É comum a área de TI assumir a responsabilidade do processo e procedimentos de backup, realizando as configurações dos jobs (trabalho de backup), solicitando aquisição de unidades de gravação, investimento em softwares de backup, fitas de backup e até soluções em Cloud Computing. Mas esta estrutura atende a estratégia e continuidade de negócios da empresa? Foi alinhada com a alta direção?
Este artigo tem o propósito de apresentar como alinhar TI ao negócio em relação ao backup. A seguir serão apresentados três pontos chave para realizar este alinhamento.
Primeiro ponto chave para a área de TI é possuir um processo de backup documentado no qual apresenta de forma transparente a situação atual do backup da empresa, podendo contemplar responsabilidades do processo de backup, mapeamento das pastas de backup, horário dos jobs, janela do backup (tempo utilizado pra realizar o backup), detalhes da unidade de gravação, fitas de backup, software utilizado, até procedimentos operacionais, tais como, realização de alteração do job, solicitação de restore, testes periódicos nos equipamentos, entre outros.
Através do processo de backup deve-se apresentar à alta direção a fotografia da situação atual do backup da organização contemplando o RPO E RTO. O RPO (Recovery Point Objective) é o quanto a empresa aceita/admite perder de informações podendo ser mensurado em horas. Desta forma, se ficar definido um RPO de 2 horas, a TI precisa de estrutura (alta disponibilidade, fitas de backup, estrutura de backup, replicação entre datacenters, etc) para garantir que indiferente do horário que ocorrer um desastre somente poderá ser perdido no máximo 2 horas de informações.
Para facilitar o entendimento, se uma empresa possui um job de backup diário que é executado às 23 horas do servidor de arquivos e banco de dados e uma indisponibilidade ou desastre ocorrer na organização às 17 horas, cuja a única situação para continuidade dos negócios é restaurar o backup, significa que a organização irá perder praticamente um dia inteiro de trabalho e principalmente de informações que foram geradas, transmitidas e armazenadas na empresa, visto que o último backup ocorreu às 23 horas do dia anterior, então o RPO nesta situação é de 24 horas por executar somente um backup por dia. O RTO (Recovery Time Objective) é o tempo gasto para realizar o restabelecimento das operações da empresa através do backup.
Um segundo ponto chave é apresentar para a alta direção o quanto de capacidade de retenção das informação a estrutura de backup possui. Exemplo, se uma organização possui 5 fitas de backup LTO3 e o job é executado diariamente, o período de retenção das informação é de 5 dias. Desta forma, se um colaborador da empresa solicitar uma recuperação de um arquivo excluído há 10 dias não será possível restaurar pela fita de backup, visto que as informações já foram sobrescritas.
O último ponto relevante para apresentar à alta direção é em relação ao que é realizado de backup, ou seja, quais bancos de dados estão contemplados no backup, se existe o armazenamento de máquinas virtuais, se o system state dos servidores estão no backup e quais pastas do servidor de arquivos estão contempladas.
Através do processo de backup e apresentação dos três pontos chaves para a alta direção é possível realizar o alinhamento estratégico entre TI e negócio, com o objetivo de verificar se o status (fotografia) do backup atende a necessidade do negócio e, em caso de não conformidade com a expectativa, é possível criar um plano estratégico de melhorias para o backup e aplicar no decorrer dos meses ou ano, seja através de aquisição de uma nova unidade de gravação ou autoloader, novo software de backup, aquisição de novas fitas, treinamentos ou backup secundário realizado em Cloud.
Para finalizar o artigo, o gestor de TI, através desta abordagem, consegue apresentar e compartilhar a responsabilidade do backup com os diretores e, consequentemente, ter argumentos para novas aquisições e melhorias no ambiente. Os fatores apresentados irão apoiar para conformidade em controles de backup auditados, seja por auditorias internas ou externas.
[Crédito da imagem: Backup – ShutterStock]
Fundador da PDCA TI - Consultoria & Treinamentos. Site: https://www.pdcati.com.br Atuação em clientes de diversos segmentos e porte, visando a análise e evolução do nível de maturidade dos processos das áreas de Tecnologia da Informação (Governança de TI, Gestão de TI e Infraestrutura) e Segurança da Informação. Palestrante em diversos fóruns, empresas e universidades. Mais informações, acesse o site https://www.pdcati.com.br. CV: Graduado em Sistemas de Informação; Pós-graduado em Governança de TI; MBA em Gestão da Segurança da Informação. Certificações: ITIL v3; COBIT; ISO 20K; ISO 27K1; DPO Contato: gustavo.castro@pdcati.com.br
You must be logged in to post a comment.
