Melhores práticas de continuidade de negócios e recuperação de desastres (BCDR) para 2023

A continuidade de negócios (BC), bem como a recuperação de desastres (DR), são práticas de reforço mútuo que ajudam na capacidade de uma organização de continuar as atividades após uma interrupção, interrupção ou crise.

A continuidade dos negócios e a recuperação de desastres (BCDR) são mais proeminentes do que nunca em 2023. Todas as empresas, desde empresas modestas até corporações multinacionais, dependem de tecnologias digitais - tornando o BCDR um negócio obrigatório. Além disso, a pandemia demonstrou precisamente quanto dano uma interrupção inesperada dos negócios pode causar às economias.

No entanto, 14% das empresas não testaram seus planos BCDR em seis meses a três anos, e a pesquisa sugere que poucas são as melhores práticas de continuidade de negócios e recuperação de desastres. Aqui estão as 10 diretrizes que você precisa seguir:

1. Avalie o risco associado a diferentes componentes e realize uma análise de impacto nos negócios (BIA)

A análise de risco e BIA são ferramentas essenciais para organizações encarregadas de criar uma estratégia de BCDR. O ato de identificar riscos e ameaças internas e externas é crucial para a continuidade dos negócios e recuperação de desastres. A pesquisa de risco revela ameaças potenciais e sua probabilidade de ocorrência. Esta avaliação de risco é complementar à BIA, que avalia os possíveis efeitos da interrupção.

Uma BIA inclui análise financeira, mas também leva em consideração os aspectos não fiscais de interrupções imprevistas. Além disso, o BIA determina os serviços de missão crítica que uma empresa deve continuar a realizar após um incidente, bem como os recursos necessários para manter essas funções.

2. Determine QUANDO ativar o BCDR para resultados ideais

Antes de chamar uma situação desagradável de desastre e ativar o plano BCDR, as empresas devem considerar várias variáveis. A duração prevista da interrupção, o impacto da interrupção na organização, o ônus monetário de ativar o plano BCDR e o potencial da estratégia BCDR de causar mais interrupções estão entre as considerações mais importantes.

Ironicamente, o ato de mudar do local principal de uma empresa para um centro secundário e, em seguida, retornar à base principal de operações – após um incidente – pode interromper significativamente os processos. Consequentemente, a liderança da empresa deve avaliar cuidadosamente quando implementar o plano BCDR. Por exemplo, uma organização pode determinar que uma interrupção de seis horas é insuficiente para justificar uma proclamação de desastre.

3. Esteja pronto para defender mudanças e atualizações no BCDR

Desenvolvimentos no cenário de ameaças ou o surgimento de novos empreendimentos comerciais podem obrigar uma empresa a aumentar sua cobertura de BCDR. Esse tem sido o caso frequente em 2022-2023, quando as empresas retornam ao trabalho em escritório e novos riscos surgem.

Se os recursos necessários para a estratégia estendida de BCDR e tecnologias de recuperação não estiverem incluídos em seu orçamento atual, talvez seja necessário buscar financiamento adicional. Uma proposta de investimento deve basear-se no seguinte:

• Desenvolver uma proposta de negócios que destaque as vantagens das competências aprimoradas de BCDR
• Decidir se a estratégia atualizada de BCDR terá impacto em outros domínios, como a segurança cibernética.
• Obtenção de financiamento, incluindo avaliação de produtos e serviços
• Criar um pedido de aquisição com documentação adequada

Lembre-se de que você deve estabelecer um equilíbrio entre a despesa de BCDR e as consequências econômicas projetadas de um cenário de desastre específico. Você não quer inventar uma solução 10 vezes mais cara que a crise em si.

4. Teste os planos de continuidade de negócios e recuperação de desastres para quaisquer brechas

Treinamento de mesa, instruções passo a passo planejadas, bem como simulações são formatos de teste comuns. Normalmente, as equipes de teste consistem no supervisor de recuperação e representantes de cada grupo funcional. Normalmente, um exercício de mesa é realizado em uma sala de conferências, com a equipe examinando o plano em busca de falhas e garantindo que todas as divisões da empresa sejam representadas.

Em um walk-through planejado, cada membro da equipe examina extensivamente seus componentes de plano designados para identificar pontos fracos. Freqüentemente, a equipe realiza a tarefa com uma catástrofe específica em mente. Algumas organizações incorporam a encenação de desastres e atividades associadas no passo a passo planejado. Quaisquer deficiências devem ser abordadas e um plano revisado deve ser enviado a todo o pessoal relevante.

5. Dobre seu foco na documentação

O plano de continuidade de negócios deve ser elaborado de acordo com os riscos do negócio e os protocolos de recuperação de desastres. Por exemplo, o plano deve especificar o que os membros da equipe devem fazer em caso de crise, bem como o cronograma de entrega mais rigoroso para suporte de TI de missão crítica.

Identificar sistemas críticos e compilar um inventário de aplicativos-chave também é crucial. Além disso, as organizações devem manter um inventário de contatos externos, como financiadores, especialistas em TI e trabalhadores de serviços públicos. Como o surto de coronavírus nos ensinou, apenas empresas com um plano de continuidade de negócios bem documentado tiveram a capacidade de se recuperar rapidamente.

6. Determine seu nível único de resiliência a riscos e o suporte de TI que ele exige obrigatoriamente

Dado que cada organização é única e distinta, você deve avaliar os riscos e desenvolver um plano de continuidade de negócios individualizado. Por exemplo, no caso de um banco, apenas alguns segundos de atraso podem resultar em prejuízos de milhões de dólares. As instituições de saúde podem arriscar o atendimento de pacientes críticos se houver tempo de inatividade.

Além disso, as opções de recuperação de uma empresa devem ser determinadas com base no setor em que ela atua. RTO e RPO estão entre os conceitos mais vitais a esse respeito. RPO ou Objetivo de Ponto de Recuperação refere-se à perda máxima permitida de dados durante um período de tempo. RTO ou objetivo de tempo de recuperação é o tempo que decorre entre uma interrupção e uma retomada dos processos.

Você pode escolher as alternativas de DR apropriadas junto com as tecnologias de recuperação, selecionando o RPO apropriado, bem como o RTO com base nas regras e diretrizes de negócios da sua empresa.

7. Invista em redundância para infraestrutura virtualizada

Após a pandemia, a virtualização tornou-se crítica e difundida nas empresas. No entanto, um plano de continuidade de negócios deve levar em conta a necessidade de uma infraestrutura física e virtual híbrida.

Possuindo servidores virtuais, espaços de armazenamento. bem como estações de trabalho reduz o risco de interrupções de serviço, mas as máquinas virtuais ainda podem funcionar mal. Ter uma estratégia de backup para máquinas virtuais deve estar entre suas principais prioridades, especialmente se você aumentou seu projeto de virtualização para processos de missão crítica entre 2020 e 2023.

8. Considere fazer parceria com um provedor de BCDR gerenciado

Quase todos os provedores de serviços de TI dirão que podem ajudar no reparo e na recuperação da interrupção do serviço. No entanto, há uma diferença significativa entre um parceiro que oferece recursos de backup externo em comparação com um parceiro que possui a infraestrutura BCDR necessária. Um provedor de serviços gerenciados oferecerá vários serviços:

• Infraestrutura de nível militar
• Ferramentas para recuperação de desastres, bem como backup
• Facilidades para arquivamento e restauração
• Administração multiplataforma de armazenamento
• Experiência bem conhecida e comprovada em evacuação de emergência e deslocamento para qualquer um dos vários locais de recuperação

9. Trabalhar com compras para avaliar os fornecedores quanto à prontidão do BCDR

As empresas modernas não são entidades autossuficientes operando como ilhas no mar. Pelo contrário, são instituições profundamente interconectadas com profundas interdependências de fornecedores terceirizados que fornecem qualquer coisa, desde infraestrutura de TI de missão crítica até produtos acabados e materiais básicos. Identifique cada parceria empresa-fornecedor e o risco potencial que ela representa para a continuidade dos negócios se o fornecimento do fornecedor for interrompido. Quais pressões os fornecedores estão enfrentando e quão robustos/resilientes são seus associados quando estão sob estresse?

No início do relacionamento, os fornecedores terceirizados devem ser submetidos a uma rigorosa due diligence e constantemente monitorados quanto a quaisquer indícios de novas ameaças. Quais são exatamente seus planos individuais para a continuidade dos negócios e são suficientes para proteger sua empresa?

10. Pesquise as opções de colocation

Por fim, a colocation oferece às empresas com infraestrutura de TI de grande escala uma maneira de distribuir sua exposição ao risco em regiões geograficamente diversas.

As redundâncias integradas em datacenters de terceiros destinam-se a incentivar o tempo de atividade e a resiliência. Além disso, o colocation fornece várias fontes de energia e opções de conectividade. Isso funciona como uma rota de backup caso o caminho principal falhe.

Vários provedores de serviços de colocation também podem fornecer uma seleção de centros de dados geograficamente dispersos, permitindo que as empresas selecionem as instalações que melhor atendam aos seus requisitos específicos. Uma organização pode escolher um local principal mais próximo de sua sede por conveniência e um local secundário e mais remoto para recuperação após um desastre. A continuidade dos negócios também é suportada por programas de manutenção programada dos data centers de colocation e atualizações de maquinário, que otimizam a disponibilidade e o desempenho do sistema.

Conclusão

À medida que desastres e interrupções de negócios se tornam mais complexos de lidar, essas práticas recomendadas de BCDR ajudarão sua equipe de TI a se preparar. Você também pode explorar o potencial da computação em nuvem para ajudar no planejamento de recuperação de desastres (DRP) e usar ferramentas de recuperação de dados para recuperar informações perdidas após pequenos incidentes.