¿Cuál es la diferencia entre RPO y RTO?

El objetivo de punto de recuperación (RPO) generalmente se refiere al cálculo de cuánta pérdida de datos puede experimentar una compañía dentro de un periodo de mayor relevancia para sus negocios antes de que ocurra un daño significativo, desde el punto de un evento disruptivo hasta la última copia de seguridad de los datos.

El RPO ayuda a determinar cuántos datos una compañía puede tolerar perder durante un evento imprevisto.

El objetivo de tiempo de recuperación (RTO) a menudo se refiere a la cantidad de tiempo que una aplicación, sistema y proceso puede estar inactivo sin causar un daño significativo a la empresa, y al tiempo dedicado a restaurar la aplicación y sus datos para reanudar las operaciones comerciales habituales después de un incidente importante.

Calcular el objetivo de tiempo de recuperación (RTO) para su compañía es fundamental para su plan de recuperación ante desastres.

Aunque ambos objetivos de recuperación son similares en métricas de medición, sus enfoques difieren según la aplicación y la prioridad de los datos:

El objetivo de punto de recuperación (RPO) se ocupa de la cantidad máxima de pérdida de datos, lo que ayuda a informar el desarrollo de una estrategia de respaldo. Mientras que, el objetivo de tiempo de recuperación (RTO) trata con el tiempo para recuperarse, ayuda a informar el desarrollo de una estrategia de recuperación ante desastres.

Mientras que los RTO se centran en la restauración de aplicaciones y sistemas para permitir la reanudación de las operaciones habituales, los RPO se preocupan únicamente por la cantidad de pérdida de datos después de un evento de falla. Sin embargo, el RPO toma en consideración no solo la pérdida de datos; calcula el riesgo y el impacto sobre las transacciones generales de los clientes en lugar de enfocarse únicamente en el tiempo de inactividad de las operaciones comerciales.

Los costos también fluctúan entre los dos objetivos. Los costos asociados con el mantenimiento de un RTO exigente pueden ser mayores que los de un RPO granular, debido a que el RTO calcula el marco de tiempo para recuperar toda su infraestructura empresarial y no solo los datos.

Como los RPO requieren que realice copias de seguridad programadas en los intervalos correctos, las copias de seguridad de datos se pueden automatizar e implementar fácilmente. Sin embargo, esto es prácticamente imposible para los RTO, ya que contemplan todas las operaciones de TI en el proceso de recuperación.

Con base en la menor cantidad de variables, los RPO pueden ser más fáciles de calcular debido a la consistencia del uso de datos. Para calcular el RTO, las compañías por lo general pasan por un proceso ligeramente más complejo ya que los tiempos de restauración dependen de varios factores, incluidos los marcos de tiempo analógicos y el día en que ocurre el evento. Un RPO más corto implica perder menos datos, pero requiere más copias de seguridad, mayor capacidad de almacenamiento y más recursos informáticos y de red para que se ejecuten las copias de seguridad. Un RPO más largo es más asequible, pero implica perder más datos.

Las variables de cálculo también pueden diferir según la clasificación de los datos. Una buena práctica para cualquier empresa es diferenciar los datos en niveles críticos y no críticos que predeterminen sus RPOS y RTO en orden de prioridad.

Para explicar la diferencia entre los RTO y los RPO, tomemos el ejemplo de un banco, pero en dos situaciones diferentes:

A las 9 a.m., una aplicación se vio perjudicada en el servidor principal del banco, deteniendo los servicios de forma local y online durante 5 minutos. El RPO del banco contó la pérdida de datos de 15 minutos y su RTO contó el tiempo de recuperación de 10 minutos para restaurar los sistemas y las aplicaciones. Por tanto, el banco se encontraba dentro de los parámetros de ambos objetivos.

A las 3 de la mañana, el mismo banco se enfrentó a un cierre de los sistemas por una hora. Como el RPO solo contó 15 minutos de pérdida de datos, y el objetivo de tiempo de recuperación contó 10 minutos de tiempo de inactividad, significaba que no se contabilizaron 50 minutos del tiempo de apagado. Sin embargo, debido al período de tiempo en que ocurrió el cierre, la pérdida de datos no fue exponencial ya que el proceso de recuperación ocurrió durante un período de poco tráfico para el banco.

El mapeo de sus objetivos de recuperación debe realizarse simultáneamente teniendo en cuenta el tiempo, el dinero y la reputación de la empresa. Las contribuciones colaborativas de todos los departamentos deberían ayudar a formular un análisis de impacto comercial confiable. La información debería remitirse a cómo operan, los datos que manejan y el impacto sobre todos los usuarios para predeterminar el orden de prioridad de sus RPO y RTO más críticos.

Solo a partir de esta información, puede comparar los costos del tiempo de inactividad con el impacto en la empresa, observando las variables de ingresos perdidos, salarios, precios de las acciones y el gasto de la recuperación, y luego pronosticando el peor incidente que podría enfrentar su empresa. De esta manera, los altos directivos pueden proceder con la planificación de continuidad empresarial e implementar protocolos de protección y recuperación de datos.

A medida que la compañía crece, los valores de los dos parámetros clave indudablemente cambiarán. Por lo tanto, la evaluación, prueba y medición constantes de sus RTO y RPO ayudarán a obtener una planificación de recuperación ante desastres adecuada para prepararse para cualquier deficiencia que pueda surgir inesperadamente. Las tres áreas principales para ayudar a reducir el impacto general en la organización (y en su billetera) incluyen (pero no se limitan a):

Más copias de seguridad le permiten tener una mayor cantidad de datos a los que acceder en caso de que surja un imprevisto, lo que reduce tanto la pérdida de datos como la cantidad de tiempo necesaria para restaurarlos.

Ahorre tiempo y dinero aislando los bloques clave de datos de misión crítica que han cambiado desde que se realizó la última copia de seguridad. Esto le permitirá realizar copias de seguridad de los datos que contengan solo la información que haya cambiado dentro de ese período determinado.

Al replicar sus datos, usted instantáneamente dispone de una copia de sus datos a la que puede recurrir en caso de que ocurra un desastre, lo que disminuye sus objetivos de tiempo de recuperación. Su RPO estará determinado por la frecuencia con la que replica sus datos. Como regla general, la replicación a una frecuencia más alta implica un RPO más bajo.

Al igual que con cualquier elemento comercial, desde el marketing hasta los procesos, el hardware y el software, los RPO y los RTO no reemplazan las pruebas y la medición. A continuación, se muestran tres formas de mantener y hacer evolucionar sus objetivos de acuerdo con las amenazas y riesgos potenciales para garantizar la continuidad comercial.

Evalúe regularmente sus parámetros claves de respaldo, prestando atención a los planes de retención, puntos de restauración de respaldo granulares, automatización y variables de protección; aumentando la cantidad de capturas instantáneas que tiene de datos críticos. El objetivo es tener en cuenta todas las medidas para resguardar la integridad de sus datos ante la presencia de un desastre.

Revise periódicamente su plan de recuperación ante desastres, evaluando los roles clave de los empleados, los procesos de respaldo y las modificaciones de hardware. Esto estará influenciado por sus RPO y RTO más recientes; ambos van de la mano, así que mantenga todos los elementos actualizados a intervalos regulares del año.

Mantener al menos tres copias de datos en dos ubicaciones de almacenamiento independientes con una copia de los datos almacenados fuera del sitio puede guardar sus datos si una de las ubicaciones de almacenamiento se vuelve inaccesible o sufre daños por causa de un error humano, desastres naturales o un ciberataque.

Para determinar cuánto puede costarle un desastre a la totalidad de sus operaciones, considere el costo del tiempo de inactividad del sistema: el impacto en la productividad de los empleados, la pérdida de horas facturables, las ventas perdidas debido a la actividad en línea, las obligaciones de cumplimiento normativo, impacto de los entornos virtuales, etc.

Otro aspecto que puede influir en la prioridad e incluso en la configuración de sus RPO y RTO es el desarrollo de la empresa de forma interna y externa. Los cambios influyentes, como la prestación de servicios adicionales, los cambios estructurales y de personal, el crecimiento de los datos, la ubicación, etc., pueden cambiar los objetivos por completo. Aquí, las pruebas y revisiones periódicas son una necesidad absoluta para una recuperación ante desastres exitosa.

Sus RPO y RTO sopesan las variables más críticas contra el peor de los casos y brindan una medida de protección contra la posible devastación de su empresa. Manténgalos actualizados y alineados con todas las métricas fundamentales de su empresa; aquello le permitirá a su departamento de TI determinar la prioridad de aplicación y calcular el margen máximo de posible tiempo de inactividad. Estos, a su vez, le permitirán contar con una base de evaluación de riesgos fiable para implementar los debidos servicios de conmutación por error y así garantizar la alta disponibilidad de cualquier aplicación fundamental para la empresa, incluso en aras de un desastre.

En cualquier situación de recuperación ante desastres, cada segundo cuenta. Incluso con copias de seguridad completas de imágenes de disco de un servidor entero, las empresas aún necesitan restaurar el sistema trasladando los datos del almacenamiento de copia de seguridad a su hardware de producción, lo que puede llevar horas, sin mencionar el impacto que tendrá en la propia compañía.

Con más de 15 años en la industria, 200.000 ataques prevenidos y administrando más de 5.000 petabytes en todo el mundo, decir que Acronis tiene pasión por la ciberseguridad sería una infravaloración.

Acronis Cyber Protection, la única solución anti-ransomware activa basada en IA presente en el mercado, ofrece un plan de recuperación ante desastres que integra RPO y RTO, lo que ayuda a proteger todos los datos para cualquier entorno, implementación, carga de trabajo y almacenamiento, con cualquier método de recuperación.

Fortalezca su plan de continuidad empresarial con Acronis hoy mismo.