer tipos semelhantes de serviços aos clientes e podem oferecer flexibilidade durante as atividades de desenvolvimento e manutenção do plano.É muito importante investigar cuidadosamente todos os serviços disponíveis em um provedor de nuvem e comparar os custos de gerenciamento de terceiros versus gerenciamento de usuários.
Padrões para viés e Ras
O ISO tem um padrão para realizar uma análise de impacto nos negócios que fornece diretrizes úteis para planejar e executar uma BIA. It is called ISO 22317:2015, Societal security – business continuity management systems – business impact analysis. When conducting a risk assessment, a useful standard is available from the US National Institute for Standards and Technology (NIST). The standard is NIST SP 800-30 (2012), Guide for conducting risk assessments.
Análise de Impacto de Negócios (BIA)
A etapa analítica inicial é a análise de impacto dos negócios, que identifica os processos de negócios mais importantes (missionários críticos) e apoiando ativos de TI.
O BIA ajuda a identificar consequências adicionais para uma organização se as principais funções comerciais forem interrompidas, incluindo perda de clientes, desempenho financeiro ruim, danos à reputação e impactos para funcionários e cadeias de fornecimento.Uma vez que as atividades comerciais mais importantes e os sistemas e dados que os suportam são identificados, o próximo passo é a análise de risco.
Uma BIA usa uma série de perguntas apresentadas a líderes e especialistas no assunto em cada unidade operacional da empresa, incluindo isso.As perguntas devem abordar os seguintes problemas, no mínimo:
Os resultados da BIA apresentam uma imagem clara dos impactos reais nos negócios, em termos de possíveis problemas e custos prováveis.Os resultados da BIA ajudam a determinar quais áreas requerem proteção, a quantidade de tolerância aos negócios a interrupções, os níveis mínimos de serviço de TI necessários para os negócios e a quantidade máxima tolerável dele antes que o negócio comece a falhar.
Avaliação de risco (RA)
O mundo de TI normalmente se concentra em um ou mais dos seguintes cenários de risco, cuja perda certamente teria um impacto negativo na capacidade da organização de conduzir negócios:
A disponibilidade de serviços baseados em nuvem significa que a perda de controle é um risco definitivo para departamentos de TI.O planejamento e gerenciamento do DR no local podem ser gerenciados de ponta a ponta.Mas com a nuvem, o controle de muitas funções adia para o terceiro.A liderança de TI deve decidir se vale a pena usar o risco inerente ao uso da nuvem.
Avaliações de risco identificam e analisam riscos, ameaças e vulnerabilidades que podem levar aos resultados acima.Embora muitas maneiras de executar uma análise de risco estejam disponíveis, a Tabela 1 fornece uma abordagem simples que pode ser facilmente implementada.O desafio é validar premissas de fator de risco com liderança sênior.
A Tabela 1 fornece exemplos realistas de eventos de risco no local e na nuvem.Com base na experiência e nas estatísticas disponíveis, como companhias de seguros ou dados atuariais, é possível estimar a probabilidade de eventos específicos que ocorrem em uma escala de 0 a 1 (0.0 = nunca ocorrerá e 1.0 = sempre ocorrerá).Então faça o mesmo com o impacto do evento, usando uma faixa de 0 a 1 (0.0 = nenhum impacto e 1.0 = perda total de operações).A última coluna lista o produto da probabilidade multiplicado pelo impacto.Isso se torna um "fator de peso de risco".Situações com os mais altos fatores de peso de risco se tornam os eventos a serem abordados pelos planos do DR.
Os tratamentos de risco incluem o seguinte:
A relação entre bia e ra
Quando a análise de impacto dos negócios e a avaliação de risco foram concluídos, a próxima etapa é correlacionar os dados de cada atividade em uma tabela (ou outro formato) que apresenta os riscos críticos e os impactos dos negócios causados pelos riscos que ocorrem.
A tabela a seguir também inclui o objetivo do tempo de recuperação (RTO), uma métrica desenvolvida a partir da BIA que indica quanto tempo um sistema/processo pode estar indisponível antes que a organização não consiga funcionar normalmente.A Tabela 2 mostra uma maneira de mapear as descobertas da BIA e RA em um relatório para a alta gerência.
Resumo
Análises de impacto nos negócios e avaliações de risco são atividades -chave associadas à criação e gerenciamento de programas de recuperação de desastres tecnológicos.A disponibilidade de serviços baseados em nuvem apresenta novas variações nas análises tradicionais baseadas em datacentre.Uma compreensão clara de TI riscos, especialmente em relação aos serviços em nuvem, e sua relação com as operações comerciais é essencial ao desenvolver um plano de recuperação de desastres.
