RPO y RTO: definición y comprensión de la diferencia

Acronis
Cyber Protect Cloud

Qué es RPO?

El Objetivo de Punto de Recuperación (RPO, por sus siglas en inglés) generalmente se refiere a la cantidad de datos que se pueden perder dentro del período más relevante para una empresa, antes de que ocurra un daño significativo, desde el punto de un evento crítico hasta la copia de seguridad más anterior.

Qué es RTO?

El Objetivo de Tiempo de Recuperación (RTO, por sus siglas en inglés) a menudo se refiere a la cantidad de tiempo que una aplicación, sistema y/o proceso puede estar inactivo sin causar un daño significativo a la empresa, así como el tiempo dedicado a restaurar la aplicación y sus datos.

Cuál es la diferencia entre RPO y RTO?

Aunque ambos objetivos son similares en métricas de medición, sus objetivos difieren según la aplicación y la prioridad de los datos:

Propósito: el RPO se ocupa de la pérdida de datos, ayudando a informar el desarrollo de una estrategia de respaldo. Considerando que el RTO ocupa el tiempo para recuperarse, ayuda a informar el desarrollo de una estrategia de recuperación ante desastres.

Prioridad: cuando los RTO se centran en la restauración de aplicaciones y sistemas, los RPO se preocupan únicamente por la cantidad de datos que se pierden después de un evento de falla, calculando el riesgo y el impacto en la transacción general del cliente en lugar del tiempo de inactividad de la productividad.

Costo: los costos también fluctúan entre los dos objetivos. Los costos asociados con el mantenimiento de un RTO exigente pueden ser mayores que los de un RPO granular, porque el RTO involucra toda su infraestructura empresarial y no solo el elemento de datos.

Automatización: como los RPO simplemente requieren que realice copias de seguridad de datos en los intervalos correctos, las copias de seguridad de datos se pueden automatizar e implementar fácilmente. Sin embargo, esto es prácticamente imposible para los RTO, ya que implican restaurar todas las operaciones de TI.

Variables de cálculo: basándose en el menor número de variables, los RPO pueden ser más fáciles de calcular debido a la consistencia del uso de datos. Los RTO son un poco más complicados ya que los tiempos de restauración dependen de varios factores, incluidos los marcos de tiempo analógicos y el día en que ocurre el evento. Un RPO más corto significa perder menos datos, pero requiere más copias de seguridad, más capacidad de almacenamiento y más recursos informáticos y de red para que se ejecute la copia de seguridad. Un RPO más largo es más asequible, pero significa perder más datos.

Las variables de cálculo también pueden diferir según la clasificación de los datos. Una buena práctica para cualquier empresa es clasificar los datos en niveles críticos y no críticos que luego predeterminarán sus RPO y RTO en orden de prioridad.

Acronis

Ejemplos de RPO y RTO

Para explicar simplemente la diferencia de RTO y RPO, tomemos el ejemplo de un banco, pero en dos escenarios diferentes:

A las 9 de la mañana, una aplicación se ha visto afectada en el servidor principal del banco, deteniendo los servicios localmente y en línea durante un período de 5 minutos. El RPO del banco contó la pérdida de datos de 15 minutos y su RTO contó el tiempo de recuperación de 10 minutos para restaurar los sistemas y las aplicaciones. Por tanto, el banco se encontraba dentro de los parámetros de ambos objetivos.

A las 3 de la mañana, el mismo banco se enfrentó a un cierre de los sistemas por un período de 3 horas. Como el RPO solo contó 15 minutos de pérdida de datos y el RTO solo contó 10 minutos de tiempo de inactividad, esto significó que no se contabilizaron 2 horas y 50 minutos del tiempo de apagado. Sin embargo, debido al período de tiempo en que ocurrió el cierre, la pérdida de datos no fue exponencial ya que fue un período de poco tráfico para el banco.

Cómo reducir el RPO y el RTO

El mapeo de sus RPO y RTO debe realizarse simultáneamente teniendo en cuenta el tiempo, el dinero y la reputación de la empresa. La información colaborativa de todos los departamentos, en particular la información sobre cómo operan, los datos que manejan y el impacto en todos los usuarios puede predeterminar el orden de prioridad de sus RPO y RTO más críticos.

Solo a partir de esta información, puede comparar los costos del tiempo de inactividad con el impacto en la empresa, observando las variables de ingresos perdidos, salarios, precios de las acciones y el gasto de la recuperación, y luego pronosticando el peor incidente que podría enfrentar su empresa.

A medida que el negocio crezca, indudablemente estas variables cambiarán. Por lo tanto, la evaluación, prueba y medición constantes de sus RTO y RPO lo ayudarán a prepararse para cualquier deficiencia que pueda surgir inesperadamente. Las tres áreas principales para ayudar a reducir el impacto general en la empresa (y en su billetera) incluyen (pero no se limitan a):

Frecuencia de la copia de seguridad: más copias de seguridad le permiten tener un mayor número de datos a los que acceder en caso de que surja una situación, lo que reduce tanto las pérdidas de datos como la cantidad de tiempo necesaria para restaurarlos.

Recuperación de bloques: ahorre tiempo y dinero al aislar los bloques clave de datos que han cambiado desde que se realizó la última copia de seguridad, lo que permite que solo se realicen copias de seguridad de los bloques de datos que han cambiado dentro de ese período de tiempo determinado.

Replicación: al replicar sus datos, tiene instantáneamente una copia de sus datos a la que puede recurrir en caso de que ocurra un desastre, lo que disminuye sus RTO. Su RPO estará determinado por la frecuencia con la que replica sus datos. Por regla general, la replicación a una frecuencia más alta significa un RPO más bajo.

Prueba de RPO y RTO

Al igual que con cualquier elemento comercial, desde el marketing hasta los procesos, el hardware y el software, los RPO y los RTO no reemplazan las pruebas y la medición. A continuación, se muestran 3 formas de mantener y hacer evolucionar sus objetivos de acuerdo con las amenazas y riesgos potenciales para el negocio.

Comprobaciones periódicas de las copias de seguridad

Evalúe regularmente sus parámetros de respaldo, mirando planes de retención, puntos de restauración granulares, automatización y variables de protección; aumentando la cantidad de imágenes instantáneas que tiene de datos críticos. El objetivo de tener en cuenta todas las medidas de un desastre de datos críticos antes de que ocurra.

Revisar y mejorar

Revise periódicamente su plan de recuperación ante desastres, evaluando los roles clave de los empleados, los procesos de copia de seguridad y las modificaciones de hardware. Esto estará influenciado por sus RPO y RTO más recientes; ambos van de la mano, así que mantenga todos los elementos actualizados a intervalos regulares del año.

Siga la regla 3-2-1

Mantener al menos tres copias de datos en dos ubicaciones de almacenamiento independientes con una copia de los datos almacenados fuera del sitio puede guardar sus datos si una de las ubicaciones de almacenamiento se vuelve inaccesible o se ve afectada.

Cómo se podrían desarrollar el RPO y el RTO con el tiempo

Para determinar cuánto puede costarle un desastre a su empresa, considere el costo del tiempo de inactividad del sistema: el impacto en la productividad de los empleados, la pérdida de horas facturables, las ventas perdidas debido a la actividad en línea, las obligaciones de cumplimiento normativo, etc.

Otro aspecto que puede influir en la prioridad e incluso en la configuración de sus RPO y RTO es el desarrollo de la empresa de forma interna y externa. Los cambios influyentes, como la prestación de servicios adicionales, los cambios estructurales y de personal, el crecimiento de los datos, la ubicación, etc., pueden cambiar los objetivos por completo, por lo que las pruebas y revisiones periódicas son una necesidad absoluta para una recuperación ante desastres exitosa.

Sus RPO y RTO sopesan las variables más críticas contra el peor de los casos y brindan una medida de protección contra la posible devastación de su negocio. Manténgalos actualizados y en consonancia con todos los aspectos de su negocio, y estará protegido contra la mayoría de las amenazas y desastres críticos.

Planifique y proteja de forma proactiva con Acronis

En cualquier situación de recuperación ante desastres, cada segundo cuenta. Incluso con copias de seguridad completas de imágenes de disco de un servidor completo, las empresas aún necesitan restaurar el sistema moviendo los datos del almacenamiento de copia de seguridad a su hardware de producción, lo que puede llevar horas, sin mencionar el impacto en la propia empresa.

Con más de 15 años en la industria, 200.000 ataques prevenidos y administrando más de 5.000 petabytes en todo el mundo, decir que Acronis es un apasionado de la seguridad cibernética sería quedarse corto.

Gracias a Acronis Cyber Protection, la única solución antiransomware activa basada en AI en el mercado, ofrece un plan de recuperación ante desastres que integra RPO y RTO, lo que ayuda a proteger todos los datos para cualquier entorno, implementación, carga de trabajo y almacenamiento, y con cualquier método de recuperación.

Anticípese a sus desastres con Acronis hoy.

Más de Acronis