O seu negócio depende de acesso a dados críticos?
Segundo um estudo realizado pela KPMG Portugal1 – com base na análise de incidentes registados em grandes empresas portuguesas da área das telecomunicações, energia, retalho e serviços financeiros – 71% das organizações sofreram um incidente que causou a indisponibilidade dos serviços de TI nos últimos cinco anos.
A implementação de políticas de backup dos ativos e da informação crítica das organizações é preponderante para a continuidade do seu negócio e para a sustentação da sua operacionalidade, no caso de ocorrência de eventos disruptivos.
O aumento das ocorrências relacionadas com ciberataques, de malwares e de ramsonwares, veio reforçar, ainda mais, a relevância para as organizações salvaguardarem os seus sistemas e informações.
As organizações, que são alvo de ataques cibernéticos e que têm uma política de backups adequada às suas necessidades de negócio, diminuem consideravelmente o tempo de indisponibilidade dos seus ativos e contribuem para um restabelecimento mais célere das áreas de negócio atingidas, tendo igualmente a garantia da manutenção da integridade da informação recuperada.
Quais os aspetos a serem considerados no backup dos dados da sua organização?
Numa primeira fase, é importante que os decisores da organização efetuem uma análise de risco que incida e identifique o nível de criticidade e a importância dos ativos que compõem os seus sistemas de informação.
Assim, os ativos deverão ser categorizados, de acordo com a sua criticidade para a organização. Na análise de risco, poder-se-á, por exemplo, utilizar a técnica do “Worst Case Scenario”, avaliando e analisando quais os possíveis impactos que poderão advir para a organização, caso exista uma ocorrência que provoque uma perca total de um desses ativos e/ou informação. E, desta forma, adquirir uma consciência mais efetiva da relevância desse ativo e/ou informação para a organização.
No caso de ativos diretamente disponibilizados e utilizados pelos colaboradores da organização (ex: desktops, laptops), deverão ser disponibilizados, aos utilizadores da organização, sistemas de armazenamento centralizados de gestão de ficheiros e/ou gestão documental. Estes sistemas devem ser geridos e mantidos pela equipa de IT, por forma a salvaguardar a informação produzida no âmbito das atividades dos colaboradores.
Quanto aos ativos que providenciam serviços centralizados para as áreas de negócio da organização (ex: ERP; E-mail; CRM, etc), deverá ser garantida a implementação de uma solução de backups que cumpra com as necessidades da organização e que garanta um rápido restabelecimento do negócio da organização, no caso de ocorrência de um evento disruptivo.
Na definição da arquitetura da solução de backups, dever-se-á ter em atenção o tipo de armazenamento utilizado pelos ativos da organização – ao qual se deseja efetuar backup – e a sua respetiva localização física. A informação armazenada deverá estar num suporte físico adequado à organização, com especial atenção à janela de execução dos backups e às necessidades de rapidez de restauro dos ativos. A solução de backups deverá estar numa rede de acesso restrito de gestão e, se possível, num local distinto dos sistemas ao qual se deseja efetuar o backup.
Quanto ao software de backup, dever-se-á escolher uma plataforma adequada à sua empresa, avaliando a quantidade de informação que a organização pretende resguardar e, igualmente, a rapidez com que deseja aceder à informação guardada, na eventualidade de qualquer ataque cibernético e/ou incidente que implique a necessidade de restaurar sistemas ou informações.
No processo de desenho e implementação de uma política de backups, dever-se-á ter em linha de conta:
- A criticidade dos sistemas da organização;
- A janela de tempo disponível para execução dos backups;
- O tipo de retenção a aplicar;
- O tipo de backup a efetua.
Os indicadores, em cima referidos, são importantes para o sucesso da fase de desenho da política de backups. A conceção da política depende, igualmente, do tipo de tecnologia e da arquitetura de backups implementada, dos ativos em âmbito e da tecnologia que os suportam.
Na identificação do tipo e periodicidade de backup, é relevante que se avalie a frequência das alterações efetuadas aos ativos, do volume de informação a salvaguardar e do ponto objetivo de recuperação que a organização considera como sendo aceitável assumir, no caso de ocorrência de um evento disruptivo que obrigue a reposição de informação.
Para terminar, a implementação de uma solução de backups deve ser vista pela gestão de topo como um investimento, e não um custo, que irá contribuir para aumentar a capacidade de resiliência dos seus sistemas de informação, em caso de resposta a incidentes disruptivos que impliquem a necessidade de reposição de informação.
Referências:
1“Estudo da Continuidade do Negócio 2018”, KPMG Portugal
”Cyber Security: Small Business Guide”, The National Cyber Security Centre (NCSC)