Ningún negocio está exento de la pérdida de información, o tiempo, frente a un eventual incidente.
Estas situaciones siempre se reflejan en gastos innecesarios y clientes insatisfechos. Por lo tanto, se deben tener planes como DRP (Disaster Recovery Plan) y BCP (Business Continuity Plan) actualizados y funcionales en todo momento.
Tanto el RPO (Recovery Point Objective) como el RTO (Recovery Time Objective), están considerados como los parámetros de mayor relevancia de un Plan de Recuperación de Desastres o Plan de Continuidad de Negocio.
A continuación, descubre qué es y para qué sirven el RTO y RPO para la continuidad de tu empresa.
Concepto de RTO y RPO
El RPO y el RTO son las métricas que se obtienen al aplicar un plan específico de contingencia, las cuales permiten medir el impacto en el negocio y evaluar las estrategias más viables en la continuidad del negocio.
Es por ello que se considera importante la correcta definición de estos conceptos, y sus diferencias, para conocer su aplicabilidad y disfrutar de sus beneficios.
¿Qué es Recovery Point Objective o RTO?
El RPO representa la cantidad de datos e información que una organización puede aceptar como pérdida considerable ante una contingencia, y que le permita seguir operando con la mayor normalidad posible después del evento.
El valor que se mide en RPO es la cantidad de tiempo de inactividad o “downtime”. En ese umbral de tiempo debería estar siempre en un mínimo de tolerancia dentro del BCP o Plan de Continuidad del Negocio.
Por supuesto, esta métrica dependerá del tiempo máximo aceptable que puede transcurrir entre el momento en que se realizó la última copia de seguridad de los datos y el momento del incidente.
¿Qué es Recovery Time Objective (RTO)?
El RTO representa el tiempo máximo que requiere una empresa para la recuperación de sus sistemas después de un incidente o desastre.
Este tiempo se mide desde el incidente hasta el momento en que la empresa comienza a tener fallas en sus operaciones normales por la información o servicio faltante.
Tal vez te interese leer=> IaaS: ¿Qué es la Infraestructura como Servicio y cuales son sus características?
¿Para qué sirven el RTO y RPO?
En este caso se puede mencionar que, mientras que un RPO es la pérdida real de datos entre la copia de seguridad y un incidente, el RTO es el tiempo que lleva solucionar el incidente antes de que todos los sistemas vuelvan a su normalidad.
Entonces, el RTO mide la rapidez de un DRP y BCP para recuperar la operatividad del negocio después de un tiempo de inactividad, mientras el RPO mide la frecuencia con la que se necesitan hacer los respaldo o copias de seguridad de esos datos y sistemas.
Relación de RTO y RPO en un DRP y BCP
Tanto el BCP como el DRP están diseñados para activarse y aplicarse ante un eventual desastre en la empresa.
Es por ello que se deben tener ambos planes, pero cada uno de estos va orientado hacia áreas vitales o funcionales del negocio.
En este caso, el Plan de continuidad del negocio representa el último eslabón de la cadena y se aplica únicamente para proteger las aplicaciones que son vitales para la actividad de la empresa.
Mientras que el Plan de Recuperación de Desastres está orientado a proteger contra desastres exteriores de magnitud no predecible.
En un ejercicio sencillo, se puede suponer los siguientes casos como ejemplos para la explicación de ambos planes.
Ejemplo de un Plan de Continuidad de Negocio (BCP)
Caso 1 (BCP). Se dañó el disco duro de un servidor, lo que implica una parada de todas las operaciones que requieran de este equipo. En este momento se activa un BCP como el plan adecuado, donde se pondrán en ejecución las actividades que se tienen pautadas en el mismo.
Por ejemplo, activar un servidor alterno existente, restaurado en este último respaldo de datos. El RTO y RPO medirán el tiempo y la pérdida de información desde el momento del incidente hasta la activación del nuevo servidor, según el último respaldo disponible.
Ejemplo de un Plan de Recuperación de desastre (DRP)
Caso 2 (DRP). Ante un incendio en el área de servidores, donde hubo pérdida de equipos, se quiere habilitar nuevamente el espacio físico o instalarlo a una nueva locación.
En este caso se activa un DRP, que implica ejecutar las actividades adecuadas previamente planificadas para minimizar las pérdidas en el negocio.
Es posible que la empresa tenga entre las estrategias de seguridad del DRP otro sitio físico donde haya guardado los respaldos recientes de datos o hasta nuevos equipos de cómputo.
De igual forma, aplica las métricas de RTO y RPO para medir el impacto de la incidencia. Pero se debe dejar claro que estos valores no serán siempre de igual consideración, ya que, dependen del plan aplicado.
Definición de los valores de RPO y RTO
No existe un valor único o exacto en un DRP o un BCP, porque estos dependen de múltiples factores del negocio.
Pero se pueden establecer diversos niveles a aplicar al momento de ejecutar el plan. Estos valores de RTO y RPO estarán establecidos según los acuerdos de niveles de servicio (SLA).
Estos niveles permiten establecer los protocolos y las acciones para enfrentarse a un desastre y son esenciales para un buen plan de continuidad. Existe un modelo de tres niveles para diseñar un plan de continuidad:
- Nivel 1: Para aplicaciones críticas de negocio. Requiere un RTO de menos de 15 minutos.
- Nivel 2: Para aplicaciones esenciales. Requiere un RTO de 2 horas y RPO de 4 horas.
- Nivel 3: Para aplicaciones no esenciales. Requiere un RTO de 4 horas y un RPO de 24 horas.
El proceso que ayuda a determinar los criterios que permiten establecer estos niveles, se define como Análisis de Impacto del Negocio (BIA, por sus siglas en inglés), y establece protocolos y acciones para enfrentar un desastre.
Funcionamiento del RTO y RPO
Como hemos visto, los conceptos de RPO y RTO pueden parecer similares, pero poseen diferentes propósitos.
La idea de estos conceptos es que sus valores sean lo más cercano a cero, pero eso representaría un costo muy elevado para las empresas, que podría no valer la pena el esfuerzo en un DRP y BCP.
Por lo tanto, evaluar su funcionamiento permite establecer los parámetros reales sin mayor impacto económico o de esfuerzo innecesarios en los planes a implementar.
Recuperación rápida de elementos desde cualquier aplicación
Supongamos que un vendedor borra un correo electrónico que debe ser enviado a un cliente lo antes posible.
En este caso, se cataloga a Microsoft Exchange como un ejemplo de aplicaciones de Nivel 2. Esto se logra porque el administrador de TI puede tener programadas las tareas de respaldo durante todo el día, y la empresa puede lograr el RPO o recuperación del correo en el lapso aproximado de 1 hora, según el BCP.
Recuperación instantánea de un servidor virtualizado completo directamente desde un backup
Ahora, en el caso de un banco que opera varios cajeros automáticos, el sistema ATM es esencial para la continuidad del negocio, y para las operaciones del banco representa un nivel 2.
Pero en este caso, si se bloquea un cajero por unas pocas horas, tendrá un impacto en las transacciones bancarias, no en la integridad del banco, lo pudiera catalogarse como un nivel 3.
La diferencia estaría si el fallo de conectividad es en la red de cajeros de una región o a nivel nacional, lo que implica un evento de nivel 1, y dependiendo de las causas, se aplicará un BCP o DRP hasta lograr el RTO y RPO.
Tal vez te interese leer=>Disaster Recovery as a Service: Cómo esta solución puede salvar tu empresa
Failover de todo el sitio
Un ejemplo drástico es una falla eléctrica que afecta un centro de datos, lo que provocaría error local en el sitio y la pérdida de acceso a todas sus aplicaciones de nivel 1.
Nuevamente, se deberá evaluar las causas del evento y los daños, para saber exactamente los pasos del BCP y DRP que deben ser ejecutados, reduciendo los tiempos de retorno a la normalidad con la menor pérdida de datos desde el último respaldo.
Conclusiones
Es muy complicado para cualquier empresa predecir un desastre, pero se pueden establecer los protocolos adecuados para enfrentarlos y no verse afectado.
Los valores de RPO y RTO se pueden ajustar a las realidades de las empresas que aplican planes de BCP y DRP, basado en las necesidades comerciales, inversión tecnológica y el impacto del incidente.
Esta estimación debería estar en manos de expertos tecnológicos, ya sea dentro de su empresa o a través de proveedores confiables.
En WIN Empresas hemos diseñado servicios cloud enfocados en estas necesidades, brindando soluciones de Data Center y nube privada que permiten a las empresas estar más tranquilas con planes de continuidad de negocio y recuperación de desastres a la medida de sus necesidades.
Con nuestra solución de Disaster Recovery realizamos una replicación constante del Data Center del cliente en nuestro centro de datos para recuperación de desastres ubicado en la ciudad de Tacna.
Solicite una consultoría con nuestros expertos cloud y aseguremos juntos la continuidad de tú empresas.
