fbpx

Falar da importância de se realizar o backup dos dados não é novidade. Basicamente todos os profissionais de TI entendem a importância da realização de cópias de segurança dos dados da organização. O que devemos nos perguntar é: Estamos utilizando as ferramentas corretas? Estamos realizando o backup da forma correta e com a aderência as necessidades do negócio? A alta direção tem conhecimento das políticas adotadas para a realização das cópias de segurança?
Para ajudar a responder estas perguntas, vamos refletir sobre cada uma delas com maiores detalhes:
 
Estamos utilizando as ferramentas corretas?
Existem muitas empresas que confiam a segurança dos dados a ferramentas gratuitas ou processos inteiramente manuais, altamente suscetíveis a erros. Não tenho nada contra ao uso de ferramentas gratuitas ou ainda “Open Source”, a observação que faço é uma reflexão: No momento em que necessitarmos restaurar os dados, caso a ferramenta apresente algum problema, quem iremos acionar? Postar o problema em um fórum e aguardar uma resposta da comunidade ou acionar o desenvolvedor e esperar uma resposta?
Processos manuais são mais preocupantes, mais de 90% dos casos de perda de dados são decorrentes de falhas de hardware ou erros operacionais. Logo processos que são dependentes de scripts e de excessivas ações manuais são mais suscetíveis ao erro.
Portanto, devemos escolher as ferramentas adequadas, com a maior aderência as tecnologias em uso, que tenha uma política de correções e melhorias clara e principalmente um time de suporte eficiente.
 
Estamos realizando o backup da forma correta e com a aderência as necessidades do negócio?
Em alguns casos, temos ótimas ferramentas, mas não recebemos o treinamento correto ou a implementação não foi realizada de forma adequada, logo podemos estar realizando o backup de forma incorreta e as consequências serão sentidas no momento crítico, quando os sistemas estiverem parados e necessitarmos de restaurar os dados.
Usualmente os departamentos de TI selecionam ferramentas e desenvolvem procedimentos de backup sem a participação das áreas de negócio. Isto pode ser um erro, a maneira mais adequada é criar uma política de backup com o envolvimento das áreas chave da organização. Este documento deve conter claramente os seguintes pontos:
Qual o intervalo máximo suportado para a perda de informação ou RPO (Recovery Point Objective). Indicar por sistema, qual o intervalo em que as cópias de segurança devem ser realizadas, não necessariamente teremos um RPO único para todos os sistemas da empresa, logo cada um deverá ser tratado de forma particular, considerando suas peculiaridades. Por exemplo, uma cópia realizada à noite do servidor de arquivos pode ser suficiente, porém, uma cópia noturna do sistema de vendas, não será suficiente no caso de um problema, imagine perder todos os pedidos realizados durante o dia, neste caso talvez seja necessário realizar várias cópias durante o dia, um backup realizado de hora em hora pode ser mais indicado neste cenário.
Quanto tempo podemos aguardar até que as informações sejam recuperadas ou RTO (Recovery Time Objective). O negócio deve ter conhecimento, de quanto tempo será necessário para reestabelecer os sistemas afetados, novamente podemos ter RTO’s distintos para cada sistema. Os usuários podem ficar um dia sem o servidor de arquivos, mas talvez não possam ficar um dia aguardando a recuperação do sistema de faturamento.
Qual o tempo de retenção dos dados protegidos, aqui devemos ter atenção para atender os requisitos do negócio e principalmente, caso a organização seja submetida à regulação externa (CVM, Marco civil da Internet, Basileia, Anvisa, Anatel, SUSEP, PCI, SOX, etc.) devemos atender os requisitos legais.
Conter detalhes do manuseio de mídias (quando da utilização de fitas, discos removíveis, discos óticos), este detalhamento deve informar onde as mídias em uso deverão ser armazenadas, quem será responsável pelo transporte e guarda segura destas mídias. Quando alguma mídia for descartada por defeito ou por não ser mais necessária, o descarte da mesma deve ser realizado de forma segura, impedindo o acesso à informação por pessoas alheias a organização.
Qual a metodologia e a periodicidade para a realização de testes de restauração. Este ponto é muito importante e deverá conter procedimentos de testes para todos os sistemas essenciais a sobrevivência do negócio. Não se recomenda a realização de testes em intervalos muito longos, intervalos maiores que 1 mês devem ser evitados. Os testes devem ser documentados, principalmente para organizações submetidas à regulação externa.
Informar o prazo de revisão da política, bem como o processo de inclusão e remoção de dados (entenda-se da entrada ou desuso de sistemas em produção), isto é necessário, pois podemos estar protegendo informações obsoletas que não tem qualquer utilidade ao negócio, bem como podemos deixar vulneráveis sistemas essenciais ao negócio.
Definir os papéis e responsabilidades, devemos ter clareza e citar quem irá gerenciar o backup, bem como quem irá realizar os testes e validar o resultado dos mesmos.
 
A alta direção tem conhecimento das políticas adotadas para a realização das cópias de segurança?
Aqui vamos falar novamente de política de backup, a política deve ser de conhecimento da alta direção. Este conhecimento permite que a direção da organização tenha consciência dos riscos e impactos de uma eventual perda de dados e adicionalmente quanto tempo será necessário para reestabelecer à normalidade das operações.
 
Observando os pontos acima, vemos que a continuidade dos negócios da organização pode ser garantida através de uma política de backup simples, funcional e em acordo com a realidade e necessidades do negócio.
 
Imagem2