terça-feira, novembro 23, 2004

Como remediar quando não é possível prevenir: a recuperação de desastres em debate




Fonte:


Entrevista com Jon Toigo, especialista internacional
Por Luis Fernando Rocha


Que Plano? Essa foi a resposta de 23% dos profissionais de TI a pergunta "Com que freqüência é atualizado seu Plano de Continuidade de Negócios / Recuperação de Desastres?", feita no final de 2003, durante a pesquisa realizada pela Storage Network Industry Association (SNIA).

Esse estudo apontou ainda que mais da metade dos departamentos de TI de empresas européias não possuía ou atualizava de forma correta seus Planos de Continuidade de Negócios (PCN) / Recuperação de Desastres.

No Brasil, tal realidade não fica muito distante. Segundo a 9ª Pesquisa Nacional de Segurança da Informação, realizada entre os meses de março e agosto de 2003 com 682 profissionais do país, apenas 21% das empresas afirmaram possuir um PCN atualizado e testado e 27% ainda não possuíam tal plano formalizado.

Diante desse cenário preocupante, a Módulo Security Magazine traz com exclusividade a palavra do especialista internacional Jon William Toigo, fundador do Data Management Institute LLC, organização de desenvolvimento profissional na área de armazenamento de dados. Ele fala com propriedade: tem mais de 15 anos de experiência na área, já participou da execução de cerca de 80 projetos e possui quatro livros publicados sobre o assunto. Confira.

Módulo Security Magazine: Do bug do milênio aos atentados terroristas de 11 de setembro, quais foram as principais mudanças no mercado de Recuperação de Desastres?

Jon William Toigo: De forma surpreendente, a tragédia de 11 de setembro resultou em pouca mudança na preparação das organizações para futuros desastres naturais ou causados pelo homem. Quando houve um aumento substancial na discussão em torno da necessidade de um planejamento efetivo, na maioria das organizações ele não foi acompanhado pelo aumento ou significante atividade de planejamento.

Pesquisas após pesquisas com profissionais de negócios e TI evidenciam que muitas empresas só conduziram avaliações de riscos preliminares pela primeira vez no rastro dos ataques terroristas, e mesmo assim algumas destas companhias ficaram distantes de identificarem as vulnerabilidades que poderiam ser dirigidas contra planos logísticos, meios de backup e outras instalações.

Entretanto, para a maior parte das companhias, a etapa seguinte - a execução real de capacidade de recuperação - não ocorreu; ou, quando houve, a capacidade resultante não foi nunca sujeitada a um teste formal ou significou poucas mudanças nos processos de negócios ou na infra-estrutura de tecnologia nos dois últimos anos.

Mas este não é, de maneira alguma, um resultado inesperado. A evidência empírica que cerca as calamidades naturais, tais como terremotos, incêndios, furacões e outros eventos naturais, demonstrou repetidamente a tendência de que os planejamentos de desastres sejam vistos primeiro como um assunto com "status" de prioridade alta, e logo em seguida declinem rapidamente como prioridade, apenas algumas semanas após o desastre. Talvez seja da natureza humana colocar as lembranças dolorosas ou enervadas de um desastre fora de nossas mentes e reajustar nossa visão para os negócios futuros ou nos objetivos técnicos que seguem o mais cedo possível o desastre. Este fenômeno pode ser um reflexo do "processo de cura" sob a perspectiva psicológica, e seja freqüentemente uma exigência de recuperação do evento do desastre para cada empresa que se apresentava despreparada.

O que vem acontecendo é uma proliferação de melhorias nas tecnologias para a recuperação de desastres - especialmente no segmento de proteção e backup de dados. A indústria aproveitou para apresentar ao mercado duas opções para a proteção de dados: backup e espelhamento. Há agora um espectro mais largo de opções disponíveis para proteger nosso recurso mais insubstituível: dados. Os fabricantes responderam ao que perceberam como uma oportunidade de vender soluções novas e aperfeiçoadas de proteção de dados de clientes, embora (paradoxalmente) os consumidores tenham demonstrado pouco interesse em comprar estas novas ferramentas.

Módulo Security Magazine: Estudo realizado recentemente pela Veritas/Dynamic Markets, com 1.259 profissionais de TI de diferentes países, revelou que 92% dos entrevistados teriam sérios obstáculos caso precisassem responder a uma situação de interrupção em sua infra-estrutura de TI. Por que as empresas não colocam os planos de Recuperação de Desastres como prioridade?


Jon William Toigo: Percepção é tudo. Os planos de Recuperação de Desastres sofrem com uma série de problemas de percepção que podem ser resumidos da seguinte maneira:

a) Um raio nunca cai duas vezes no mesmo lugar: em outras palavras, desde que um desastre já tenha acontecido nas proximidades de uma empresa, nós podemos projetar, particularmente de forma otimista, que é provável que isso não aconteça outra vez na mesma área - não, ao menos, em um curto período. Esta percepção diminui a sensação de importância que muitos sentem sobre a recuperação de desastres.

b) DRP (Disaster Recovery Planning) / BCP (Business Continuity Plan) é somente mais uma garantia: esta percepção é baseada na tendência de se contextualizar a Recuperação de Desastres apenas nos termos de redução dos riscos. De fato, o processo de planejamento, quando executado corretamente, pode significar a redução de custos e melhoria nos processos de negócios da organização - embora estes valores sejam raramente explorados ou articulados.

c) DRP é difícil de se fazer bem em circunstâncias adequadas e é impossível de ser empreendido com sucesso na ausência de visibilidade e autoridade transmitidas pela gerência sênior: isto é essencialmente verdadeiro. Desenvolver a capacidade inicial da Recuperação de Desastres, que inclui ambos os elementos logísticos e da cultura de consciência e alerta, é um desafio enorme. Não há meio termo. Adicione a isso a carência de técnicas verdadeiramente eficazes para o planejamento - isto é, as técnicas que consideram a realidade atual dos diversos aplicativos distribuídos pelo ambiente cliente/servidor em vez de modelos computacionais obsoletos - e planejar pode parecer uma tarefa evidentemente assustadora.

d) DRP/BCP é um duro trabalho e o plano raramente funciona como o pretendido: esta não é uma impressão equivocada, mas particularmente um truísmo (obviedade). No núcleo do planejamento eficaz está a análise dos processos de negócios: para fazer corretamente a Recuperação de Desastres, você necessita executar primeiramente uma análise exaustiva do negócio fundamentada no modelo "negócio-processo-por-negócio-processo", descobrindo os workflows e suas relações com a entrada e saída de dados. Somente dessa maneira poderemos determinar com qualquer grau de exatidão quais processos (e suas relações com infra-estrutura e dados) sejam críticos. É um empreendimento difícil no melhor dos tempos e mesmo com um forte apoio da gerência.

O problema é que a análise do processo de negócios pode também trazer à luz ou ressaltar as ineficiências e as falhas nos próprios processos - algo que os gerentes de departamentos ou de negócios da empresa não ficariam entusiasmados em revelar! Sem o apoio da alta direção, o planejamento eficaz poderá ser efetivamente parado em sua caminhada, justamente neste estágio.

Reconhecendo este desafio, há uma tendência no geral de se saltar a análise de processo. Como conseqüência, é impossível reconhecer quais dados e infra-estruturas necessitam serem replicadas em uma situação de recuperação. Assim, os planejadores ainda são forçados a recuperar tudo - ou, pior ainda, fazer suposições sobre o que o plano deva restaurar. O resultado pode ser que a capacidade desenvolvida seja ineficaz em restaurar processos críticos em uma emergência, ou seja demasiadamente cara executá-la em tudo.

Módulo Security Magazine: E quais seriam as conseqüências que uma companhia sofreria em caso de falhas nesse planejamento?

Jon William Toigo: Muitos projetistas utilizam um fator estatístico de .01 para descrever a probabilidade que um desastre pode ocorrer em um dado ano - uma probabilidade de um em 100. Se esta estatística for sustentada, há 99 em 100 possibilidades que nenhuma emergência ocorra e a ausência de um plano não se transformará em um ponto importante. Entretanto, esses planos contêm também componentes para se evitar desastres e muitos dos desastres em potencial não evoluem em desastres reais precisamente porque os aspectos da capacidade de Recuperação de Desastres ajudam a impedir esses acontecimentos.

Assim, na ausência de um plano, podemos argumentar que a probabilidade de uma interrupção aumenta consideravelmente. Além disso, na ausência de um plano, todo o potencial de desastre que se manifestar pode ocasionar muito mais destruição do que ele causaria caso fossem pensados e adotados mecanismos de logística e cópias, além do treinamento para as equipes de recuperação antes que o evento acontecesse.

O simples fato é que as empresas que planejam a possibilidade de uma interrupção tendem a se recuperar quando uma (parada) ocorre. Aqueles que não (planejam), não conseguem. Muito do sucesso da recuperação está diretamente relacionado em se fazer testes, que ajudam as equipes de recuperação a pensarem racionalmente quando a grande falta de lógica de um desastre ocorrer.

Módulo Security Magazine: A pesquisa da Veritas aponta ainda que uma em cada cinco organizações teve que utilizar seus planos de desastres nos últimos 12 meses. Com sua experiência nessa área, com qual freqüência as empresas têm utilizado esses planos?

Jon William Toigo: Depende do que você define como capacidade de recuperação de desastre, que é produzida pelo plano. Diria que os planos estão sendo utilizados quase diariamente por muitas empresas. Você usa a estratégia de se evitar desastres - que inclui o gerenciamento contínuo e sistemas de monitoração - identificando possíveis eventos de interrupção (discos cheios quase à capacidade, por exemplo) antes que eles ocorram, sendo corrigidos antes que um desastre venha a ocorrer. O software antivírus, parte também de uma capacidade de prevenção de desastre, trabalha com cada e-mail recebido. Espelhamento é uma proteção contínua dos dados, quando é feito corretamente.

Assim, diante desta perspectiva, anular desastres e a capacidade de recuperação podem ser utilizadas a cada hora de cada dia. Agora, com que periodicidade você vai precisar se recuperar de um desastre que não poderia ser impedido é uma história diferente. Com minha experiência em quase 80 planos em um período de quase 15 anos, posso dizer que somente três foram exercitados completamente em resposta a desastres especificamente neste período: dois em resposta a calamidades naturais e um em resposta aos acontecimentos de 11 de setembro. Como contraste, o plano de Recuperação de Desastres de minha própria empresa foi posto em prática três vezes este ano: uma vez em resposta a um vírus que conseguiu passar por nossas proteções e paralisar nosso e-mail; e outras duas vezes em resposta aos furacões que passaram por Tampa Bay, Flórida, onde nós estamos sediados. Assim, não há nenhuma maneira de saber quando a ativação de um plano será requerida.

Módulo Security Magazine: Quais são os principais estágios de um plano de Recuperação de Desastres?

Jon William Toigo: Planejar, concebido originalmente como um projeto, acontece em três fases: iniciação e análise, esboço de estratégias e manutenção e testes. Cada uma dessas fases tem seus desafios. Na iniciação e na análise, você coleta dados, modela processos de negócios, determina vulnerabilidades, ajusta objetivos de recuperação e pesquisa como outras empresas estão tratando de suas exposições. Você necessitará também obter o gerenciamento de investimentos e aprovação orçamentária para as fases seguintes.

A fase de esboço das estratégias consiste na criação de logística e dos protocolos para detectar e impedir potenciais desastres, proteger dados e recuperar sistemas, redes, áreas de trabalho do usuário e aplicações na iminência de uma interrupção.

Já a fase de manutenção e testes envolve o treinamento das pessoas da equipe que responderão em caso de emergência, testando a capacidade e criando um sistema de realimentação ou um sistema de gerência de mudanças para manter a capacidade em conformidade com os processos de negócios e as mudanças da tecnologia.

Módulo Security Magazine: Com que freqüência as empresas devem revisar seus planos?

Jon William Toigo: Tão freqüentemente quanto possível. Uma vez por uma semana, se possível, em um conjunto de revisões documentadas. As considerações de recuperação de desastres devem ser também incluídas nos processos de quem seleciona componentes e serviços de infra-estrutura e desenvolvimento de aplicações. Muitas capacidades de recuperação de desastres podem ser projetadas dentro de nossos ambientes, prevenindo desse modo desastres contornáveis e simplificando a logística requerida para uma recuperação bem sucedida.

Módulo Security Magazine: Especialistas apontam que muitas empresas fazem tímidos investimentos em planos de Recuperação de Desastres devido aos custos elevados e por não verem um retorno sobre o investimento (ROI). Que tipo de argumentos um profissional de segurança deve usar para convencer a diretoria de sua empresa a investir - e obter retorno - nesta área?

Jon William Toigo: Esse possível ROI no planejamento da Recuperação de Desastres é certamente difícil de se fazer. Em vez disso, pode ser possível discutir que determinados aspectos desse planejamento podem render valor ao negócio através da definição de um modelo clássico de case de negócios. Pense nesse modelo como um triângulo limitado por três conceitos: redução de custos, redução de riscos e aperfeiçoamento de processos.

Todos supõem que a Recuperação de Desastres focaliza somente na redução de riscos e oferece quase nenhum valor nas categorias de redução de custos ou de aperfeiçoamento dos processos de negócios. Verdade seja dita, isto não representa a realidade! Um experiente planejador de Recuperação de Desastres procura o valor de "uso duplo" em componentes do plano para os negócios de sua empresa. Por exemplo, se você necessita de meios para recuperação, você precisa simbolizar uma maneira de fazê-los úteis à empresa em seu cotidiano e não apenas como uma capacidade vaga pronta para receber a carga de trabalho se o seu centro de dados principal falhar.

Talvez você use o centro de dados principal e os meios de backup em modo de produção - através da distribuição dos serviços locais para as comunidades de usuários dispersas geograficamente até que uma falha ocorra e a carga de trabalho crítica se desloque de um local ao outro. De forma alternativa, seu local remoto pode servir como um ambiente de testes do modo de produção quando ele não é utilizado para a recuperação - um lugar onde será possível testar mudanças nas aplicações antes que elas sejam colocadas em operações na área de produção. Similarmente, os meios de recuperação podem ser usados como um centro de aprendizado ou um centro de instrução de clientes quando não estiverem sendo utilizados como um espaço de trabalho para usuários finais em uma emergência.

Esse planejamento pode render também um aperfeiçoamento nos processos. Os dados coletados em uma análise contínua dos processos de negócios podem ser alavancados pelos planejadores de negócios para melhorar essa estrutura: ou para encontrar maneiras de se economizar na infra-estrutura atual de sustentação com objetivo de se diminuir os custos; ou para servir de modelo na hora das solicitações e despesas das novas linhas de negócios.

Minha experiência mostra que poucas diretorias ou gerentes seniores precisam de um ROI. A maioria quer exemplos de valores de negócios no qual possam compreender e os convençam que o planejador é sensível a seus interesses financeiros. Faça isso e você se tornará um amigo da sua diretoria.

Módulo Security Magazine: Para terminar, quais são as perspectivas para o futuro do mercado de Recuperação de Desastres?

Jon William Toigo: Acredito firmemente que qualquer coisa que começar a ser vendida sob o rótulo de "Recuperação de Desastres" conseguirá muito pouco. Também acredito firmemente que a Recuperação de Desastres precisa evoluir de um simples "parafuso" na estratégia que se dirige as vulnerabilidades de sistemas, redes e aplicações que já têm sido desenvolvidas para uma maneira como os sistemas, as redes e as aplicações são definidas, projetadas, adquiridas e controladas. Assim, tal estratégia estará "livre" de ser vista apenas como um adicional, limitado pelos orçamentos das organizações, reduzindo desse modo os problemas de gerenciamento de investimentos citados anteriormente.

Estabeleça como recuperar, e depois, ao longo do tempo, os instrumentos de sistemas para a capacidade de recuperação. Esta estratégia não produzirá uma capacidade da recuperação durante uma noite. Para se ter uma idéia, esse período para as 500 maiores empresas listadas pela revista Fortune pode durar três anos para que a capacidade de recuperação seja parte integral de projetos de aplicação e da arquitetura de sistemas e redes. Em pequenas e médias empresas, o tempo pode ser de cinco a sete anos, dependendo da freqüência com que os componentes de sistemas e da rede são modificados.

Em primeiro lugar, o mercado de Recuperação de Desastres, apresentado de forma simples, nunca deveria ter existido e deve partir de forma geral. Em vez disso, evitar desastres e as capacidades de recuperação deverão ser partes integrantes das "boas tecnologias" - tecnologia essa que é estável, bem preparada para a gerência e a segurança pró-ativa, projetada para estar altamente disponível e que possua outras propriedades (como redes auto-recuperáveis) que contribuam para a capacidade de rápida recuperação.

Isto somente acontecerá quando os consumidores exigirem tais características de seus fabricantes. Para obtermos este nível de conscientização, será preciso instruir os consumidores para que eles conduzam o gerenciamento e capacidade de recuperação ao topo da lista de exigências específicas nos pedidos de proposta para a comunidade de fabricantes.

Neste ínterim, podemos esperar a continuidade, de certa forma não contínua, das vendas de componentes tecnológicos, como as unidades de backup (tape libraries) e software de espelhamento de discos. Isso porque geralmente essas tecnologias são utilizadas depois que um desastre ocorre.



Luis Fernando Rocha é Editor-Assistente da Módulo Security Magazine. Email: lrocha@modulo.com.br

Um comentário:

Aúncio