Avaliação de Impacto de Risco na Recuperação de Desastres: Por Onde Começar

A avaliação de riscos é um dos primeiros passos necessários para encontrar uma maneira de reduzi-los e, portanto, manter sua infraestrutura segura. A criação de um plano eficaz de recuperação de desastres começa com a busca por ameaças potenciais e vulnerabilidades dos elementos de sua infraestrutura, bem como as maneiras de responder a elas. A avaliação de riscos não é um processo único. Você deve atualizar regularmente suas políticas de avaliação de riscos, especialmente se estiver executando uma infraestrutura em constante mudança. Nosso artigo tem como objetivo explicar a importância da avaliação do impacto do risco no planejamento de recuperação de desastres e fornecer informações básicas sobre como a avaliação de riscos é realizada.

Avaliação do Impacto do Risco: Conceitos Relacionados

A avaliação de riscos é um elemento importante tanto no planejamento de recuperação de desastres (DR) quanto na continuidade dos negócios (BC). Embora explicar DR e BC em detalhes exigisse dois posts de blog separados, abaixo está um breve esboço das duas práticas:

• Plano de recuperação de desastres é um documento que contém um algoritmo bem definido de ações a serem tomadas se ocorrer um incidente. Seu objetivo é simplificar a recuperação dos efeitos negativos que o incidente trouxe. As instruções delineadas em um plano de DR destinam-se a ajudar sua empresa a manter ou retomar rapidamente operações críticas, mantendo assim o tempo de inatividade no mínimo.
• Plano de continuidade de negócios refere-se a um conjunto de ações destinadas a prevenir ameaças potenciais e a recuperar de incidentes que sua empresa enfrenta. A ideia principal é garantir que os funcionários e ativos da sua empresa estejam protegidos e sejam capazes de retomar as operações se ocorrer um desastre. Um plano de continuidade de negócios é mais abrangente do que um plano de recuperação de desastres: ele visa garantir que a empresa continue a operar após um desastre, enquanto um plano de recuperação de desastres é projetado para mitigar rapidamente os efeitos negativos deste.

A avaliação de riscos e todas as potenciais vulnerabilidades às quais sua empresa pode estar sujeita são realizadas antes da implementação de um plano de recuperação de desastres. Uma boa prática é iniciá-la imediatamente após a realização de uma análise de impacto nos negócios (BIA), outro elemento importante de uma estratégia de recuperação de desastres, com o objetivo de identificar as consequências potenciais se alguma das funções ou processos de negócios for interrompida.

A avaliação de riscos de recuperação de desastres é um documento que contém uma descrição dos riscos potenciais para o funcionamento de uma organização. Ele abrange tanto desastres naturais quanto provocados pelo homem e estima a probabilidade de cada cenário ocorrer. Os resultados da estimativa são então multiplicados pelas consequências de um incidente. O valor que você recebe define o nível de proteção da sua organização contra uma determinada ameaça. Alguns dos tópicos básicos que o documento deve destacar são os seguintes:

• Dano potencial que o incidente pode causar;
• Quantidade de tempo e esforço necessários para mitigar os efeitos do incidente e custos associados;
• Medidas preventivas para reduzir os riscos de desastres;
• Instruções para reduzir a gravidade de um incidente.

A avaliação de riscos é um processo demorado que requer tanto habilidades quanto atenção aos detalhes. Ao preparar este documento, é melhor seguir as orientações, prestar atenção às ferramentas de avaliação de riscos e baixar um exemplo de avaliação de riscos de recuperação de desastres para uma melhor compreensão.

Como Realizar uma Avaliação de Impacto de Riscos

Geralmente, o processo de condução de uma avaliação de riscos de recuperação de desastres envolve os passos descritos abaixo. Dependendo das necessidades da sua organização, você pode incluir etapas adicionais ou pular algumas das listadas.

1. Listar os ativos

Definir os ativos mais valiosos para sua organização é o primeiro passo para protegê-los. Ativos é um termo bastante amplo que pode incluir servidores, websites e aplicativos, informações da base de clientes, bancos de dados, documentos em papel ou eletrônicos, etc., e até mesmo membros-chave da equipe.

Para lidar com esta tarefa, considere criar um questionário. É importante receber feedback não apenas dos principais gerentes e chefes de departamento, mas de todos os funcionários da empresa. Isso pode ajudá-lo a perceber coisas que podem ter sido negligenciadas. Comece a documentar riscos e ameaças específicos dentro de cada departamento.

2. Identificar os riscos

Especificamente, você deve definir o que exatamente pode afetar cada um dos seus ativos e de que forma. Isso inclui software, hardware, dados e funcionários. Certifique-se de estar seguindo uma abordagem integrada que aborde o máximo possível de formas e tipos de desastres. Estes são:

• Desastres naturais. Mesmo que sua infraestrutura esteja localizada em uma área improvável de sofrer com furacões ou terremotos, você não pode ignorar a possibilidade de incêndios e rompimentos de tubulações de água. Leve isso em consideração ao decidir onde colocar seus servidores.
• Falha no sistema. A probabilidade de falha depende da qualidade do seu equipamento de computação e do esforço de manutenção da sua parte. Sempre há o risco de uma máquina desligar e parar de funcionar sem avisos ou mensagens de erro. Além disso, a falha do sistema pode resultar de problemas graves de software, como uma linha de código ruim, por exemplo.
• Erro acidental. Treinar seus funcionários, permitir tempo suficiente para descanso, implementar protocolos de segurança e outras medidas preventivas não eliminam totalmente os riscos de erro humano. Alguns de seus funcionários podem excluir acidentalmente um arquivo importante, clicar em um link de malware ou danificar acidentalmente um equipamento.
• Atividades maliciosas. Este grupo de riscos vem em várias formas, desde ataques de hackers tradicionais visando seus dados até ameaças internas, como abuso de credenciais e alteração ou dano intencional de dados.

3. Encontre as vulnerabilidades

É importante identificar fraquezas que podem ser exploradas para obter ou prejudicar os ativos da sua empresa. Para realizar uma ação não autorizada, um invasor precisa de um vetor de ataque (ou seja, método) que possa ser aplicado na tentativa de explorar a fraqueza de um sistema. A soma desses vetores de ataque na sua infraestrutura de TI é conhecida como superfície de ataque. A ideia-chave é reduzir a superfície de ataque ao mínimo.

Avalie a probabilidade de exploração da vulnerabilidade. Este é o primeiro passo na priorização das falhas de segurança e na alocação de recursos para eliminá-las. De acordo com as estatísticas baseadas no Sistema de Pontuação de Vulnerabilidades Comuns (CVSS), um padrão da indústria para avaliar a gravidade das vulnerabilidades, falhas de alta gravidade são exploradas na maioria dos casos. No entanto, isso não é uma regra sem exceções.

4. Avalie as consequências potenciais

Realize uma análise de impacto de risco para determinar as perdas financeiras que sua empresa pode enfrentar se algum de seus ativos for danificado. Além das receitas perdidas, as consequências potenciais podem incluir perda de dados, danos ao seu ambiente de TI como resultado do tempo de inatividade, danos à reputação e questões legais. Esteja ciente de que as perdas superficiais podem ser apenas o começo. Um incidente pode resultar em custos ocultos associados à PR e investigações, bem como aumentos nos prêmios de seguro e honorários legais.

5. Priorize os riscos

Defina o nível de risco para cada par de ameaça e vulnerabilidade. Baseie sua avaliação em uma combinação de dois fatores: a probabilidade de exploração da vulnerabilidade e as consequências potenciais que este incidente pode acarretar. Tente estimar quanto de receita sua empresa pode perder como resultado do evento de risco.

A priorização deve ser baseada na correlação entre o nível de impacto e a probabilidade de ocorrência de um determinado incidente. Se o incidente puder resultar em impactos negativos severos e for altamente provável de acontecer, o assunto deve receber a mais alta prioridade. Cada uma das ameaças deve ser atribuída a um valor correspondente, de “muito alto” (alta probabilidade de risco em combinação com perdas monetárias significativas) a “muito baixo” (baixa probabilidade e danos insignificantes).

6. Documentar os resultados

A etapa final na realização de uma avaliação de impacto de riscos é preparar um relatório ou documento que cubra todas as estimativas mencionadas anteriormente. Mais tarde, este documento pode ajudá-lo no planejamento orçamentário, alocação de recursos, implementação de políticas de segurança, entre outros. O documento deve descrever as vulnerabilidades, impacto potencial e probabilidade de ocorrência para cada ameaça. Para uma melhor compreensão, veja um exemplo abaixo:

Ameaça	Vulnerabilidade	Ativo	Impacto	Probabilidade	Risco	Precauções
Sobreaquecimento na sala do servidor (falha no sistema) – Alto	O sistema de ar condicionado é antigo e mal mantido – Alto	Servidores – Crítico	Serviços, sites, aplicativos, etc. ficarão indisponíveis por algumas horas – Crítico	A temperatura nas salas de servidores é de 40°C – Alto	Perdas financeiras substanciais por cada hora de inatividade – Alto	Adquirir um novo condicionador de ar e garantir uma melhor manutenção

Logo após o início, você obterá uma melhor compreensão das operações e processos de sua organização, bem como das maneiras pelas quais eles podem ser otimizados. Com base na avaliação do impacto do risco, crie uma política regulando o escopo das ações que sua empresa deve tomar mensalmente, trimestralmente ou anualmente. Tente elaborar como cada uma das ameaças deve ser abordada e mitigada, e quando realizar a subsequente avaliação de risco.

Prepare-se com Antecedência

Ignorar a importância de preparar um relatório abrangente de avaliação de risco é um dos riscos mais comuns de recuperação de desastres. Este relatório é um ajudante comprovado na redução da probabilidade de ocorrência de um incidente, na mitigação de seus efeitos negativos e na manutenção do tempo de inatividade ao mínimo.

Fazer backups regulares e armazenar cópias de backup fora do local é uma prática sábia que garante a recuperabilidade dos seus dados em uma ampla gama de cenários, desde exclusões acidentais até a destruição total de uma sala de servidores. Além disso, com uma réplica válida em vigor, você pode se recuperar de um desastre em apenas alguns cliques.

O NAKIVO Backup & Replication oferece uma ampla gama de ferramentas e recursos para ajudá-lo a fazer backup e replicar suas cargas de trabalho. Encontre uma breve visão geral de nossa funcionalidade abaixo:

Backup de Dados

• Faça backup de cargas de trabalho virtuais, físicas e na nuvem.
• Recupere instantaneamente arquivos, pastas e objetos de aplicativos diretamente de backups comprimidos e deduplicados. Você pode recuperar dados de volta para a origem ou para um local personalizado. O recurso funciona tanto na LAN quanto na WAN, com todas as permissões de arquivo sendo restauradas.
• Envie cópias de seus backups para fora do local para garantir que nunca sejam perdidos como resultado de exclusão acidental, corrupção, falha de disco, ciberataque ou qualquer outro evento imprevisto.

Replicação de VM

• Crie cópias idênticas, também conhecidas como réplicas, de VMs baseadas em VMware, Hyper-V e AWS EC2.
• Retome suas operações críticas para o negócio quase instantaneamente ao falhar para uma réplica de VM. Em outras palavras, você pode recuperar uma VM afetada por falha de software ou hardware em apenas alguns cliques.
• Realize a replicação a partir de backups para descarregar seu ambiente de produção e economizar tempo, o que é especialmente importante em infraestruturas de TI grandes.

Para garantir perda mínima de dados e reduzir o tempo de inatividade, prepare-se com antecedência. Juntos, o NAKIVO Backup & Replication e um relatório de avaliação de impacto de risco adequado podem ajudá-lo a proteger seu ambiente de uma ampla gama de cenários inesperados.