RTO y RPO: ¿Cuál es la diferencia?
El Objetivo de Tiempo de Recuperación (RTO) y el Objetivo de Punto de Recuperación (RPO) son dos parámetros clave en los planes de recuperación ante desastres y protección de datos. Ayudan a determinar la estrategia adecuada para proteger la continuidad del negocio (RTO) y mantener la integridad de los datos (RPO).
Continúe leyendo esta guía para aprender más sobre RTO, RPO y cómo utilizarlos para aumentar la resiliencia de los datos de su organización.
¿Qué es RTO?
Un objetivo de tiempo de recuperación (RTO) es el tiempo máximo aceptable entre un desastre y la recuperación, después del cual un negocio sufre daños críticos.
Definir RTO se reduce a esta pregunta: ¿Cuánto tiempo podemos estar inactivos después de una interrupción sin un impacto considerable en nuestro negocio?
¿Qué es RPO?
Un objetivo de punto de recuperación (RPO) es el tiempo máximo aceptable entre la última copia de seguridad y ahora. En este contexto, "ahora" se refiere a todos los datos actualmente almacenados en producción.
Definir RPO plantea la pregunta: ¿Cuántos datos podemos perder cómodamente en un incidente de seguridad antes de que comience a afectar nuestro negocio?
Nota: Aunque RPO describe la cantidad de datos, se expresa en unidades de tiempo, no en unidades de almacenamiento. Esto se debe a que los datos se acumulan a un ritmo variable, por lo que no podemos predecir la cantidad exacta que se generará. Por esta razón, el tiempo es la forma más confiable de medir RPO.
RTO vs. RPO
La principal diferencia entre RPO y RTO radica en su propósito. RTO apoya la continuidad del negocio, mientras que RPO se centra en los datos. En otras palabras, RTO protege el futuro. RPO protege el pasado.
Objetivo de Tiempo de Recuperación (RTO)
RTO protege los datos más recientes, permitiéndole recuperar los cambios más recientes, lo cual es importante para mantener las operaciones comerciales.
Mejorar RTO requiere invertir en hardware de alto rendimiento optimizado para el caso de uso de recuperación, incluyendo soporte para balanceo de carga y Recuperación Instantánea, que puede ejecutar cargas de trabajo fallidas directamente desde copias de seguridad.
RTO se llama objetivo de tiempo de recuperación porque se trata de minimizar el tiempo de recuperación.
Objetivo de Punto de Recuperación (RPO)
RPO protege todos los datos que su negocio ha recopilado hasta ahora. RPO depende de las copias de seguridad, y la relación es sencilla: cuanto más frecuentes sean las copias de seguridad, mejor será el RPO, y menos datos estarán en riesgo de ser perdidos.
Llamamos RPO un objetivo de punto de recuperación porque define el último punto de copia de seguridad de datos. Por ejemplo, un RPO de 0 requeriría que cada cambio en los datos se duplicara en tiempo real, eliminando discrepancias entre la copia de seguridad y la producción. Este enfoque se llama protección continua de datos (CDP).
En su forma estricta, la protección continua de datos puede reducir RPO a cero, pero es tan intensiva en recursos que pocas empresas la implementan al pie de la letra.
La Importancia de RTO y RPO
La verdad es que las empresas no quieren sufrir ningún tiempo de inactividad o pérdida de datos. Enmarcar estos como "aceptables" o "cómodos" puede hacer que te sientas... bueno, incómodo.
Sin embargo, dedicar tiempo a calcular RTO y RPO le dará, paradójicamente, la comodidad de saber que su organización puede resistir un desastre.
Otros beneficios de RTO y RPO para su negocio incluyen:
- Mejor Preparación para Desastres. RTO y RPO informarán toda su estrategia de recuperación y la harán más realista. Le señalarán los recursos, pasos y protocolos adecuados para mitigar la pérdida de datos y la interrupción del negocio.
- SLAs realistas y confiables. Una vez que conozca el RTO y RPO factibles para su negocio, puede incluirlos en su Acuerdo de Nivel de Servicio y entregarlos con confianza.
- División de Trabajo Optimizada. RTO y RPO también ayudarán a diseñar y agilizar los flujos de trabajo de los empleados para un incidente. Nuevamente, cuando tiene un objetivo claro basado en la realidad, puede planificar y delegar tareas fácilmente en torno a él.
¿Cómo Calcular RTO y RPO?
Siga los pasos a continuación para recopilar la información correcta y usarla para calcular RTO y RPO en su organización.
Paso 1: Entrevista
Pida a su liderazgo y gestión que clasifiquen los sistemas y aplicaciones de la organización de los más críticos a los menos críticos para la continuidad del negocio y los ingresos.
Paso 2: Categorizar
Armado con esta información, clasifique los sistemas en niveles. Por ejemplo, asigne las aplicaciones más críticas al Nivel 1, las menos críticas al Nivel 2 y las menos críticas al Nivel 3.
Paso 3: Examinar
Ahora, imagine que hay una interrupción del servicio debido a un incidente de seguridad. Revise cada sistema uno por uno, asumiendo que ha sido comprometido, y determine lo siguiente:
| RTO | RPO |
|---|---|
| La frecuencia de la interrupción. | Pérdida de datos estimada basada en los horarios de copia de seguridad existentes. |
| Su duración promedio. | El costo de la pérdida de datos proyectada. |
| El costo de inactividad por minuto. | El costo de reproducir los datos perdidos, en términos de trabajo humano, por ejemplo. |
| El acuerdo de nivel de servicio (SLA) si corresponde. | |
| El potencial de pérdida de clientes o insatisfacción. | |
| Impacto potencial en otros sistemas. |
Tabla 1. Lista de verificación de pre-evaluación para RTO y RPO.
Paso 4: Calcular
Con los datos del Paso 3, utilice las preguntas a continuación para determinar las métricas adecuadas para su negocio.
| Determinando RTO | Determinando RPO |
|---|---|
| ¿Cuál es el tiempo de inactividad máximo aceptable? | ¿Cuál es la frecuencia de copia de seguridad en los diferentes departamentos dentro de su organización? |
| ¿Cuáles son los recursos necesarios para mantenerse dentro de ese límite? | ¿Qué dice su plan de continuidad del negocio sobre RPO y horarios de copia de seguridad? |
| ¿Cuánto tiempo llevará implementar los procedimientos necesarios? | ¿Cuáles son los estándares de la industria para la frecuencia de copia de seguridad dependiendo de la criticidad del sistema (niveles)? |
| Su RTO es el tiempo de inactividad máximo aceptable más el tiempo para reunir los recursos. | El RPO de su organización debe alinearse con el sistema respaldado con más frecuencia, su plan de continuidad del negocio y los estándares de la industria. |
Tabla 2. Lista de verificación para calcular RTO y RPO
Mejores Prácticas de RTO y RPO
En un mundo perfecto, RTO y RPO deberían ser siempre cero. Pero la vida es lo que es, las métricas probablemente no cumplirán con ese ideal. Sin embargo, aquí hay algunas mejores prácticas que puedes fomentar dentro de tu organización para reducir RTO y RPO:
- Programa copias de seguridad con frecuencia. La regla es simple: cuanto más frecuentes sean tus copias de seguridad, mejor será tu RPO. Además, asegúrate de mantener los datos más sensibles en copias de seguridad inmutables para mayor seguridad.
- Aprovecha la redundancia. Sigue un esquema de replicación de datos. La replicación no es un sustituto de las copias de seguridad, pero añade una capa extra de seguridad para tu negocio.
- Pruebas y validación. Incluso los mejores RTO y RPO son solo un producto de tu imaginación hasta que los pruebes y los valides en circunstancias de la vida real.
- Recuperación basada en prioridades. Haz que tu recuperación ante desastres sea eficiente en recursos: prioriza tus sistemas y restaura primero los críticos.
- Automatización. Aprovecha la automatización para gestionar tus horarios de copias de seguridad, pero no olvides verificar si sigue alineada con tu estrategia empresarial.
- Almacenamiento fuera del sitio. Sigue la regla de copias de seguridad 3-2-1 para hacer tus copias de seguridad aún más seguras: con tres copias de seguridad idénticas en dos medios diferentes, y una de ellas fuera del sitio, para que no se vea afectada por desastres locales como inundaciones.
¿Cómo Puede Ootbi Ayudar en la Recuperación ante Desastres?
En última instancia, RTO y RPO dependen de cuán seguro, simple y potente sea tu sistema de copias de seguridad y recuperación.
Ootbi (Inmutabilidad Fuera de la Caja) de Object First es un dispositivo de copia de seguridad diseñado específicamente para clientes de Veeam que cumple con todos esos aspectos.
- Ootbi es seguro. A prueba de ransomware e inmutable desde el primer momento, Ootbi está diseñado en torno a los últimos Zero Trust Data Resilience (ZTDR) principios, con acceso cero a root, segmentación incorporada y múltiples zonas de resiliencia.
- Ootbi es simple. Montado, apilado y alimentado en menos de 15 minutos sin necesidad de experiencia técnica, Ootbi es mantenido y optimizado automáticamente por el proveedor.
- Ootbi es potente. Diseñado con el rendimiento en mente, Ootbi escala linealmente en minutos y soporta velocidades de copia de seguridad de hasta 4GB/s y Recuperación Instantánea probada a gran escala con hasta 80 VMs funcionando en un clúster de cuatro nodos.
Otros han mejorado sus métricas con Ootbi. Por ejemplo, Centerbase, una solución de gestión de prácticas legales, redujo su RPO en un 50%. Esto es lo que dijeron:
Usa Ootbi para mejorar tus métricas también. Reserva una demostración gratuita hoy, y deja que nuestros ingenieros te muestren la magia detrás de la caja. Reserva demostración
FAQ
¿Cuáles Son Ejemplos de RTO y RPO?
En el caso de RTO, supongamos que un ataque de ransomware desactiva tu servidor web, haciendo que tu sitio web sea inaccesible para los clientes. Basado en cálculos previos, el tiempo de inactividad máximo aceptable para este sistema es de 1 hora. Después de eso, comenzarás a perder tráfico, clientes y reputación. Por lo tanto, el servidor web debe ser restaurado a plena capacidad dentro de ese intervalo de tiempo.
En el caso de RPO, digamos que tu análisis muestra que la copia de seguridad más reciente de los datos del servidor web no debe ser más antigua de 1 hora. No quieres perder registros de clientes y transacciones de más allá de ese punto en el tiempo. En consecuencia, siempre que la última copia de seguridad del servidor web se haya realizado dentro de los 60 minutos posteriores al incidente, se cumplirán tus requisitos de RPO.
¿Qué Es la Recuperación ante Desastres?
La recuperación ante desastres es un plan de acción detallado que tiene como objetivo prevenir incidentes de seguridad y mitigar sus consecuencias si ocurren. RTO y RPO son vitales, pero no son los únicos elementos de una estrategia de recuperación ante desastres.
