O seu negócio depende de acesso a dados críticos?

Segundo um estudo realizado pela KPMG Portugal1 – com base na análise de incidentes registados em grandes empresas portuguesas da área das telecomunicações, energia, retalho e serviços financeiros – 71% das organizações sofreram um incidente que causou a indisponibilidade dos serviços de TI nos últimos cinco anos.

 

 

A implementação de políticas de backup dos ativos e da informação crítica das organizações é preponderante para a continuidade do seu negócio e para a sustentação da sua operacionalidade, no caso de ocorrência de eventos disruptivos.

O aumento das ocorrências relacionadas com ciberataques, de malwares e de ramsonwares, veio reforçar, ainda mais, a relevância para as organizações salvaguardarem os seus sistemas e informações.

As organizações, que são alvo de ataques cibernéticos e que têm uma política de backups adequada às suas necessidades de negócio, diminuem consideravelmente o tempo de indisponibilidade dos seus ativos e contribuem para um restabelecimento mais célere das áreas de negócio atingidas, tendo igualmente a garantia da manutenção da integridade da informação recuperada.

 

Quais os aspetos a serem considerados no backup dos dados da sua organização?

Numa primeira fase, é importante que os decisores da organização efetuem uma análise de risco que incida e identifique o nível de criticidade e a importância dos ativos que compõem os seus sistemas de informação.

Assim, os ativos deverão ser categorizados, de acordo com a sua criticidade para a organização. Na análise de risco, poder-se-á, por exemplo, utilizar a técnica do “Worst Case Scenario”, avaliando e analisando quais os possíveis impactos que poderão advir para a organização, caso exista uma ocorrência que provoque uma perca total de um desses ativos e/ou informação. E, desta forma, adquirir uma consciência mais efetiva da relevância desse ativo e/ou informação para a organização.

No caso de ativos diretamente disponibilizados e utilizados pelos colaboradores da organização (ex: desktops, laptops), deverão ser disponibilizados, aos utilizadores da organização, sistemas de armazenamento centralizados de gestão de ficheiros e/ou gestão documental. Estes sistemas devem ser geridos e mantidos pela equipa de IT, por forma a salvaguardar a informação produzida no âmbito das atividades dos colaboradores.

Quanto aos ativos que providenciam serviços centralizados para as áreas de negócio da organização (ex: ERP; E-mail; CRM, etc), deverá ser garantida a implementação de uma solução de backups que cumpra com as necessidades da organização e que garanta um rápido restabelecimento do negócio da organização, no caso de ocorrência de um evento disruptivo.

Na definição da arquitetura da solução de backups, dever-se-á ter em atenção o tipo de armazenamento utilizado pelos ativos da organização – ao qual se deseja efetuar backup – e a sua respetiva localização física. A informação armazenada deverá estar num suporte físico adequado à organização, com especial atenção à janela de execução dos backups e às necessidades de rapidez de restauro dos ativos. A solução de backups deverá estar numa rede de acesso restrito de gestão e, se possível, num local distinto dos sistemas ao qual se deseja efetuar o backup.

Quanto ao software de backup, dever-se-á escolher uma plataforma adequada à sua empresa, avaliando a quantidade de informação que a organização pretende resguardar e, igualmente, a rapidez com que deseja aceder à informação guardada, na eventualidade de qualquer ataque cibernético e/ou incidente que implique a necessidade de restaurar sistemas ou informações.

No processo de desenho e implementação de uma política de backups, dever-se-á ter em linha de conta:

  • A criticidade dos sistemas da organização;
  • A janela de tempo disponível para execução dos backups;
  • O tipo de retenção a aplicar;
  • O tipo de backup a efetuar;

Os indicadores, em cima referidos, são importantes para o sucesso da fase de desenho da política de backups. A conceção da política depende, igualmente, do tipo de tecnologia e da arquitetura de backups implementada, dos ativos em âmbito e da tecnologia que os suportam.

Na identificação do tipo e periodicidade de backup, é relevante que se avalie a frequência das alterações efetuadas aos ativos, do volume de informação a salvaguardar e do ponto objetivo de recuperação que a organização considera como sendo aceitável assumir, no caso de ocorrência de um evento disruptivo que obrigue a reposição de informação.

Para terminar, a implementação de uma solução de backups deve ser vista pela gestão de topo como um investimento, e não um custo, que irá contribuir para aumentar a capacidade de resiliência dos seus sistemas de informação, em caso de resposta a incidentes disruptivos que impliquem a necessidade de reposição de informação.

Referências:

1“Estudo da Continuidade do Negócio 2018”, KPMG Portugal
”Cyber Security: Small Business Guide”, The National Cyber Security Centre (NCSC)