Avaliação de Impacto de Risco na Recuperação de Desastres: Por Onde Começar

A avaliação de riscos é um dos primeiros passos necessários para encontrar uma maneira de reduzi-los e, portanto, manter sua infraestrutura segura. Criar um plano eficaz de recuperação de desastres começa com a busca por ameaças potenciais e vulnerabilidades dos elementos de sua infraestrutura, bem como as formas de responder a elas. A avaliação de riscos não é um processo único. Você deve atualizar regularmente suas políticas de avaliação de riscos, especialmente se estiver gerenciando uma infraestrutura em constante mudança. Nosso artigo tem como objetivo explicar a importância da avaliação do impacto do risco no planejamento de recuperação de desastres e fornecer informações básicas sobre como a avaliação de riscos é realizada.

Avaliação do Impacto do Risco: Conceitos Relacionados

A avaliação de riscos é um elemento importante tanto no planejamento de recuperação de desastres (DR) quanto na continuidade dos negócios (BC). Embora explicar DR e BC em detalhes exigisse duas postagens separadas, abaixo está um breve esboço das duas práticas:

• O plano de recuperação de desastres é um documento que contém um algoritmo bem definido de ações a serem tomadas se ocorrer um incidente. Seu propósito é simplificar a recuperação dos efeitos negativos que o incidente trouxe. As instruções delineadas em um plano de DR destinam-se a ajudar sua empresa a manter ou retomar rapidamente operações críticas, mantendo assim o tempo de inatividade no mínimo.
• O plano de continuidade de negócios refere-se a um conjunto de ações destinadas a prevenir ameaças potenciais e a recuperar de incidentes que a sua empresa enfrenta. A ideia chave é garantir que os funcionários e ativos da sua empresa estejam protegidos e sejam capazes de retomar as operações se ocorrer um desastre. Um plano de continuidade de negócios é mais abrangente do que um plano de recuperação de desastres: destina-se a garantir que a empresa continue a operar após um desastre, enquanto um plano de recuperação de desastres é projetado para mitigar rapidamente os efeitos negativos deste.

A avaliação de riscos e todas as potenciais vulnerabilidades às quais a sua empresa pode estar sujeita são realizadas antes da implementação de um plano de recuperação de desastres. Uma boa prática é iniciá-la imediatamente após realizar uma análise de impacto nos negócios (BIA), outro elemento importante de uma estratégia de recuperação de desastres, com o objetivo de identificar as potenciais consequências se alguma das funções ou processos da sua empresa for interrompida.

A avaliação de riscos de recuperação de desastres é um documento que contém uma descrição dos riscos potenciais para o funcionamento de uma organização. Abrange tanto desastres naturais quanto provocados pelo homem e estima a probabilidade de cada cenário ocorrer. Os resultados da estimativa são então multiplicados pelas consequências de um incidente. O valor que você recebe define o nível de proteção da sua organização contra uma ameaça específica. Alguns dos tópicos básicos que o documento deve destacar são os seguintes:

• Danos potenciais que o incidente pode causar;
• Quantidade de tempo e esforço necessários para mitigar os efeitos do incidente e custos associados;
• Medidas preventivas para reduzir os riscos de desastres;
• Instruções para reduzir a gravidade de um incidente.

A avaliação de riscos é um processo demorado que requer tanto habilidades quanto atenção aos detalhes. Ao preparar este documento, é melhor seguir as diretrizes, prestar atenção às ferramentas de avaliação de riscos e baixar um exemplo de avaliação de riscos de recuperação de desastres para melhor compreensão.

Como Realizar uma Avaliação de Impacto de Riscos

Normalmente, o processo de condução de uma avaliação de riscos de recuperação de desastres envolve as etapas delineadas abaixo. Dependendo das necessidades da sua organização, você pode incluir etapas adicionais ou pular algumas das listadas.

1. Listar os ativos

Definir os ativos mais valiosos para a sua organização é o primeiro passo para protegê-los. Os ativos são um termo bastante amplo que pode incluir servidores, sites e aplicativos, informações da base de clientes, bancos de dados, documentos em papel ou eletrônicos, etc., e até mesmo membros-chave da equipe.

Para lidar com essa tarefa, considere criar um questionário. É importante receber feedback não apenas dos principais gerentes e chefes de departamento, mas de todos os funcionários da empresa. Isso pode ajudá-lo a se conscientizar de coisas que podem ter sido negligenciadas. Comece a documentar riscos e ameaças específicos dentro de cada departamento.

2. Identificar os riscos

Especificamente, você deve definir o que exatamente pode afetar cada um dos seus ativos e de que maneira. Isso inclui software, hardware, dados e funcionários. Certifique-se de estar seguindo uma abordagem integrada que aborda o máximo possível de formas e formatos de desastres. Estes são:

• Desastres naturais. Mesmo que sua infraestrutura esteja localizada em uma área que provavelmente não será afetada por furacões ou terremotos, você não pode ignorar a possibilidade de incêndios e rompimentos de tubulações de água. Leve isso em consideração ao decidir onde colocar seus servidores.
• Falha no sistema. A probabilidade de falha depende da qualidade do seu equipamento de computador e do esforço de manutenção de sua parte. Sempre há o risco de que uma máquina se desligue e pare de funcionar sem avisos ou mensagens de erro. Além disso, a falha do sistema pode resultar de problemas graves de software, como uma linha de código ruim, por exemplo.
• Erro acidental. Treinar seus funcionários, permitir tempo suficiente para descanso, implementar protocolos de segurança e outras medidas preventivas não eliminam completamente os riscos de erro humano. Alguns de seus funcionários podem excluir acidentalmente um arquivo importante, clicar em um link de malware ou danificar acidentalmente um equipamento.
• Atividades maliciosas. Este grupo de riscos se apresenta em diversas formas, desde ataques de hackers tradicionais direcionados aos seus dados até ameaças internas, como abuso de credenciais e alteração ou danificação intencionais de dados.

3. Encontre as vulnerabilidades

É importante identificar as fraquezas que podem ser exploradas para obter ou prejudicar os ativos da sua empresa. Para realizar uma ação não autorizada, um atacante precisa de um vetor de ataque (ou seja, método) que possa ser aplicado na tentativa de explorar uma fraqueza do sistema. A soma desses vetores de ataque em sua infraestrutura de TI é conhecida como superfície de ataque. A ideia chave é reduzir a superfície de ataque ao mínimo.

Certifique-se de avaliar a probabilidade de exploração de vulnerabilidades. Este é o primeiro passo na priorização das falhas de segurança e na alocação de recursos para eliminá-las. De acordo com as estatísticas baseadas no Common Vulnerability Scoring System (CVSS), um padrão da indústria para avaliar a gravidade das vulnerabilidades, falhas de alta gravidade são exploradas na maioria dos casos. No entanto, isso não é uma regra sem exceções.

4. Avalie as consequências potenciais

Realize uma análise de impacto de risco para determinar as perdas financeiras que sua empresa pode enfrentar se algum de seus ativos for danificado. Além das receitas perdidas, as consequências potenciais podem incluir perda de dados, danos ao seu ambiente de TI como resultado do tempo de inatividade, danos à reputação e questões legais. Esteja ciente de que as perdas superficiais podem ser apenas o começo. Um incidente pode resultar em custos ocultos associados à PR e investigações, além de aumentos nos prêmios de seguro e honorários legais.

5. Priorizar os riscos

Defina o nível de risco para cada par de ameaça e vulnerabilidade. Baseie sua avaliação em uma combinação de dois fatores: a probabilidade de exploração da vulnerabilidade e as consequências potenciais que este incidente pode acarretar. Tente estimar quanto de receita sua empresa pode perder como resultado do evento de risco.

A priorização deve ser baseada na correlação entre o nível de impacto e a probabilidade de ocorrência de um determinado incidente. Se o incidente puder resultar em impactos negativos graves e for altamente provável de ocorrer, o assunto deve receber a mais alta prioridade. Cada uma das ameaças deve ser atribuída a um valor correspondente, de “muito alto” (alta probabilidade de risco em combinação com perdas monetárias significativas) a “muito baixo” (baixa probabilidade e danos insignificantes).

6. Documentar os resultados

A etapa final na realização de uma avaliação de impacto de risco é preparar um relatório ou documento que cubra todas as estimativas mencionadas acima. Mais tarde, este documento pode ajudá-lo com o planejamento orçamentário, alocação de recursos, implementação de políticas de segurança, e assim por diante. O documento deve descrever as vulnerabilidades, impacto potencial e probabilidade de ocorrência para cada ameaça. Para melhor entendimento, veja um exemplo abaixo:

Ameaça	Vulnerabilidade	Ativo	Impacto	Probabilidade	Risco	Precauções
Sala do servidor superaquecendo (falha do sistema) – Alto	Ar condicionado é antigo e mal mantido – Alto	Servidores – Crítico	Serviços, sites, aplicativos, etc. ficarão indisponíveis por algumas horas – Crítico	Temperatura nas salas dos servidores é 40°C – Alto	Perdas financeiras substanciais por cada hora de inatividade – Alto	Comprar um novo ar condicionado e garantir uma melhor manutenção

Imediatamente após começar, você terá uma melhor compreensão das operações e processos da sua organização, bem como das maneiras em que podem ser otimizadas. Com base na avaliação de impacto de risco, crie uma política regulando o escopo de ações que sua empresa deve tomar a cada mês, trimestre ou anualmente. Tente determinar como cada uma das ameaças deve ser abordada e mitigada, e quando realizar a próxima avaliação de risco.

Prepare-se com antecedência

Ignorar a importância de preparar um relatório abrangente de avaliação de risco é um dos riscos mais comuns para recuperação de desastres. Este relatório é uma ajuda comprovada para reduzir a probabilidade de um incidente acontecer, mitigar seus efeitos negativos e manter o tempo de inatividade no mínimo.

Fazer backups regulares e armazenar cópias de backup fora do local é uma prática sábia que garante a recuperabilidade dos seus dados em uma ampla gama de cenários, desde exclusões acidentais até a destruição total de uma sala de servidores. Além disso, com uma réplica válida no lugar, você pode se recuperar de um desastre em apenas alguns cliques.

O NAKIVO Backup & Replicação oferece uma ampla gama de ferramentas e recursos para ajudá-lo a fazer backup e replicar suas cargas de trabalho. Encontre abaixo uma breve visão geral de nossa funcionalidade:

Backup de Dados

• Faça backup de cargas de trabalho virtuais, físicas e em nuvem.
• Recupere instantaneamente arquivos, pastas e objetos de aplicativos diretamente de backups comprimidos e deduplicados. Você pode recuperar os dados de volta para a origem ou para uma localização personalizada. O recurso funciona tanto em LAN quanto em WAN, com todas as permissões de arquivo sendo restauradas.
• Envie cópias de seus backups para fora do local para garantir que nunca sejam perdidos como resultado de exclusão acidental, corrupção, falha de disco, ciberataque ou qualquer outro evento imprevisto.

Replicação de VM

• Crie cópias idênticas, também conhecidas como réplicas, de VMs baseadas em VMware, Hyper-V e AWS EC2.
• Retome suas operações críticas para o negócio quase instantaneamente ao falhar para uma réplica de VM. Em outras palavras, você pode recuperar uma VM afetada por falha de software ou hardware em apenas alguns cliques.
• Realize replicação a partir de backups para descarregar o seu ambiente de produção e poupar tempo, o que é especialmente importante em grandes infraestruturas de TI.

Para garantir uma perda mínima de dados e reduzir o tempo de inatividade, prepare-se antecipadamente. Juntos, o NAKIVO Backup & Replicação e um relatório de avaliação de impacto de riscos adequado podem ajudá-lo a proteger o seu ambiente de uma ampla gama de cenários inesperados.