¿Cuál es la diferencia entre RPO y RTO?

El objetivo de punto de recuperación (RPO, por sus siglas en inglés) generalmente se refiere a calcular cuánta pérdida de datos puede experimentar una empresa dentro de un período más relevante para su negocio antes de que ocurra un daño significativo, desde el punto de un evento disruptivo hasta la última copia de seguridad de datos.

El RPO ayuda a determinar la cantidad de datos que una empresa puede tolerar perder durante un evento imprevisto.

El objetivo de tiempo de recuperación (RTO, por sus siglas en inglés) a menudo se refiere a la cantidad de tiempo que una aplicación, sistema y proceso pueden estar inactivos sin causar un daño significativo al negocio y el tiempo dedicado a restaurar la aplicación y sus datos para reanudar las operaciones comerciales normales después de un incidente significativo.

Calcular el objetivo de tiempo de recuperación (RTO) para su empresa es fundamental para su plan de recuperación ante desastres.

Aunque ambos objetivos de recuperación son similares en las métricas de medición, su enfoque difiere según la aplicación y la prioridad de los datos:

El objetivo de punto de recuperación (RPO) se ocupa de la cantidad máxima de pérdida de datos, ayudando a informar el desarrollo de una estrategia de copia de seguridad. El objetivo de tiempo de recuperación (RTO) se ocupa del tiempo de recuperación y ayuda a informar el desarrollo de una estrategia de recuperación ante desastres.

Cuando los RTO se centran en la aplicación y la restauración del sistema para permitir la reanudación normal de las operaciones, los RPO solo se preocupan por la cantidad de pérdida de datos después de un evento de falla. Sin embargo, el RPO tiene en cuenta no solo los datos perdidos; calcula el riesgo y el impacto en las transacciones generales de los clientes en lugar del tiempo de inactividad de las operaciones comerciales.

Los costos también fluctúan entre los dos objetivos. Los costos asociados con el mantenimiento de un RTO exigente pueden ser mayores que los de un RPO granular porque el RTO calcula el marco de tiempo para recuperar toda la infraestructura de su negocio, no solo los datos.

Como los RPO requieren que realice copias de seguridad programadas en los intervalos correctos, las copias de seguridad de datos se pueden automatizar e implementar fácilmente. Sin embargo, esto es prácticamente imposible para los RTO, ya que involucran a todas las operaciones de TI en el proceso de recuperación.

Basándose en el menor número de variables, los RPO pueden ser más fáciles de calcular debido a la consistencia del uso de datos. Para calcular el RTO, las empresas generalmente pasarán por un proceso un poco más complicado, ya que los tiempos de restauración dependen de varios factores, incluidos los marcos de tiempo analógicos y el día en que ocurre el evento. Un RPO más corto significa perder menos datos, pero requiere más copias de seguridad, más capacidad de almacenamiento y más recursos informáticos y de red para que se ejecute la copia de seguridad. Un RPO más largo es más asequible, pero significa perder más datos.

Las variables de cálculo también pueden diferir según la clasificación de los datos. Una buena práctica para cualquier empresa es diferenciar los datos en niveles críticos y no críticos predeterminando sus RPO y RTO en orden de prioridad.

Para explicar la diferencia entre RTO y RPO, tomemos el ejemplo de un banco, pero en dos escenarios diferentes:

A las 9 de la mañana, una aplicación se ha visto afectada en el servidor principal del banco, deteniendo los servicios localmente y en línea durante 5 minutos. El RPO del banco contó la pérdida de datos de 15 minutos y su RTO contó el tiempo de recuperación de 10 minutos para restaurar los sistemas y las aplicaciones. Por tanto, el banco se encontraba dentro de los parámetros de ambos objetivos.

A las 3 de la mañana, el mismo banco se enfrentó a un cierre de los sistemas por una hora. Como el RPO solo contó 15 minutos de pérdida de datos y el objetivo de tiempo de recuperación solo contó 10 minutos de tiempo de inactividad, esto significó que no se contabilizaron 50 minutos del tiempo de apagado. Sin embargo, debido al momento en que ocurrió el cierre, la pérdida de datos no fue exponencial, ya que el proceso de recuperación ocurrió durante un período de bajo tráfico para el banco.

El mapeo de sus objetivos de recuperación debe hacerse simultáneamente, teniendo en cuenta el tiempo, el dinero y la reputación de la empresa. Las aportaciones colaborativas de todos los departamentos deberían ayudar a formar un análisis fiable del impacto en el negocio. La información debe considerar cómo operan, los datos que manejan y el impacto en todos los usuarios para predeterminar el orden de prioridad de sus RPO y RTO más críticos.

Solo a partir de esta información, puede comparar los costos del tiempo de inactividad con el impacto en la empresa, observando las variables de ingresos perdidos, salarios, precios de las acciones y el gasto de la recuperación, y luego pronosticando el peor incidente que podría enfrentar su empresa. De esta manera, la alta gerencia puede proceder con la planificación de la continuidad del negocio e implementar protocolos sensatos de protección de datos y recuperación de datos.

A medida que la empresa crece, los valores de los dos parámetros clave sin duda cambiarán. Por lo tanto, la evaluación, prueba y medición constantes de sus RTO y RPO ayudarán a obtener una planificación adecuada de recuperación ante desastres para prepararse para cualquier deficiencia que pueda surgir inesperadamente. Las tres áreas principales para ayudar a reducir el impacto general en la organización (y en su billetera) incluyen (pero no se limitan a):

Más copias de seguridad le permiten tener un mayor número de datos a los que acceder en caso de que surja una situación, lo que reduce tanto los datos perdidos como la cantidad de tiempo necesaria para restaurarlos.

Ahorre tiempo y dinero aislando bloques clave de datos de misión crítica que han cambiado desde que se realizó su última copia de seguridad. Esto permitirá copias de seguridad de datos que comprenden solo información que ha cambiado dentro del período dado.

Al replicar sus datos, instantáneamente tiene una copia de sus datos a la que puede recurrir en caso de que ocurra un desastre, lo que disminuye sus objetivos de tiempo de recuperación. Su RPO estará determinado por la frecuencia con la que replica sus datos. Por regla general, la replicación a una frecuencia más alta significa un RPO más bajo.

Al igual que con cualquier elemento comercial, desde el marketing hasta los procesos, el hardware y el software, los RPO y los RTO no reemplazan las pruebas y la medición. A continuación, se presentan tres formas de mantener y evolucionar sus objetivos en línea con las amenazas y los riesgos potenciales para el negocio para garantizar la continuidad del negocio.

Evalúe regularmente sus parámetros clave de copia de seguridad, mirando planes de retención, puntos de restauración de copia de seguridad granulares, automatización y variables de protección, aumentando la cantidad de imágenes instantáneas que tiene de datos críticos. El objetivo es dar cuenta de todas las medidas para proteger sus datos en caso de que ocurra un desastre.

Revise periódicamente su plan de recuperación ante desastres, evaluando los roles clave de los empleados, los procesos de copia de seguridad y las modificaciones de hardware. Esto estará influenciado por sus RTO y RPO más recientes. Ambos van de la mano, así que mantenga todos los elementos actualizados a intervalos regulares del año.

Mantener al menos tres copias de datos en dos ubicaciones de almacenamiento independientes con una copia de datos almacenados fuera del sitio puede guardar sus datos si una de las ubicaciones de almacenamiento se vuelve inaccesible o se ve afectada debido a un error humano, desastres naturales o un ataque cibernético.

Para determinar cuánto puede costar un desastre a toda su operación, considere el costo del tiempo de inactividad del sistema. El impacto en la productividad de los empleados, la pérdida de horas facturables, las ventas perdidas de la actividad en línea, las obligaciones de cumplimiento normativo, el impacto de los entornos virtuales, etc.

Otro aspecto que puede influir en la prioridad e incluso en la configuración de sus RPO y RTO es el desarrollo de la empresa de forma interna y externa. Los cambios influyentes, como las disposiciones de servicios adicionales, los cambios estructurales y de personal, el crecimiento de los datos, la ubicación, etc., pueden cambiar los objetivos por completo. Aquí, las pruebas y revisiones periódicas son una necesidad absoluta para una recuperación exitosa ante desastres.

Su RTO y RPO sopesan las variables más críticas en el peor de los casos y proporcionan una protección contra la posible devastación de su negocio. Manténgalos actualizados y en línea con todas las métricas críticas del negocio, lo que permitirá a su departamento de TI determinar la prioridad de la aplicación y calcular la duración máxima del tiempo de inactividad potencial. Estos, a su vez, permitirán una base de evaluación de riesgos confiable para implementar los servicios de conmutación por error adecuados y, por lo tanto, garantizar la alta disponibilidad de cualquier aplicación crítica para el negocio, incluso ante un desastre.

En cualquier situación de recuperación ante desastres, cada segundo cuenta. Incluso con copias de seguridad completas de imágenes de disco de un servidor entero, las empresas aún necesitan restaurar el sistema moviendo los datos del almacenamiento de copia de seguridad a su hardware de producción, lo que puede llevar horas, sin mencionar el impacto en la propia empresa.

Con más de 15 años en la industria, 200.000 ataques prevenidos y administrando más de 5.000 petabytes en todo el mundo, decir que Acronis es un apasionado de la seguridad cibernética sería quedarse corto.

Acronis Cyber Protection, la única solución antiransomware activa basada en AI en el mercado, ofrece un plan de recuperación ante desastres que integra RPO y RTO, lo que ayuda a proteger todos los datos para cualquier entorno, implementación, carga de trabajo y almacenamiento, con cualquier método de recuperación.

Fortalezca su plan de continuidad del negocio con Acronis hoy mismo.