Auditoria de Backup: a sua empresa está fazendo?

Quem faz a gestão de TI de uma empresa sabe que nem sempre sobra tempo para acompanhar de perto se um processo existente está sendo executado corretamente. E quanto mais o negócio cresce, maior é o número de processos importantes sendo executados dentro do departamentos de TI diariamente, não é mesmo?

É aí que entram as questões: seu processo de backup está sendo executado? Os dados estão realmente protegidos? quais as evidências e garantias? É aí que entra a Auditoria de Backup.

Se a sua empresa ainda não está cumprindo essa atividade de extrema importância, é hora de buscar informações e colocá-las em prática. Por isso, continue acompanhando este post!

O que é a auditoria de backup?

A auditoria de backup é um processo que promove mais controle na proteção dos dados da empresa. A auditoria de backup limita-se a validar se o backup está sendo feito da forma correta.

Por que a auditoria de backup é fundamental?

A auditoria de backup é importante porque garante que os dados gerenciados pelo TI estejam adequadamente protegidos e bem gerenciados.

A auditoria também reduz o risco de adulteração, perda ou vazamento de dados, assim como a interrupção do serviço e a má gestão.

Um dos objetivos ao implementar essa auditoria é aumentar a transparência do processo de backup. Uma auditoria bem feita avalia o processo de backup em questão, determinando se ele possui capacidade de atender às necessidades da instituição. O processo também fiscaliza se as normas estabelecidas pela equipe interna de TI estão sendo cumpridas.

Por mais eficiente que seja o trabalho dentro da empresa, a auditoria é uma forma de se certificar de que a TI está mitigando os riscos existentes. Quem é da área conhece os perigos a que as organizações estão sujeitas e sabe o impacto que isso pode causar para o negócio, tanto em termos de imagem de marca quanto no aspecto financeiro.

Existem itens simples que, se não forem bem gerenciados, podem gerar um grande impacto negativo para a organização.

Auditoria de Backup de TI: o controle que sua empresa precisa

O backup já é, por natureza, um procedimento que visa aumentar a segurança digital. Porém, isso não significa que qualquer backup vai atender às expectativas e garantir que os dados estejam seguros.

Inclusive, quando uma empresa passa por uma auditoria de certificação (por exemplo, ISO), o backup é um dos pontos que os auditores avaliam com mais atenção e rigidez. Por isso, conheça agora os cinco pontos fundamentais em uma auditoria de backup de TI:

1. Procedimento

Documentar uma auditoria de backup é o primeiro passo para manter a qualidade do processo.

Imagine que você não esteja na empresa e outra pessoa precise fazer o trabalho. Nesses casos, é fundamental ter um procedimento, documento ou instrução por escrito. Sem falar que isso é muito bem visto pelas certificações ou até mesmo por clientes e investidores.

Em relação ao procedimento, procure documentar aspectos como:

  • De que forma o backup é feito;
  • Onde estão os documentos;
  • Como são registradas as evidências do backup.

2. Rotina

O segundo ponto fundamental para uma auditoria de backup é a rotina, pois é ela quem garantirá que o backup não será esquecido ou deixado para depois — o que aumentaria muito o risco da perda de dados.

Experimente perguntar para a sua equipe qual foi a última vez que eles fizeram backup do sistema e como exatamente esse procedimento foi realizado. Caso ninguém tenha certeza, é um péssimo sinal. Ao invés disso, estabeleça uma frequência fixa para o procedimento e procure responder às seguintes questões:

  • Como, fisicamente, o backup é salvo (por exemplo: em fita, replicação entre sites distintos, datacenter, nuvem, via internet etc.)?;
  • Com que frequência o backup é realizado?;
  • Como é feita a restauração em caso de perda de dados?.

3. Sistema

O sistema utilizado para realizar o backup é de extrema importância, já que é o responsável pela cópia dos arquivos. Entretanto, além de escolher o sistema mais adequado, é fundamental que a equipe saiba como controlar e tratar os possíveis erros que venham a ocorrer.

Nesse quesito, fique atento aos seguintes pontos:

  • Qual é o sistema utilizado;
  • Qual é a política do backup (horários, frequência, o que está programado para ser salvo etc.);
  • Onde a efetividade do backup é monitorada.

4. Armazenamento

A ideia básica por trás do backup é ter uma cópia de segurança. Porém, essa cópia só será realmente segura se o armazenamento for confiável, certo? Caso exista uma falha grave no armazenamento, consequentemente haverá uma falha em todo o processo de backup.

Nesse ponto você deve ficar atento às condições físicas de armazenamento. Quer um exemplo? Digamos que o backup seja feito em fitas, porém todas elas fiquem armazenadas dentro do próprio edifício da empresa. Essa é uma falha grave, pois em caso de incêndio todos os dados serão perdidos.

Alguns dos principais requisitos a considerar nessa etapa são:

  • Locais de armazenamento (no mínimo 3 locais diferentes);
  • Condições físicas do backup local (temperatura, umidade etc);
  • Quem tem acesso ao material;
  • Tempo é necessário para ter acesso ao backup.

5. Evidências

Lembre-se que a auditoria não serve apenas para garantir a segurança dos dados — essa é apenas metade do trabalho. A outra parte fundamental é transmitir segurança à diretoria da empresa, aos clientes, e assim por diante.

Por isso, as evidências são parte indispensável desse trabalho. Sem elas não há provas de que os backups estão sendo realizados de acordo com as melhores práticas. Veja algumas rotinas a serem adotadas:

  • Evidências de restauração: é importante marcar restaurações periódicas como teste. A partir delas, você saberá que os dados estarão seguros caso um problema venha a ocorrer futuramente;
  • Evidências de armazenamento: consiste em guardar os comprovantes de armazenamento externo, por exemplo;
  • Evidências de falhas: trata-se de registrar como os erros são identificados, sinalizados e corrigidos;
  • Evidência de periodicidade: são documentos que comprovam a frequência com que os backups são feitos.

Muitos profissionais encaram a auditoria de backup simplesmente como um mal necessário, principalmente por não estarem acostumados a realizar essa atividade. Mas o fato é que o processo traz muitas vantagens para a empresa.

Não apenas na questão da segurança em si, mas também na imagem corporativa que é transmitida aos clientes, à concorrência, ao público interno e até mesmo a possíveis investidores. Ou seja, mais do que uma obrigação, a auditoria é um processo benéfico que traz ainda mais tranquilidade para quem está à frente da empresa.

E você, gostou desse post sobre auditoria de backup? Está pronto para executar a auditoria de backup de TI?

  • charles

    muito bom. Como auditor de TI eu faço um trabalho bem dedicado a importância do controle da segurança da informação. Muitas vezes existem políticas porém as mesmas estão sem atualização e não existem testes e monitoramento adequado das rotinas de backup e tão pouco de restore..

    • Vinicius Durbano

      Obrigado por compartilhar sua experiência, Charles.

      Na sua opinião, qual o principal motivo que faz com que os profissionais e gestores de TI não dê importância para essas rotinas que citou?

      • charles

        Um dos maiores problemas que observo em se tratando de empresas médias no BR, seria o fato da TI estar focada demais no suporte aos usuários muito ainda devido ao fato de ser reativa quanto as necessidades de atendimento ao negócio. Vejo a TI destas empresas com uma workforce desalinhada das melhores práticas infelizmente. No dia a dia do trabalho na área de auditoria, me deparo com equipes de TI com baixo nível de certificação e com pouquíssimos profissionais dedicados às Áreas como segurança da informação. Se vc verificar , o mesmo analista que cuida da infraestrutura cuida também da segurança e isto muitas vezes faz com que a area se descuide do monitoramento necessário por exemplo no caso de backup e restore.
        Carlos Maia
        http://www.marketingtimaia.com.br

        • Vinicius Durbano

          Faz sentido, Charles!
          Sem dúvida a falta de especialização e capacitação em segurança e governança, são motivos.

          Obrigado pela participação e não deixe de se inscrever na nossa newsletter, ok?

          Abraço!

          • charles

            ja fiz, abraços


Compartilhe com um amigo!