São Paulo/SP – 30 de dezembro de 2022. Gestão de dados e backup são temas de vital importância para continuidade do negócio. É importante descrever o termo backup como uma cópia de segurança de dados digitais de um dispositivo que é realizada por empresas e pessoas com a intenção de recuperar algum dado ou informação quando necessário.
*Por Paulo Cilira
É importante descrever o termo backup como uma cópia de segurança de dados digitais de um dispositivo que é realizada por empresas e pessoas com a intenção de recuperar algum dado ou informação quando necessário. Geralmente as pessoas e empresas só percebem a importância de se ter uma frequência de Backups de seus arquivos quando um incidente de segurança ocorre, sendo necessário tomar as medidas suplentes para recuperação dos dados, muitos destes de vital importância para o funcionamento dos negócios.
Quando dados são perdidos e as atividades da empresa paralisadas integralmente ou parcialmente os clientes sentem o impacto. E dependendo da extensão dos danos, a empresa pode perder sua credibilidade. Quanto maior o tempo para retomada das atividades pior são os danos para imagem da empresa.
Mesmo com um processo de Backup pré-definido, este pode não ser o suficiente se feito de maneira incorreta, não por negligência, mas muitas vezes por falta de conhecimento por parte do custodiante da informação. Por não respeitar as fases do planejamento, levantamento da informação, criticidade dos dados, classificação da informação entre outras que quando ignoradas acabam por não validar a necessidade e qual informação que deveria estar contemplada no processo de Backup. Diante desse cenário é fundamental que exista uma Política de Backup estabelecida e documentada.
A Política de Backup
A Política de Backup possui um conjunto de regras a serem seguidas para garantir a integridade dos dados da empresa e consequentemente a continuidade do negócio após um incidente de segurança. De acordo com as boas práticas, que essa política deve abordar os seguintes tópicos:
- Responsáveis pelos backups,
- Tecnologia a ser implementada (hardware/softwares),
- Volume de dados,
- Periodicidade dos backups (mensal, semanal, quinzenal, anual)
- Vida útil da informação (a data do backup mais antigo),
- Interferência no ambiente funcional da empresa (janelas de backups),
- Procedimentos operacionais (indicando como, onde, quando e quem faz o backup),
- Local de Armazenamento das mídias de Backup,
- Tipos de mídias (LTO, DLT, DAT, AIT, CD, DVD, NAS (Network Arry Storage),
- Necessidade de replicação ou não de informações,
- Geração de imagens dos sistemas,
- Necessidades de agentes (programas especiais que fazem conexões com dados de correio eletrônico, banco de dados de uma forma segura, pois essas aplicações são proprietárias)
- Testes e restauração, cópia de arquivos abertos (Open File)
Tipos de Backups:
A seguir listamos alguns dos principais tipos de backup adotados por empresas. A escolha do tipo de backup mais apropriado deve considerar o contexto, a realidade e o volume de dados de cada empresa.
- Backup Full ou Completo: É aquele no qual se realiza a cópia de todos os arquivos de determinado ambiente ou servidor, para outro local de armazenamento, seja local, virtual ou em nuvem. É o tipo que demanda maior espaço de armazenamento e demora mais para ser completado, justamente pelo volume de dados ser maior;
- Backup Diário/Incremental: Este Backup tem foco em arquivos Criados/Alterados na data atual, ou que não tenham sido copiados ainda, sendo assim não demanda agenda ou interfere diretamente o funcionamento do ambiente de TI;
- Backup Semanal/Diferencial: Semelhante ao Diário/Incremental, porém com foco em uma leva maior de arquivos alterados com base com Backup Full;
- Backup Cópia: Foca na cópia de arquivos específicos independente de data ou alteração, podendo ser feito a qualquer momento sem alterar o funcionamento do ambiente operacional;
Considerações Finais
Gestão de dados e backup são temas de vital importância para continuidade do negócio. Na Política de Backup, é importante atentar-se a ‘o que copiar’, e questões como:
- Qual a importância da informação e o valor desta para sua empresa?
- Qual o período de validade desta informação?
- Quais impactos a perda desta informação trará para Organização?
- A Empresa pode continuar se esta informação estiver corrompida/comprometida?
- Se a direção necessitar acesso à informação e a mesma estiver indisponível, o quê acontece?
Também é importante o foco aos softwares utilizados na gestão de dados/backups, uma vez que softwares nativos de sistemas operacionais até entregam um gerenciamento de informações, porém eles ainda continuam muito escassos na variedade de opções no manuseio da informação e sua classificação de acordo com a criticidade. Em softwares de backup específicas(proprietárias), existe a possibilidade da ferramenta conseguir fazer esse backup e, nesse caso, são instalados agentes que permitam à ferramenta acessar o banco de dados e fazer a cópia de segurança necessária de acordo com a classificação de criticidade pré-definida.
Por fim, não adianta ter um processo de backup estruturado se não são feitos testes e restores para verificar se os dados que foram copiados nas mídias magnéticas podem ser recuperados quando forem requisitados em uma emergência. Também é recomentado que o local de armazenamento das mídias de backup também deve ser diferente do local onde operam os servidores do negócio, uma vez que em um possível incidente, eles também seriam comprometidos.
— Paulo Cilira é GRC Consultant na [SAFEWAY]
Como podemos Ajudar?
A SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 14 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.
Hoje por meio de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. Possuímos tanto a habilidade técnica quanto a experiência necessária para auxiliar sua empresa no processo de estruturação de controles e preparação do ambiente para implantação de SGSI, SGS ou SGCN e, consequentemente, certificação de operações, serviços ou empresas as normas ISO27001, ISO20000 ou ISO22301.
Com o intuito de apoiar as empresas nesse processo de avaliação e adequação aos requisitos da LGPD, a [SAFEWAY] possui em seu portfólio de serviços, o Cybersecurity Health Check cujo objetivo é executar um diagnóstico dos controles de CyberSecurity, Segurança da Informação e Privacidade de Dados implementados na sua empresa, contemplando os pilares de Processos, Pessoas e Tecnologia.
Por meio do Cybersecurity Health Check, são identificados os riscos associados a segurança da informação e privacidade dos processos e atividades internas, os controles existentes e avaliados novos controles de acordo com o porte de sua organização para aumentar o nível de maturidade e compliance, de acordo com as boas práticas de segurança da informação. Caso deseje mais informações, entre em contato com um de nossos especialistas!
