Disaster Recovery: o que é e como isso pode salvar sua empresa
Independentemente do ramo de atuação, tamanho ou localização, nenhuma empresa está totalmente livre dos efeitos de eventos desastrosos cujas dimensões podem prejudicar ou até impedir o funcionamento de alguns departamentos, unidades ou até da organização inteira.
Não é preciso pesquisar muito para obter dados alarmantes sobre o despreparo das empresas para enfrentar situações que, do ponto de vista da continuidade do negócio, são catastróficas. Pesquisas indicam que aproximadamente metade das empresas existentes não possui planos de contingência, processos ou infraestrutura adequada para recuperar a operacionalidade de seus sistemas e das operações de negócios (incluindo sistemas considerados vitais, como o ERP ou os sistemas de pagamento ou emissão de notas fiscais).
“ |
4 em cada 10 empresas não possuem plano de contingência |
“ | Mais da metade das empresas brasileiras não possui um plano de contingência para o departamento de TI
|
Desastres: muito além dos terremotos e tsunamis
A primeira coisa a ser esclarecida é a definição do que é um desastre: para o ambiente empresarial, podemos considerar como desastres eventos naturais ou causados por ação humana (intencional ou acidental) cujas consequências potencialmente impeçam a continuidade dos serviços do negócio (produção, vendas, compras, atendimentos, etc.).
Nem sempre o incidente é, necessariamente, causado por alguma poderosa força da natureza como um terremoto, um tsunami, uma cheia ou um incêndio florestal. Incidentes graves podem também ser causados pelo homem como um erro de operação ou manutenção na rede elétrica que acaba causando um blackout nacional, que deixa milhões de pessoas e empresas sem energia elétrica.
Essa falsa concepção de que incidentes graves sempre atingem multidões é um dos motivos pelos quais empreendedores brasileiros parecem contar com a sorte. Afinal, o país é tecnicamente muito pouco propenso à ser impactado por desastres naturais, guerras ou crises humanitárias – é como se o Brasil fosse blindado e, portanto, gastar tempo se planejando para quando as coisas vão terrivelmente mal parece ser um enorme desperdício de recursos.
Um desastre, na concepção organizacional, pode ser pontual ou atingir apenas uma empresa. Estes riscos podem ser tão simples (e perigosos) quanto:
- um vírus de computador que pode corromper arquivos e sistemas
- uma queda local de energia que desabilita o comércio eletrônico da empresa
- um episódio de falha no provedor de internet que impede o processamento de pedidos
- uma falha no roteador ou modem, que descontinue o acesso à internet
- uma atualização de sistemas mal executada ou problemática
Esses riscos e muitos outros colocam em xeque a reputação e a saúde econômica de qualquer empresa, seja ela um pequeno negócio local ou uma grande multinacional.
A recuperação de desastres é parte da gestão de riscos com foco em problemas que descontinuam o funcionamento da empresa.
Consequências vão além de prejuízo operacional
Além dos prejuízos óbvios como a interrupção do funcionamento normal da empresa e as consequências disso (e.g. atraso nas entregas de produtos, imobilização de equipes, sobrecarga quando os serviços são normalizados e muitas outras) há outros efeitos colaterais com potencial extremamente danoso. São exemplos:
- Prejuízos financeiros: a parada da operação da empresa pode levar à perda de vendas ou acionamento de contratos de SLA por parte dos clientes, gerando multas e o acionamento legal
- Prejuízos à imagem: a imagem da empresa que não e recupera rapidamente de incidentes pode ficar arranhada perante o mercado. Sabe-se que recuperar uma imagem custa muito mais do que implementar ações preventivas
- Prejuízos às pessoas e ao departamento pessoal: uma empresa despreparada normalmente sobrecarrega os colaboradores quando precisa se recuperar de um incidente. O estresse e a falta de um plano pode, inclusive, levar à perda de colaboradores valiosos
O que fazer para se preparar e reagir?
A resposta é simples: toda empresa deve ter um Plano de Recuperação de Desastres (PRD ou DRP – Disaster Recovery Plan) para restabelecer e garantir a continuidade do negócio.
O plano deve conter, basicamente, cenários com os eventos que representam riscos de paralisação dos processos de negócio da empresa e instruções de como lidar com cada um deles, são exemplos de informações de um plano de contingência:
- mapeamento de cada ameaça e consequência para os sistemas e equipamentos na ocorrência dos eventos
- mapeamento do impacto de falhas de sistemas e equipamentos atingidos para o negócio
- detalhamento dos ativos de TI (software, conectividade, máquinas, etc.)
- instruções sobre como as pessoas devem agir (o que fazer e o que evitar) e quem devem contatar (fornecedores, serviços especializados, etc.)
- premissas para que as ações do plano funcionem (existência de backups de servidores, redundância de links de internet, etc.)
- procedimentos para reabilitação dos serviços de TI (que irão permitir o restabelecimento da continuidade do negócio com restaurar backups e como ativar links alternativos de internet)
- procedimentos de comunicação sobre o evento sobre quais serviços estão sendo interrompidos e quando eles voltarão à normalidade.