Continuando, conforme informado no post anterior, onde comecei a falar sobre Backup e segurança dos dados, a intenção neste artigo é dissertar um pouco sobre minha visão a respeito de "Política de Backup" e tentar desta forma esclarecer e discutir um pouco sobre este assunto de extrema importância.
Gosto sempre de começar meus escritos com uma definição acerca daquilo que estou escrevendo, mas desta vez, vou fazer um pouco diferente e dar minha própria definição para "Política de Backup". O termo refere-se não somente a um documento onde estão definidas diversas diretrizes sobre a gerência de backups da empresa, mas também a uma cultura adotada pela mesma, acerca da segurança e integridade dos dados.
A principal recomendação a respeito da criação e manutenção de uma política de backup, é que tudo, extremamente tudo referente a esta política deve estar documentado e sempre atualizado, afim de que esta documentação seja seguida à risca e seja de conhecimento de todos envolvidos no processo.
A seguir alguns tópicos e boas práticas (na minha visão) para que seja definida e implantada uma boa política de backup, e também para que esta não torne-se mais um documento que nunca é utilizado, ou sequer lido por nenhum dos colaboradores de uma empresa.
- Cenário Atual: É necessário realizar um levantamento detalhado do cenário atual como inventário dos ativos disponíveis para armazenamento, servidores envolvidos nos processos de backup e softwares utilizados, com a finalidade de se ter conhecimento dos riscos aos quais os dados estão sujeitos, os problemas e demais não conformidades encontradas, para que a implantação da política de backup possa mitigar tais problemas, minimizar os riscos e ajustar não conformidades.
- Tolerância à falha e tempo de downtime: Nesta fase é realizado a Identificação dos dados críticos da empresa, bem como o nível de criticidade destes dados, pretendendo-se com esta informação evitar a aquisição e disponibilização de recursos além do necessário, o que certamente aumentaria o custo da implantação da política de backup. Também deve-se fazer a verificação da tolerância ao tempo de downtime (tempo em que os dados ficam indisponíveis), esta será uma informação de extrema importância para a definição dos tipos e periodicidade dos backups.
- Políticas de Restauração: Afim de não ser pego de surpresa no evento de uma falha e também para minimizar o tempo de restore, independente se a tolerância e criticidade dos dados permitem um tempo maior, é necessário definir os responsáveis por cada uma das atividades relacionadas ao backup (Geração do backup, Restore, Documentação, etc), pois estando todos os papéis e funções bem definidos, cada um já saberá o que fazer no advento de um problema de proporções maiores.
- Testes de Restore: Um dos pontos mais importantes quando pretende-se implantar uma política de backup que seja eficiente e eficaz, é garantir que os backups gerados funcionem quando os mesmo forem necessários, pouco ou nada adianta você ter uma política de backup implantada, documentada e rodando perfeitamente em seu ambiente, se quando você precisar realizar um restore, seu backup falhar, neste caso todo o trabalho anterior terá sido em vão. Afim de evitar estes tipos de problemas, é extremamente necessário que na política de backup esteja explicitamente documentado a periodicidade e os procedimentos para realizações periódicas de testes de restore e validação dos backups gerados, inclusive gerando evidências e documentações destes testes realizados com ou sem sucesso. Assim garante-se que o backup está sendo realizado, e que estará sempre disponível quando se precisar do mesmo.
- Tipos de Backups e periodicidade: Com base nas informações previamente levantadas, é possível definir quais são os tipos de backup a serem realizados (Full, Diferencial, Log de Transações, Grupo de Arquivos, etc), bem como a periodicidade de cada um destes, esta definição está diretamente ligada à quão tolerante a empresa é à perda de dados e ao tempo suportado de downtime.
- Armazenamento do Backup: Deve-se definir mídias e locais seguros para o armazenamento do backup seguindo algumas recomendações básicas.
- Armazenar o backup em mídia seguro (Fita magnética por exemplo), e que fique fisicamente separado do servidor onde os dados estão em produção.
- Se possível e aplicável armazenar estas fitas magnéticas em cofres anti-chamas, anti-roubo e que tenha segurança contra acesso não autorizado.
- Restringir acesso ao local onde tais backups estão armazenados, somente às pessoas envolvidas no processo e os proprietários dos dados.
- Divulgação e atualização da política de backup: Uma vez desenvolvida, implantada e documentada, a política de backup deve ser amplamente divulgada ficando em local de fácil acesso a todos os envolvidos no processo de backup e também àqueles que podem porventura necessitar fazer solicitações de dados armazenados nos backups. Conforme previamente mencionado, devem ser definidos responsáveis por cada processo envolvendo o backup, e o responsável pela criação e manutenção da política de backup deve manter esta sempre o mais atualizada possível, divulgando novamente toda e qualquer alteração na mesma.
Estas são somente algumas das recomendações básicas para o desenvolvimento de uma política de backup que funcione e defina bem os processos para segurança e armazenamento dos dados de uma empresa.
Quando se pensa em backup e assuntos ligados a banco de dados como um todo, todo e qualquer cuidado e precaução são poucos, logo o responsável por este processo (geralmente um DBA) deve ser precavido e jamais sentir-se seguro e confortável com a configuração atual de seus sistemas de backup e deve buscar sempre melhorias e mudanças que aumentem a segurança relacionadas aos dados pelos quais é responsável.
Em próximos posts, partirei um pouco mais para a prática demonstrando passo a passo a criação de backups e restores com os principais tipos disponíveis pelo SGDB SQL SERVER.
Se você chegou até aqui, por favor deixe sua crítica, comentário sugestão ou opinião, se devo parar ou continuar, e qual direcionamento dar nos próximos posts.
Até a próxima edição...
Att.:
Edvaldo Castro