buscar

¿Qué es y para qué sirven el RTO y RPO?

¿Qué es y para qué sirven el RTO y RPO?

  • 215

Ningún negocio está excepto a pérdida de información o tiempo ante un eventual incidente, es por ello que la medición de los parámetros de RTO y RPO sean lo más bajo posibles.

Estas pérdidas siempre se reflejan en dinero que no ingresa y clientes que se van a la competencia. Por lo tanto, se deben tener planes como DRP y BCP actualizados, y funcionales en todo momento.

Tanto el RPO (Recovery Point Objective, en inglés) como el RTO (Recovery Time Objective), están considerados como los parámetros de mayor relevancia de un Plan de Recuperación de Desastres (DRP, por sus siglas en inglés) o Plan de Continuidad de Negocio (BCP, por sus siglas en inglés).

Pero también se debe entender los ámbitos que abarcan estos planes en cuanto a las etapas y actividades que se realizan.

Estas cuatro siglas mantienen entre sí una relación muy estrecha, que posee diferencias sustanciales para entender su aplicabilidad y uso en el entorno empresarial.

Tal vez te interese leer-> DRP: Aprende como iniciar un plan de recuperación de desastres

Concepto de RTO y RPO

El RPO y RTO, son las métricas que se obtienen al aplicar un plan específico de contingencia, las cuales permiten medir el impacto en el negocio, y evaluar las estrategias más viables en la continuidad del negocio.

Es por ello que, el portal It Safer considera la definición de estos conceptos como el paso esencial para conocer su aplicabilidad.

¿Qué es Recovery Point Objective o RTO?

El RPO representa la cantidad de datos e información que una organización puede aceptar como pérdida considerable ante una contingencia, y que le permita seguir operando con la mayor normalidad posible después del evento.

El valor que se mide en RPO es la cantidad de tiempo de inactividad o “downtime”. En ese umbral de tiempo debería estar siempre en un mínimo de tolerancia dentro del BCP o Plan de Continuidad del  Negocio.

Por supuesto, esta métrica dependerá del tiempo máximo aceptable que puede transcurrir entre el momento en que se realizó la última copia de seguridad de los datos y el momento del incidente.

¿Qués es Recovery Time Objective o RTO?

El RTO representa el tiempo máximo que requiere una empresa para la recuperación de sus sistemas después de un incidente o desastre.

Este tiempo se mide desde el incidente hasta el momento en que la empresa comienza a tener fallas en sus operaciones normales por la información o servicio faltante.

¿Para qué sirven el RTO y RPO?

En este caso se puede mencionar que, mientras que un RPO es la pérdida real de datos entre la copia de seguridad y un incidente, el RTO es el tiempo que lleva solucionar el incidente antes de que todos los sistemas vuelvan a su normalidad.

Entonces, el RTO mide la rapidez de un DRP y BCP para recuperar la operatividad del negocio después de un tiempo de inactividad, mientras el RPO mide la frecuencia con la que se necesitan hacer los respaldo o copias de seguridad de esos datos y sistemas.

Relación de RTO y RPO en un DRP y BCP

Tanto el BCP como el DRP están diseñados para activarse y aplicarse ante un eventual desastre en la empresa. En este caso, relacionado con el sistema informático o su infraestructura.

Es por ello que, se deben tener ambos planes, pero cada uno de estos va orientado hacia áreas vitales o funcionales del negocio

En este caso, el Plan de continuidad del negocio representa el último eslabón de la cadena y se aplica únicamente para proteger las aplicaciones que son vitales para la actividad de la empresa.

Mientras que, el Plan de Recuperación de Desastres está orientado a proteger contra desastres exteriores de magnitud no predecible.

En un ejercicio sencillo, se puede suponer los siguientes casos como ejemplos para la explicación de ambos planes.

Ejemplo de un Plan de Continuidad de Negocio

Caso 1 (BCP). Se dañó el disco duro de un servidor, lo que implica una parada de todas las operaciones que requieran de este equipo. En este momento se activa un BCP como el plan adecuado, donde se pondrán en ejecución las actividades que se tienen pautadas en el mismo.

Por ejemplo, activar un servidor alterno existente, restaurado en el este último respaldo de datos. El RTO y RPO medirán el tiempo y la pérdida de información desde el momento del incidente hasta la activación del nuevo servidor según el último respaldo disponible.

Ejemplo de un Plan de Recuperación de desastre

Caso 2 (DRP). Ante un incendio en el área de servidores, donde hubo pérdida de equipos, se quiere habilitar nuevamente el espacio físico o instalarlo a una nueva locación. En este caso se activa un DRP, que implica ejecutar las actividades adecuadas previamente planificadas para minimizar las pérdidas en el negocio.

Es posible que la empresa tenga entre las estrategias de seguridad del DRP otro sitio físico donde haya guardado los respaldos recientes de datos o hasta nuevos equipos de computo.

De igual forma, aplica las métricas de RTO y RPO para medir el impacto de la incidencia. Pero se debe dejar claro que estos valores no serán siempre de igual consideración, ya que, dependen del plan aplicado.

Tal ves te interese leer-> BaaS versus DRaaS: ¿Qué los diferencia?

Definición de los valores de RPO y RTO

No existe un valor único o exacto en un DRP o BCP, ya que, estos dependen de múltiples factores del negocio.

Pero se pueden establecer diversos niveles a aplicar al momento de ejecutar el plan. Estos valores de RTO y RPO estarán establecidos según los acuerdos de niveles de servicio (SLA).

Estos niveles permiten establecer los protocolos y las acciones para enfrentarse a un desastre y son esenciales para un buen plan de continuidad. Existe un modelo de tres niveles para diseñar un plan de continuidad:

  • Nivel 1: Para aplicaciones críticas de negocio. Requiere un RTO de menos de 15 minutos.
  • Nivel 2: Para aplicaciones esenciales. Requiere un RTO de 2 horas y RPO de 4 horas.
  • Nivel 3: Para aplicaciones no esenciales. Requiere un RTO de 4 horas y un RPO de 24 horas.

El proceso que ayuda a determinar los criterios que permiten establecer estos niveles, se define como Análisis de Impacto del Negocio (BIA, por sus siglas en inglés), y establece protocolos y acciones para enfrentar un desastre.

Funcionamiento del RTO y RPO

Como hemos visto, los conceptos de RPO y RTO pueden parecer similares, pero poseen diferentes propósitos.

La idea de estos conceptos es que sus valores sean lo más cercano a cero, pero eso representaría un costo muy elevado para las empresas, que podría no valer la pena el esfuerzo en un DRP y BCP.

Por lo tanto, evaluar su funcionamiento permite establecer los parámetros reales sin mayor impacto económico o de esfuerzo innecesarios en los planes a implementar.

En este caso, Veeam hace mención a casos particulares para poder entender su funcionalidad y medidas de acción respectivas.

Recuperación rápida de elementos desde cualquier aplicación

Supongamos que un vendedor borra un correo electrónico que debe ser enviado a un cliente lo antes posible.

En este caso, se cataloga a Microsoft Exchange como un ejemplo de aplicaciones de Nivel 2. Esto se logra porque el administrador de TI puede tener programadas las tareas de respaldo durante todo el día, y la empresa puede lograr el RPO o recuperación del correo en el lapso aproximado de 1 hora según el BCP.

Recuperación instantánea de un servidor virtualizado completo directamente desde una backup

Ahora, en el caso de un banco que opera varios cajeros automáticos, el sistema ATM es esencial para la continuidad del negocio, y para las operaciones del banco representa un nivel 2.

Pero en este caso, si se bloquea un cajero por unas pocas horas, tendrá un impacto en las transacciones bancarias, no en la integridad del banco, lo pudiera catalogarse como un nivel 3.

La diferencia estaría si el fallo de conectividad es en la red de cajeros de una región o a nivel nacional, lo que implica un evento de nivel 1, y dependiendo de las causas, se aplicará un BCP o DRP hasta lograr el RTO y RPO.

Failover de todo el sitio

Un ejemplo drástico es una falla eléctrica que afecta un centro de datos, lo que provocaría error local en el sitio y la pérdida de acceso a todas sus aplicaciones de nivel 1.

Nuevamente se deberá evaluar las causas del evento y los daños, para saber exactamente  los pasos del BCP y DRP que deben ser ejecutados, reduciendo los tiempos de retorno a la normalidad con la menor pérdida de datos desde el último respaldo.

Conclusiones

Por lo tanto, es prácticamente imposible poder predecir un desastre, pero se pueden establecer los protocolos adecuados para enfrentarlos.

Los valores de RPO y RTO se pueden ajustar a las realidades de las empresas que aplican planes de BCP y DRP, basado en las necesidades comerciales, inversión tecnológica y el impacto del incidente.

Esta estimación debería estar en manos de expertos tecnológicos, ya sea dentro de su empresa o a través de proveedores confiables.

Gracias a nuestra experiencia corporativa, hemos diseñado servicios cloud enfocados en estas necesidades, brindando soluciones de nube privada que permiten a las empresas estar más tranquilas con planes de continuidad de negocio y recuperación de desastres a la medida de sus necesidades.

Ver soluciones en la nube para empresas






ÚLTIMAS ENTRADAS

MÁS POPULARES