Plano de Recuperação de Desastres e PCN – Plano de Continuidade do Negócio
Vamos definir inicialmente o que é um Plano de Recuperação de Desastre – PRD, ou Disaster Recovery Plan (DRP) e o que é um Plano de Continuidade de Negócios – PCN, ou Business Continuity Plan (BCP).
O PRD (DRP) está ligado diretamente à área da Tecnologia da Informação e devemos considerar neste plano os aspectos tecnológicos do PCN (BCP). O objetivo do PRD (DRP) é descrever os procedimentos para a identificação, tomada de decisão e ações a serem executadas, para minimizar perdas e garantir a continuidade das funções críticas do negócio de uma organização no evento de um desastre. Deve ser bem documentado, testado, avaliado periodicamente e melhorado constantemente, buscando fazer uso das melhores práticas nesta disciplina.
O PCN é um plano onde são definidos disposições e procedimentos que permitem uma organização responder a um evento de tal maneira que as funções críticas do negócio continuem com níveis planejados de interrupção.
Ou seja, o conjunto dos planos PRD mais PCN irão permitir às organizações serem resilientes e sobreviver à desastres, sejam estes de causas naturais (incêndios, inundações, terremotos, furacões, pandemia, etc.), ou de causas humanas (greves/bloqueios, colaboradores insatisfeitos, falta de preparo dos colaboradores, distúrbio sociais, ameaças de bombas, etc.) ou de causas técnicas (falhas de equipamentos de TI, falhas no Datacenter, falhas no fornecimento de energia, falhas de equipamentos e serviços de redes de telecomunicações e dados, ataque de vírus, etc.).
Portanto o PRD deve estar inserido no PCN e descrever os procedimentos para a identificação, tomada de decisão e ações a serem executadas, os recursos a serem utilizados para a retomada da operação da TI para ao suporte ao negócio. Existem dois conceitos que devem ser analisados para o PRD que são:
- RTO – é o tempo necessário para a restauração do nível de serviço de TI de forma a não comprometer a continuidade dos negócios. É definido a partir de uma Análise de Impacto no Negócio,
- RPO – é o período máximo tolerado de perda de dados em um incidente sem a possibilidade de recuperação através de um backup de dados.
Por exemplo, o PRD estima recuperar a infraestrutura de TI (RTO) em 4 horas depois de um desastre e o ponto de recuperação dos dados (RPO) é de 1 hora. Para atingir o objetivo do RPO é necessário manter cópia dos dados em um site backup (no mínimo a 10 km de distância) e sincronizar os dados depois da recuperação da infraestrutura.
Hoje em dia, com o avanço e a oferta de soluções de backups em Nuvem (Cloud) tornou mais fácil e menos oneroso se implementar este tipo de segurança para os negócios e salvar as informações tanto para PCN e/ou PRD.
O PCN é uma ampla abordagem de recuperação e continuidade de desastres no qual as empresas devem considerar três pilares: Ambientes de Informação (cobertos pelo PRD ou DRP), Ambientes Físicos (espaços e recursos para o trabalho e operações do negócio) e Ambiente de Pessoas (colaboradores, clientes, prestadores de serviços/fornecedores e autoridades regulatórias).
Por exemplo, também existem as normas ABNT NBR ISO 22301 e 22313, que especificam requisitos para planejar, criar, implementar, operar, monitorar, analisar criticamente, manter e melhorar continuamente um sistema de gestão documentado para se preparar, responder e recuperar de eventos disruptivos.
“Ao falhar em se preparar, você se prepara para falhar.”
Benjamin Franklin (1706- 1790), político, inventor e escritor norte-americano
Nós da BP Soluções em TI estamos à disposição e preparados para conversarmos e encontrar a solução ideal para seu negócio para este importante tema.
Comentários