Como as normas da ABNT contribuem na criação de políticas de backup

Como as normas da ABNT contribuem na criação de políticas de backup?

Um dos ativos mais importantes de uma empresa moderna são os dados pertinentes aos seus negócios. Informações técnicas relacionadas ao desenvolvimento de seus produtos, histórico de transações, dados dos clientes e análises das mais diversas naturezas são úteis para gerar valor, atender aos clientes com credibilidade e atestar a capacidade técnica da empresa.

A norma NBR ISO/IEC 17799 da ABNT se apresenta como uma importante referência para formular políticas de backup e segurança dos dados.

Primeiramente, ela mostra que a segurança da informação (SI) deve se pautar pela preservação da confiabilidade, integridade e disponibilidade da informação.

Em seguida, dentro do contexto da SI, a política de backup entra como uma forma de garantir que, em caso de eventualidades que possam levar à perda de informações — como falhas humanas, desastres naturais e problemas físicos nos equipamentos —, os prejuízos sejam minimizados e o tempo de retorno das operações reduzido.

Neste artigo, vamos mostrar o que a norma NBR ISO/IEC 17799 prescreve, além de boas práticas para o estabelecimento e implementação de uma política de backup em uma organização.

Essas informações são muito valiosas para a proteção das informações de sua empresa. Confira!

Política de segurança da informação

Segundo a Norma NBR ISO/IEC 17799, a política e os procedimentos de backup da organização estão dentro do escopo da política de segurança da informação. Uma vez definida e documentada a SI, a partir de um resumo de suas metas e do esclarecimento de sua importância, os gestores devem se comprometer com a sua aplicação e divulgação no ambiente corporativo.

Em seguida, é preciso de atribuir responsabilidades e capacitar os colaboradores continuamente  para a aplicação da política de SI.

Para a proteção dos dados, de tal forma que se mantenham acessíveis com qualidade e disponibilidade, as normas de backup de dados são definidas e implementas.

Política de backup de dados

As políticas de backup colocam as diretrizes para frequência, escolha dos locais onde são armazenados os dados, manutenção do hardware utilizado para o armazenamento e regras de nomenclatura dos arquivos.

Essas definições são estabelecidas com base na importância que a informação tem para os negócios e dos efeitos que a perda dados gerados têm sobre os processos.

Ressalta-se a importância do comprometimento das pessoas envolvidas com o uso dessas informações, tanto em relação ao conhecimento das normas quanto sua aplicação.

As cópias de segurança devem ser criadas de acordo com os seguintes parâmetros:

Níveis de backup

Níveis de backup consistem na diversidade de meios, locais e dispositivos que são empregados para a armazenagem de cópias de segurança das informações. No mínimo três níveis devem ser considerados, como um backup em disco local, outro em disco removível e remoto.

A ISO/IEC 17799 (ABNT, 2005) determina que as informações devem ser classificadas conforme sua importância para a organização. Aquelas consideradas mais críticas conforme os prejuízos que a sua perda acarreta para os negócios — como pagamento de multas e despesas com retrabalho, por exemplo — devem ser identificadas.

Assim, de acordo com o grau de criticidade especificado, são realizados os backups nos diferentes níveis, de acordo com a garantia de manutenção que se fizer necessária.

Registro e documentação

Todas as informações que auxiliam a identificar as cópias realizadas, bem como os procedimentos para sua restauração, devem ser documentadas de uma maneira compreensível.

Dessa forma, é possível reduzir o tempo para recuperação e disponibilização dos dados armazenados em backup, pois os responsáveis saberão encontrá-los com mais agilidade.

Extensão e frequência

As informações mantidas pela empresa podem demandar diferentes recomendações que garantirão seu uso eficiente quando precisarem ser recuperadas. Arquivos que são muito modificados demandam um backup mais frequente, enquanto os backups daqueles raramente alterados podem ser feito em intervalos maiores.

Assim, deve-se identificar as necessidades para a devida preservação desses dados. São caracterizadas pela extensão — se serão copiados integralmente ou apenas de forma incremental, a partir das modificações realizadas e periodicidade com que são realizadas cópias.

Localidade remota

Para uma maior garantia de proteção das cópias de segurança, principalmente em função de catástrofes naturais e conflitos humanos, a norma recomenda que sejam mantidas em locais geograficamente distantes. Dessa forma, ainda que uma grande região seja prejudicada, os dados permanecem preservados.

Proteção física e ambiental

Os locais onde os dados são armazenados devem estar protegidos de elementos que o ambiente externo impõe e podem se tornar danosos aos equipamentos utilizados para armazenagem, como poeira, calor e umidade.

Também deve ser realizado um controle das pessoas que podem acessar o estabelecimento, evita que estranhos possam acessá-las.

Testes e manutenção

A fim de evitar falhas ocasionadas por problemas físicos do hardware, as mídias usadas para armazenagem dos dados devem ser frequentemente avaliadas para atestar suas condições de operacionalidade.

Já em relação aos métodos para restauração dos dados, as rotinas para recuperação das informações, como as auditorias de backup, devem ser realizadas com frequência, o que assegurará que os funcionários estarão preparados para realizá-las quando necessário.

Criptografia e confidencialidade

Deve-se observar a necessidade de criptografia dos dados, em função da confidencialidade e para evitar as ameaças de segurança. Assim, dificulta-se o acesso e manipulação por intrusos que podem comprometê-los e até mesmo utilizá-los para fins ilícitos.

Recuperação de desastres

Não importa o tipo de problema que afete o acesso aos dados e sistemas que são essenciais para o funcionamento da organização. A geração de cópias de segurança deve incorporar todos os sistemas, aplicações e dados que permitirão que o uso dos software adotados como recurso tecnológicos possam voltar a funcionar.

Período de retenção

O tempo em que as informações que são indispensáveis para o negócio deve ser avaliado para evitar perdas de dados fundamentais para a organização e desperdício de recursos.

Isso deve ser feito considerando aspectos relacionados ao orçamento da TI, legislação vigente — que determina a perpetuação das informações — e contratos firmados, que serão continuados para que a empresa permaneça atuando no mercado.

Automação e autorregulação

A fim de evitar perdas de dados devido a falhas humanas e tornar mais fácil e homogênea a geração de cópias das informações, a norma NBR ISO/IEC 17799 (ABNT, 2005) recomenda que sejam utilizadas ferramentas que automatizem os processos de realização do backup.

As normas da ABNT trazem recomendações importantes que levam a um direcionamento das ações de proteção às informações das empresas. As políticas de backup estabelecidas conforme a norma visam garantir que os dados sejam mantidos de forma segura, com amplas garantias de serem recuperados de maneira mais eficiente.

E se você gostou das informações deste post, assine a nossa newsletter e receba mais informações sobre as melhores práticas de gestão de TI com exclusividade!

 

 


Compartilhe com um amigo!