Disaster Recovery-as-a-Service: quando tudo corre mal

Dedicar recursos para a defesa da organização é essencial, mas os ciberataques são inevitáveis e cada vez mais destrutivos. O cibercrime está cada vez mais organizado e, pelo menos na teoria, só precisa de acertar uma vez; quem defende, por seu lado, tem de acertar todas, já que falhar uma só pode significar parar a operação.

A probabilidade não está do lado de quem defende; quem defende tem de se debater com um sem número de diferentes atacantes, que utilizam diferentes técnicas e que exploram diferentes vulnerabilidades.

Se uma organização coloca em prática todas as medidas de cibersegurança, então passa a estar mais preparada para se defender das ciberameaças. No entanto, e como é bem sabido, falhas de segurança são sempre possíveis de acontecer e, como tal, é imperativo concentrar-se também no plano de recuperação.

A importância do plano

É um facto que o plano de disaster recovery não se aplica apenas a ciberataques; diz respeito a todo o tipo de interrupções – como desastres naturais – que possam parar o negócio por um determinado período de tempo. No entanto, neste artigo, iremo-nos focar apenas no ponto de vista de cibersegurança.

Estes planos podem ser consumidos como um serviço (Disaster Recovery-as-a-Service, ou DRaaS) ou feito in-house pela própria organização. Cada um dos modelos tem as suas vantagens e desvantagens.

Manuel Prates, IBM Portugal

Hoje, “ter um plano de recuperação não é uma opção”, como diz Fernando Egido, Country Manager da Infinidat para Portugal e Espanha, e, na verdade, “os planos de recuperação de desastre há muito que se tornaram uma exigência de qualquer organização”, como refere Manuel Prates, System Sales Specialist da IBM Portugal.

Fernando Egido indica que, “de acordo com dados da Forrester dos primeiros meses após o surto da COVID-19, 77% dos responsáveis de compras disseram não ter a certeza se o seu plano de continuidade conseguiria resistir à pandemia. É evidente que, tal como agora, as empresas precisam de soluções modernas que ofereçam alta disponibilidade, ciber- -resiliência e, claro, recuperação rápida e eficaz em caso de catástrofe”.

Isabel Dombriz, Account Manager da Commvault para Portugal, relembra que “todas as organizações têm de recuperar os seus dados em algum momento, provavelmente mais do que uma vez”, seja por catástrofes naturais, paragens de serviço ou falhas de hardware ou segurança dos dados, assim como ciberataques. “As organizações precisam de recuperar os seus dados rapidamente e com a menor perturbação possível. Por conseguinte, ter um plano de recuperação de desastres em vigor é crítico – vital mesmo – para qualquer organização”, acrescenta.

Para Manuel Prates, estes planos de recuperação de desastre “ganharam ainda mais relevo à medida que as empresas foram avançando no seu plano de digitalização. Os planos de recuperação de desastre – que começaram por endereçar desastres naturais ou de erro humano – têm evoluído nos últimos anos no sentido de dar uma importância cada vez maior aos ataques informáticos. Os ciberataques passaram a estar no topo da lista dos principais riscos para as empresas”.

Fernando Egido acrescenta, ainda, que “a chave já não é apenas otimizar a velocidade de backup, mas também - e acima de tudo - minimizar os tempos de recuperação e o tempo de paragem. Há que conseguir dar uma resposta eficaz aos crescentes requisitos em termos de proteção de dados, recuperação de desastres e continuidade do negócio”.

DRaaS VS. BaaS

O Backup-as-a-Service (BaaS) não é sinónimo de recuperação de desastre; tal como diz Fernando Egido, da Infinidat, o disaster recovery “é, na realidade, uma aplicação avançada de backup”.

Fernando Egido, Infinidat

“O backup centra-se na proteção dos dados da organização, enquanto o disaster recovery permite à empresa recuperar de um evento inesperado, um ciberataque ou erro humano, e regressar ao ponto antes desse evento no menor tempo possível, para minimizar o tempo de paragem e assegurar a continuidade da atividade normal da empresa. E tudo isto é posto à disposição do cliente para gestão on-premises ou consumo como um serviço”, indica o responsável da Infinidat.

Manuel Prates relembra que “o backup é uma das peças possíveis do disaster recovery. Ou seja, um plano de recuperação de desastre utiliza os backups existentes como uma das metodologias para recuperar serviços em caso de desastre. O facto de poder ser as-a-Service e apenas o modo de consumo do serviço e da tecnologia”.

Por seu lado, Isabel Dombriz relembra que o backup se concentra “em salvaguardar os dados que uma empresa gere, ou seja, é uma cópia de segurança dos mesmos. Contudo, um sistema de recuperação de desastres vai mais longe, suportando tanto os dados como os processos. Se uma empresa sofre um incidente em que as suas máquinas virtuais deixam de funcionar devido a um incidente, com uma solução de disaster recovery será possível voltar ao ponto anterior a esse evento num curto espaço de tempo, e continuar a funcionar praticamente sem tempo de paragem”.

Serviço ou in-house?

Os planos de disaster recovery não obrigam que sejam contratados como um serviço, podendo a organização ter esse plano on-premises. Isabel Dombriz refere que a principal vantagem em comparação com as soluções tradicionais é “a facilidade de gestão” do serviço. “Ter os dados armazenados na cloud evita ter de mover manualmente os dados para locais externos e alternar entre dispositivos de armazenamento. Também transfere a responsabilidade de realizar verificações de integridade e deduplicação para o fornecedor”, diz.

Simultaneamente, acrescenta a responsável da Commvault, “elimina a necessidade dos componentes físicos de backup, tais como unidades de fita, servidores e outro hardware. São equipamentos caros, que requerem muita manutenção e não duram para sempre. Os servidores na cloud não se tornam obsoletos, pelo que não precisam de ser substituídos como os servidores de hardware” por parte dos clientes.

Para Fernando Egido, a principal vantagem das soluções as-a-Service é que “requerem um investimento inicial mais baixo e maior flexibilidade em termos de custos”, mesmo sabendo que “envolve certos riscos que dependem do serviço de um terceiro”.

Já Manuel Prates indica que “as grandes diferenças entre o Disaster Recovery as-a-Service e o in-house são o modo de consumo. Feito in-house, o cliente tem uma total responsabilidade na elaboração e operação do plano de recuperação de desastre. Ao externalizar este serviço, sob a forma de Disaster Recovery as-a-Service, o cliente transfere, principalmente, a operação do serviço para uma empresa especializada, sendo que esta transferência, tipicamente e em tese, faz subir os respetivos custos associados”.

Adoção em Portugal

Pela sua experiência, os três executivos indicam que existe um interesse crescente por este tipo de serviços por parte das organizações portuguesas.

Isabel Dombriz, Commvault

Manuel Prates, da IBM, refere que “existem várias empresas de vários ramos de atividade económica que avançaram para a contratualização de serviços de recuperação de desastre”. Isabel Dombriz, por seu lado, refere que desde que a Commvault lançou a sua solução de backup e recuperação que tem existido uma aceitação “impressionante” na Península Ibérica. Por fim, a Infinidat tem registado “um interesse crescente por parte das organizações” nas soluções e serviços de recuperação de desastre.

Quando o plano está comprometido

Apesar de o plano de recuperação de desastre dever ser a última barreira, também esse plano pode estar comprometido. Um ataque de ransomware, por exemplo, pode, também ele, comprometer a cópia – até porque, assim, levará a uma maior probabilidade de pagamento do resgate por parte da organização.

Fernando Egido diz que, no caso do ransomware, os cibercriminosos “sabem que não basta sequestrar dados corporativos críticos que se encontram no armazenamento primário e querem também outros dados de alto valor, localizados em armazenamentos secundários e repositórios de backup. Isto, com efeito, afeta qualquer plano de continuidade do negócio. As empresas precisam de sistemas ciber- -resilientes de backup e recuperação, e de os tornar num componente crítico da estratégia de segurança da organização”.

Manuel Prates indica que “o próprio plano de recuperação de desastre pode ser comprometido com um ataque de ransomware”. É por isso, diz, que “as empresas especializadas nestas áreas da cibersegurança” têm “desenvolvido soluções e serviços para ajudar as empresas a recuperar em caso de ataque”.

Algumas destas soluções, refere o responsável da IBM, são guardados em ‘vaults’ através de cópias imutáveis que impossibilitam o seu acesso por terceiros. “No caso de um ataque de ransomware, o cliente pode repor os dados mais críticos de uma forma rápida e segura, acedendo e recuperando uma cópia não infetada”.

Por fim, Isabel Dombriz afirma que “é preciso ter em mente que os cibercriminosos estão cientes de que o backup é um risco para os seus propósitos, pelo que também tentarão atacá-lo. Um ataque de ransomware é quase sempre um processo progressivo. O malware mantêm-se latente num dispositivo para aprender o comportamento das rotinas de backup”.