Mais tecnologia é sinónimo de inovação e crescimento, mas também de maiores riscos na gestão dos dados gerados. O investimento em soluções de Backup & Data Governance tornou-se, por isso mesmo, mais importante do que nunca.
Rui Caeiro, Business Developer Manager
Claranet Portugal
Ao longo dos últimos anos, assistimos a muitas empresas em todo o mundo a focar cada vez mais o seu investimento na transformação digital, num caminho de transição especialmente notório em época de pandemia, através do crescimento acentuado do trabalho remoto.
Esta nova força laboral, agora altamente ágil e dispersa, exigiu das organizações uma nova forma de gestão de informação, criando o desafio de manter não só a disponibilidade, como também a segurança dos dados.
Existem cada vez mais tecnologias implementadas nas organizações, essenciais para corresponder à demanda e às necessidades de inovação e cruciais para manter, ou aumentar, a competitividade de qualquer empresa. Nestes novos cenários, os dados estão distribuídos por múltiplos ambientes - desde on-prem, híbridos e Multi-Cloud, até às configurações Edge -, o que aumenta a exposição ao risco de perda ou de comprometimento da informação, com o consequente desafio de recuperabilidade dos mesmos.
Numa conjuntura marcada por ciberataques sem precedentes e por empresas que veem a sua imagem e reputação sujeita ao escrutínio dos seus parceiros de negócio e da opinião pública¹, é hoje notório que uma metodologia tradicional de gestão de dados está longe de ser suficiente! É necessária uma abordagem moderna, que tenha como prementes não só os cenários típicos de salvaguarda e restauro de informação, a componente de recuperação de desastre (DR), como também a própria gestão e segurança dessa informação.
¹ De acordo com dados do Relatório Cibersegurança em Portugal do CNCS (Centro Nacional de Cibersegurança)
No final do dia, para que servirá o backup se a recuperação não for bem-sucedida? Essa recuperação será tanto melhor quanto menor for a perda de dados e mais rápido for todo o processo.
Estratégia para o plano de backup e recuperação
A melhor prática para a implementação do plano de backup assenta sobre a regra 3-2-1, que define que sejam mantidas três cópias dos dados, salvaguardadas em dois repositórios distintos e uma cópia off-site. Esta tem sido a abordagem estratégica mais implementada e a que oferece a tranquilidade necessária à maior parte das organizações.
Como exemplo prático e simples, considere-se o backup de um workload crítico:
- A primeira cópia é assegurada no datacenter produtivo para recuperação rápida (exemplo: storage snapshot ou outro repositório de backups);
- A segunda cópia é mantida em appliance ou tape;
- A terceira cópia é efetuada para um MSP ou Cloud Provider.
Existem outras estratégias que exploram tecnologias recentes para responder aos desafios atuais do ransomware, como é o caso da regra “3-2-1-1”, sendo esse “1” adicional uma cópia offline ou com recurso à tecnologia de “air-gap” - ou seja, sem conexão direta e/ou permanente ao ambiente produtivo.
Ainda na temática do ransomware, surgiu há alguns anos uma tendência denominada IRE (Isolated Recovery Environment). Esta visa ter preparada uma estrutura isolada para efeitos de recuperação de dados, que sirva como staging e que permita isolar toda a informação de uma infeção antes de ser novamente transposta para o ambiente produtivo. Esta estrutura, apesar de implicar um investimento adicional, permite que a recuperação seja mais célere e eficaz, evitando múltiplas tentativas de restauro até ter a certeza que não existem ficheiros comprometidos.
Os workloads na Public Cloud
Foi com satisfação que assistimos a uma transição massiva dos ambientes tradicionais para soluções Cloud SaaS, garantido maior agilidade e simplicidade na gestão nestes workloads. Contudo, com este movimento, grande parte das organizações optou por descurar a sua responsabilidade em salvaguardar estes ativos.
Vejamos o mail, por exemplo: sim, é claramente um ativo! Na grande maioria das organizações, uma percentagem muito significativa do negócio flui através do e-mail. É informação, são dados, os seus dados! Imagine perder todo o histórico de e-mail da sua organização. Não só o e-mail, mas também calendário, contactos, entre outros.
Para os mais desatentos, fica o convite para visitar o modelo de responsabilidade partilhada da Microsoft, no qual está claramente indicado que é da responsabilidade do cliente a salvaguarda da informação.
Então e o Salesforce, o Teams, o Sharepoint e o Dynamics, entre outros? Será que a política de compliance ou a obrigatoriedade com a conformidade regulatória do setor onde se insere não exige que salvaguarde também estes ativos?
Modelo de responsabilidade partilhada da Microsoft
6. Service availability.
b. We strive to keep the Services up and running; however, all online services suffer occasional disruptions and outages, and Microsoft is not liable for any disruption or loss you may suffer as a result. In the event of an outage, you may not be able to retrieve Your Content or Data that you’ve stored. We recommend that you regularly backup Your Content and Data that you store on the Services or store using Third-Party Apps and Services.
Existem atualmente muitas ofertas no mercado capazes de salvaguardar a informação que reside nas aplicações SaaS de Public Cloud, com custos relativamente baixos.
A chave de sucesso de uma estratégia de gestão de dados
Não faltam recursos online sobre esta temática, afinal, vivemos na era da informação. O que posso partilhar, além de informação redundante, é experiência! Experiência essa resultante de interação com múltiplos clientes que todos os dias pedem apoio à Claranet para o desenho e implementação da sua estratégia de backup, e outros que, por vezes, solicitam ajuda quando é tarde demais e necessitam de um parceiro de confiança para recuperar os seus ambientes.
Assim, deixo algumas notas que considero útil partilhar:
- Pensamos sempre que só acontece aos outros: a falta de investimento numa boa estratégia de backup e de recuperação de desastres pode ser catastrófica para uma empresa. No caso, por exemplo, de um hospital, pode mesmo significar a perda de vidas humanas se forem afetados sistemas críticos.
- À semelhança do que se pratica na componente de redes com o “Zero Trust”, é importante implementar uma estratégia de backup que aponte para “Zero Loss”; os dados são hoje o ativo mais importante das empresas!
- Atualmente é imperativo implementar tecnologia que permita a configuração de repositórios imutáveis; só assim se conseguirá fazer frente a ameaças como o ransomware.
- Testes regulares à recuperabilidade da informação: de nada vale investir milhares de euros em tecnologia de backup, se não tiver clareza de que a sua recuperação é efetiva e eficaz.
A questão fundamental deixou assim de ser se é necessário investir em soluções de Backup & Data Governance, e passou a ser a seleção do tipo de solução mais adequada a cada organização. Nesse contexto, a escolha de um Provider com know-how e experiência comprovados é a melhor maneira de responder ao desafio da gestão e proteção de dados.