DataBackup
Continuidade de Negócios22 min de leituraJosé Simoni

Disaster Recovery Plan: Template e Guia Passo a Passo

Um plano de disaster recovery (DRP) bem estruturado pode ser a diferença entre recuperar suas operações em horas ou em semanas. Veja o template completo e aprenda a criar o seu.

Por que Todo Negócio Precisa de um DRP Formal

Pontos-Chave

  • Um DRP testado transforma recuperação de semanas em horas
  • O custo médio global de uma violação atingiu US$ 4,88 milhões, segundo o IBM Cost of a Data Breach Report
  • A ISO 22301 define BIA e RTO/RPO como núcleo do planejamento de continuidade
  • Ataques de ransomware atingem maioria das organizações anualmente, conforme o Sophos State of Ransomware
  • Testes semestrais são o mínimoDRP sem teste é ficção documentada

Um Disaster Recovery Plan (DRP) é um dos documentos mais críticos para qualquer empresa que depende de tecnologia — e hoje, praticamente todas dependem. Pesquisas setoriais mostram que uma fatia significativa das PMEs que sofrem perda total de dados encerra atividades em poucos meses. Ainda assim, a maioria das empresas brasileiras opera sem um DRP formalizado.

O DRP não é um documento técnico guardado na gaveta. É um roteiro acionável que permite à equipe de TI — e a toda a organização — agir de forma coordenada quando o pior acontece. Seja um ataque de ransomware, falha de servidor, incêndio no datacenter ou erro humano apagando produção, o DRP define o que fazer, quem faz e em quanto tempo.

Neste guia, você encontra um template completo adaptado à realidade brasileira, com seções que podem ser usadas como base direta para o plano da sua empresa.

DRP, BCP e a Relação com Backup

O DRP foca recuperação de TI. O BCP (Business Continuity Plan) abrange pessoas, processos e instalações. O DRP é um componente do BCP, e ambos dependem de uma base de backup corporativo sólida. Sem backup confiável, não há DRP — só esperança.

Soluções modernas integram o DRP com BaaS e DRaaS, viabilizando replicação contínua para nuvem e failover automatizado. Isso reduz drasticamente RTO e RPO, permitindo recuperação em minutos.

Template de Disaster Recovery Plan

Seção 1: Visão Geral e Escopo

  • Nome do documento: Plano de Recuperação de Desastres — [Nome da Empresa]
  • Versão: controle de versões com histórico
  • Data de aprovação e próxima revisão (máximo 6 meses)
  • Patrocinador executivo: C-level responsável
  • Gestor do plano: responsável pela manutenção (CIO, CISO)
  • Escopo: quais sistemas, sites e processos estão cobertos
  • Exclusões: o que explicitamente não está coberto

Seção 2: Equipe de Resposta (DR Team)

  1. Coordenador do DR — autoridade de decisão durante o incidente
  2. Líder técnico de infraestrutura — executa restaurações
  3. Líder de aplicações — valida sistemas restaurados
  4. Líder de rede — reestabelece conectividade
  5. Comunicação e crise — mídia, clientes, parceiros
  6. Jurídico e compliance — notificações LGPD à ANPD
  7. Liderança executiva — decisões estratégicas

Cada função precisa ter um titular e um substituto documentados. Contatos 24/7 obrigatórios.

Seção 3: Análise de Impacto ao Negócio (BIA)

A base de todo DRP, conforme a ISO 22301. Para cada sistema crítico:

  • Impacto financeiro por hora de indisponibilidade
  • Impacto operacional (processos dependentes)
  • Impacto regulatório (LGPD, BACEN, ANS)
  • Impacto reputacional
  • Dependências upstream e downstream
  • RTO e RPO definidos e validados

Seção 4: Classificação de Sistemas (Tiers)

Tier Criticidade RTO RPO Estratégia
0 Missão crítica < 1h < 15 min Replicação ativa + DRaaS
1 Crítico 1-4h 1h Replicação assíncrona
2 Importante 4-24h 4-12h BaaS com snapshots
3 Padrão 24-72h 24h Backup diário

Seção 5: Cenários de Desastre Cobertos

  • Ransomware e malware destrutivo — ver proteção contra ransomware
  • Falha de hardware crítico (servidor, storage, switch core)
  • Falha de datacenter (energia, refrigeração, conectividade)
  • Desastres naturais (enchente, incêndio, terremoto)
  • Erro humano (exclusão acidental, comando destrutivo)
  • Ataque à cadeia de suprimentos (comprometimento de fornecedor)
  • Indisponibilidade de provedor cloud

Seção 6: Procedimentos de Recuperação (Runbooks)

Para cada sistema, um runbook detalhado com:

  1. Descrição do sistema e dependências
  2. Pré-requisitos de recuperação (credenciais, DNS, rede)
  3. Passos numerados de restauração
  4. Testes de validação pós-restauração
  5. Critérios de aceite para considerar o sistema "em produção"
  6. Rollback caso a restauração falhe

Seção 7: Comunicação Durante o Incidente

  • Matriz de escalada — quem aciona quem, em quanto tempo
  • Canais primários e secundários (WhatsApp, telefone, e-mail pessoal)
  • Templates de comunicação para clientes, mídia, funcionários
  • Ponto único de verdade (war room físico ou virtual)
  • Cadência de updates (a cada 30 min nas 4 primeiras horas)

Seção 8: Infraestrutura de Recuperação

  • Localização dos backups (primário e secundário)
  • Tecnologia de backup (imutável, offsite, air-gapped)
  • Provedor de DRaaS
  • Site alternativo (hot, warm ou cold)
  • Contratos de emergência com fornecedores

Seção 9: Testes e Validação

Um DRP sem testes é ficção documentada. Estabeleça cronograma:

  • Trimestral: testes parciais (restauração de sistemas individuais)
  • Semestral: teste completo de failover
  • Anual: simulação full-scale com todos os times
  • Após mudanças relevantes: teste direcionado

Cada teste gera relatório com RTO real medido, gaps identificados e ações corretivas.

Seção 10: Manutenção e Atualização

  • Revisão formal a cada 6 meses
  • Atualização após qualquer mudança arquitetural significativa
  • Atualização após incidentes reais (lições aprendidas)
  • Aprovação executiva a cada nova versão

Checklist de Implementação do DRP

  1. Patrocínio executivo formalizado
  2. Gestor do plano nomeado
  3. Equipe de resposta definida com titulares e suplentes
  4. BIA concluída para sistemas críticos
  5. RTO e RPO aprovados pelas áreas de negócio
  6. Sistemas classificados em tiers
  7. Tecnologia de backup adequada a cada tier implementada
  8. Backup imutável para proteção anti-ransomware
  9. Regra 3-2-1-1-0 atendida
  10. Runbooks documentados para cada sistema crítico
  11. Matriz de comunicação definida
  12. Primeiro teste executado e documentado
  13. Cronograma de testes futuros aprovado
  14. Plano integrado ao política de backup corporativa
  15. Aderência a LGPD e normas setoriais validada

Checklist de Seções Obrigatórias do DRP

Um DRP completo precisa conter todas as seções listadas abaixo. Use esta tabela para auditar seu plano existente ou validar um novo documento antes da aprovação executiva.

Seção Conteúdo Mínimo Responsável pela Elaboração Frequência de Revisão
Visão geral e escopo Objetivo do plano, sistemas cobertos, exclusões, versão e datas Gestor do DRP / CISO A cada revisão do plano
Equipe de resposta Nomes, funções, contatos 24/7, substitutos RH + TI Trimestral
BIA (Análise de Impacto) Impacto financeiro, operacional, regulatório e reputacional por sistema Negócio + TI Anual
Classificação de sistemas Tiers com RTO/RPO e estratégia de proteção Arquiteto de TI Semestral
Cenários de desastre Lista de cenários cobertos com probabilidade e impacto Segurança + TI Anual
Runbooks de recuperação Passos detalhados, pré-requisitos, validações, rollback Equipe técnica A cada mudança de infra
Comunicação de crise Matriz de escalada, templates, canais, cadência de updates Comunicação + TI Semestral
Infraestrutura de recuperação Locais de backup, tecnologias, provedores, site alternativo Arquiteto de TI A cada mudança de infra
Plano de testes Cronograma, tipos de teste, métricas, critérios de sucesso Gestor do DRP Anual
Manutenção e governança Processo de revisão, aprovações, controle de versão Gestor do DRP A cada revisão
Apêndices Inventário de ativos, diagramas de rede, contratos, licenças TI Contínua

Dica prática: se uma seção estiver incompleta ou ausente, marque-a como "em construção" com data-alvo de conclusão. Um DRP parcial documentado é melhor que nenhum plano.

Matriz RTO/RPO por Tipo de Sistema

A definição de RTO e RPO precisa ser granular. Cada tipo de sistema tem características diferentes de criticidade, volume de mudanças e complexidade de restauração. Use esta matriz como ponto de partida e ajuste conforme a realidade da sua empresa.

Sistema RPO Recomendado RTO Recomendado Estratégia de Backup Estratégia de DR
ERP / Sistema financeiro < 15 min < 1h CDP ou transaction log a cada 5 min DRaaS com failover automatizado
Banco de dados de produção < 15 min < 1h Transaction log + full diário Replicação assíncrona + DRaaS
E-commerce / Portal web < 30 min < 30 min CDP + snapshots a cada hora Failover automático para nuvem
Active Directory / LDAP 4-12h < 1h Backup diário (muda pouco) Bare-metal recovery prioritário
E-mail corporativo 1-4h 2-4h Incremental a cada 4h Failover para instância secundária
File server / NAS 4-24h 4-12h Incremental diário + offsite Restauração a partir de nuvem
Microsoft 365 / Google Workspace 4-12h 4-24h Backup diário via API Restauração granular
Servidor de aplicação 1-4h 1-4h Snapshot + incremental VM replicada em standby
Sistemas de monitoramento / logs 24-48h 24-72h Backup diário básico Reconstrução manual aceitável
Ambiente de desenvolvimento / teste 48-72h 72h+ Backup semanal Reconstrução a partir de código-fonte

A matriz acima segue a classificação por tiers apresentada na Seção 4 do template. Sistemas Tier 0 e Tier 1 exigem investimento em DRaaS, enquanto Tier 2 e Tier 3 podem utilizar BaaS com restauração manual. O equilíbrio entre custo e RTO é definido pela BIA — nunca pela intuição.

Calendário de Testes de DR: Template Anual

Testes de DR não podem ser ad hoc. Um calendário pré-aprovado garante que os testes aconteçam e que a equipe se prepare adequadamente. Use este template como base e ajuste ao calendário operacional da sua empresa.

Mês Tipo de Teste Escopo Duração Estimada Participantes
Janeiro Tabletop exercise Revisão do plano com toda a equipe de DR. Cenário: ransomware 2-3 horas Equipe DR + diretoria
Fevereiro Teste parcial Restauração de banco de dados crítico em ambiente isolado 4 horas DBA + infra
Março Teste de comunicação Acionar cadeia de comunicação de crise (canais primários e secundários) 1 hora Todos os membros da equipe DR
Abril Teste parcial Bare-metal recovery de servidor AD/DNS 4-6 horas Infra + rede
Maio Teste de failover parcial Failover de 1 sistema Tier 0 para ambiente DRaaS 4 horas Infra + aplicações
Junho Teste completo de failover Failover de todos os sistemas Tier 0 e Tier 1. Operação no site de DR por 2h 6-8 horas Equipe DR completa
Julho Tabletop exercise Cenário: falha de datacenter (incêndio/enchente). Revisão de lições do 1º semestre 2-3 horas Equipe DR + diretoria
Agosto Teste parcial Restauração de Microsoft 365 / Google Workspace (caixas de e-mail + SharePoint) 3-4 horas Infra + suporte
Setembro Teste de rede Failover de links de internet, validação de VPN para site de DR 2-3 horas Rede + infra
Outubro Teste parcial Restauração de ERP completo em ambiente isolado. Validação ponta a ponta 6-8 horas Infra + aplicações + negócio
Novembro Teste de failover parcial Failover de sistemas Tier 1 para ambiente DRaaS 4-6 horas Infra + aplicações
Dezembro Simulação full-scale anual Simulação completa de desastre. Failover total. Operação em DR por 4h. Failback 8-12 horas Toda a organização

Cada teste deve gerar um relatório formal contendo: cenário simulado, tempo real de recuperação vs RTO declarado, gaps identificados, ações corretivas com prazo e responsável. Armazene esses relatórios junto ao DRP — eles são evidência para auditorias de LGPD, compliance e certificações como ISO 22301.

Gatilhos de Revisão do DRP: Quando Atualizar o Plano

O DRP não é um documento estático. Além das revisões periódicas (mínimo semestral), existem eventos específicos que devem disparar uma revisão imediata. Ignorar esses gatilhos significa operar com um plano desatualizado — que pode falhar justamente quando for necessário.

Gatilho Tipo de Revisão Prazo Máximo Exemplo
Mudança de infraestrutura Atualizar runbooks + classificação de tiers 30 dias após a mudança Migração de ERP para nuvem, novo servidor de banco de dados
Incidente real de segurança Revisão completa + lições aprendidas 15 dias após resolução Ataque de ransomware, vazamento de dados
Mudança regulatória Atualizar compliance + comunicação 30 dias após publicação Nova resolução LGPD, exigência BACEN
Fusão ou aquisição Revisão completa (novos sistemas, equipes, processos) 60 dias após integração Aquisição de empresa com infraestrutura própria
Troca de fornecedor crítico Atualizar infraestrutura de recuperação + contatos 15 dias após go-live Novo provedor de nuvem, novo link de internet
Saída de membro-chave da equipe DR Atualizar equipe + treinar substituto 7 dias após saída Saída do líder técnico de infraestrutura
Resultado insatisfatório em teste Revisão das seções com falhas identificadas 15 dias após o teste RTO real de 8h quando o declarado era 2h
Mudança significativa no negócio Atualizar BIA + classificação de criticidade 30 dias após a mudança Lançamento de e-commerce, abertura de filial
Revisão periódica Revisão completa do plano A cada 6 meses Calendário fixo (janeiro e julho, por exemplo)

Processo de revisão: o gestor do DRP deve manter uma lista de gatilhos ativos e monitorar proativamente. Cada revisão gera uma nova versão do documento com histórico de alterações. A versão atualizada precisa ser aprovada pelo patrocinador executivo e comunicada a toda a equipe de DR.

Matriz RACI: Papéis e Responsabilidades no DR

Durante um incidente, confusão sobre quem decide, quem executa e quem precisa ser informado atrasa a recuperação e pode transformar um incidente gerenciável em uma crise. A matriz RACI (Responsible, Accountable, Consulted, Informed) elimina essa ambiguidade.

Atividade Coordenador DR Líder Infra Líder Apps Líder Rede Comunicação Jurídico Diretoria
Declarar incidente de DR A C C C I I R
Isolar sistemas afetados A R C R I I I
Executar restauração de dados A R C I I I I
Executar failover DRaaS A R R R I I I
Validar sistemas restaurados A C R C I I I
Comunicar clientes e mídia C I I I R A C
Notificar ANPD (LGPD) C I I I C R A
Autorizar failback R C C C I I A
Elaborar relatório pós-incidente R C C C C C A
Atualizar DRP com lições aprendidas R C C C I C A

Legenda:

  • R = Responsável (executa a atividade)
  • A = Aprovador (autoridade final, presta contas)
  • C = Consultado (contribui com expertise antes da decisão)
  • I = Informado (recebe atualização de status)

Adapte esta matriz à estrutura da sua empresa. Em PMEs, uma mesma pessoa pode acumular múltiplos papéis — mas garanta que cada atividade tenha pelo menos um R e um A claramente designados. Se o coordenador de DR estiver indisponível durante o incidente, o substituto documentado assume todas as funções A.

Cenários Práticos de Aplicação da Matriz RACI

Cenário 1: Ransomware criptografa servidores de produção (sexta-feira, 22h)

  1. Alerta automático dispara notificação para o Líder de Infra (R: isolar sistemas)
  2. Líder de Infra contata o Coordenador DR (A: declarar incidente)
  3. Coordenador escala para Diretoria (R: aprovar ativação do plano de DR)
  4. Comunicação é informada (I) e prepara templates de notificação
  5. Jurídico avalia obrigação de notificação à ANPD
  6. Líder de Infra executa failover DRaaS (R); Líder de Apps valida (R)

Cenário 2: Falha de storage no datacenter principal (terça-feira, 14h)

  1. Líder de Infra detecta falha e inicia bare-metal recovery (R)
  2. Coordenador DR avalia se é necessário declarar incidente formal (A)
  3. Líder de Rede é consultado sobre conectividade com site de DR (C)
  4. Diretoria é informada sobre previsão de restauração (I)
  5. Após restauração, Líder de Apps valida todos os sistemas (R)

Erros Comuns ao Criar um DRP

Erro 1: Criar e esquecer

O DRP precisa ser vivo. Documento em PDF engavetado não salva ninguém em crise.

Erro 2: Pular a BIA

Sem análise de impacto, o plano tenta proteger tudo da mesma forma e acaba protegendo nada adequadamente.

Erro 3: Não envolver o negócio

DRP não é só TI. Exige diretoria, finanças, operações, jurídico, comunicação.

Erro 4: Não testar

O primeiro teste real é geralmente um balde de água fria. Teste antes que o desastre teste você.

Erro 5: Ignorar dependências

Sistemas não existem isolados. ERP precisa de banco, banco precisa de AD, AD precisa de DNS. O runbook tem que refletir essa cadeia.

Próximos Passos

Fale com um especialista da DataBackup via WhatsApp e receba um template personalizado para o seu setor.

Transforme Seu DRP em Realidade com Backup e DR Integrados

Um plano de disaster recovery só funciona com infraestrutura adequada. A DataBackup combina backup imutável + DRaaS com Run Direct para restaurar VMs em menos de 4 horas. Teste 14 dias grátis.

Proteger Minha Empresa Falar com Especialista

Perguntas Frequentes

O que é um Disaster Recovery Plan (DRP)?
Um Disaster Recovery Plan é um documento formal que descreve os procedimentos, responsabilidades e recursos necessários para restaurar sistemas de TI e dados corporativos após um incidente grave. Inclui desde ataques ransomware até desastres naturais, falhas de hardware e erros humanos.
Qual a diferença entre DRP e Plano de Continuidade de Negócios (BCP)?
O DRP foca especificamente na recuperação de infraestrutura de TI, sistemas e dados. O BCP é mais amplo e abrange a continuidade de todas as operações do negócio, incluindo pessoas, processos e instalações físicas. O DRP é um componente do BCP.
Com que frequência o DRP deve ser testado?
O DRP deve ser testado no mínimo a cada 6 meses, com testes parciais trimestrais. Empresas em setores regulados como financeiro e saúde devem testar com maior frequência. Cada teste deve gerar um relatório documentando tempos de recuperação reais e lições aprendidas.
Quanto tempo leva para criar um Disaster Recovery Plan?
Para PMEs, um DRP funcional pode ser criado em 2 a 4 semanas. Empresas maiores ou em setores regulados podem precisar de 2 a 3 meses para um plano completo. O mais importante é começar com os sistemas críticos e expandir gradualmente.
Quem deve ser responsável pelo DRP na empresa?
O DRP deve ter um gestor principal (geralmente o gerente de TI ou CISO) e envolver representantes de cada departamento crítico. A alta direção deve aprovar e patrocinar o plano. Cada membro da equipe de recuperação precisa conhecer seu papel específico.
O que é uma matriz RACI no contexto de disaster recovery?
A matriz RACI define quem é Responsável (executa), Aprovador (autoriza), Consultado (contribui com expertise) e Informado (recebe status) para cada atividade do DRP. É essencial para evitar confusão durante um incidente real, garantindo que cada pessoa saiba exatamente seu papel na recuperação.
Quais eventos devem disparar uma revisão imediata do DRP?
Uma revisão imediata do DRP deve ser feita após: mudança significativa na infraestrutura (migração para nuvem, novo ERP), incidente real de segurança ou desastre, fusão ou aquisição, mudança regulatória (novas exigências LGPD, BACEN), troca de fornecedores críticos (provedor de nuvem, link de internet), ou resultado insatisfatório em teste de DR.

Artigos relacionados

Educacional

RTO e RPO: O Que São, Como Calcular e Tabela por Setor [2026]

RTO (Recovery Time Objective) e RPO (Recovery Point Objective) são métricas fundamentais que definem quanto tempo de inatividade e perda de dados sua empresa tolera.

Educacional

Backup 3-2-1: O Que É a Regra, Como Aplicar e a Evolução 3-2-1-1-0

A regra 3-2-1 é a base de qualquer estratégia de backup segura: 3 cópias dos dados, em 2 mídias diferentes, com 1 cópia offsite. Aprenda a implementar na prática.

Educacional

Política de Backup Corporativo: Modelo Prático + Checklist [2026]

Uma política de backup bem documentada é essencial para garantir proteção consistente dos dados. Veja o passo a passo para criar a sua, com modelo prático incluído.

Proteja os dados da sua empresa

Comece hoje com 14 dias gratuitos. Sem compromisso.

Começar Teste GrátisFalar com Especialista