RTO y RPO: ¿Cuál es la diferencia?
GDEl Objetivo de Tiempo de Recuperación (RTO) y el Objetivo de Punto de Recuperación (RPO) son dos parámetros clave en recuperación ante desastres y en los planes de protección de datos. Ayudan a determinar la estrategia adecuada para proteger la continuidad del negocio (RTO) y mantener la integridad de los datos (RPO).
Sigue leyendo esta guía para obtener más información sobre RTO, RPO y cómo utilizarlos para impulsar el resiliencia de datos de tu organización.
¿Qué es el RTO?
Un objetivo de tiempo de recuperación (RTO) es el tiempo máximo aceptable entre el desastre y la recuperación, a partir del cual una empresa sufre daños críticos.
Definir el RTO se reduce a esta pregunta: ¿Cuánto tiempo podemos permitirnos estar inactivos tras una interrupción sin un impacto considerable en nuestro negocio?
¿Qué es el RPO?
Un objetivo de punto de recuperación (RPO) es el tiempo máximo aceptable entre la última copia de respaldo y el momento actual. En este contexto, “ahora” se refiere a todos los datos almacenados actualmente en producción.
Definir el RPO plantea la pregunta: ¿Cuántos datos podemos permitirnos perder en un incidente de seguridad antes de que empiece a afectar a nuestro negocio?
Nota: Aunque el RPO describe una cantidad de datos, se expresa en unidades de tiempo, no en unidades de almacenamiento. Esto se debe a que los datos se generan a un ritmo variable, por lo que no podemos predecir la cantidad exacta que se producirá. Por este motivo, el tiempo es la forma más fiable de medir el RPO.
RTO vs. RPO
La principal diferencia entre RPO y RTO radica en su propósito. El RTO respalda la continuidad del negocio, mientras que el RPO se centra en los datos. En otras palabras, el RTO protege el futuro. El RPO protege el pasado.
Objetivo de Tiempo de Recuperación (RTO)
El RTO protege los datos más recientes, permitiéndote recuperar los cambios más actuales, lo cual es importante para mantener las operaciones del negocio.
Mejorar el RTO requiere invertir en hardware de alto rendimiento optimizado para el caso de uso de recuperación, incluido el soporte para balanceo de carga y Recuperación Instantánea, que puede ejecutar cargas de trabajo fallidas directamente desde los respaldos.
Se denomina RTO (objetivo de tiempo de recuperación) porque se trata de minimizar el tiempo de recuperación.
Objetivo de Punto de Recuperación (RPO)
El RPO protege todos los datos que tu empresa ha recopilado hasta ahora. El RPO se basa en respaldos, y la relación es directa: cuanto más frecuentes sean los respaldos, mejor será el RPO y menos datos estarán en riesgo de perderse.
Llamamos al RPO objetivo de punto de recuperación porque define el punto más reciente del respaldo de datos. Por ejemplo, un RPO de 0 exigiría que cada cambio en los datos se duplicara en tiempo real, eliminando discrepancias entre el respaldo y la producción. Este enfoque se denomina protección continua de datos (CDP).
En su forma estricta, la protección continua de datos puede reducir el RPO a cero, pero consume tantos recursos que pocas empresas la implementan al pie de la letra.
La importancia del RTO y el RPO
La realidad es que las empresas no quieren sufrir ningún tiempo de inactividad ni pérdida de datos. Enmarcar esto como “aceptable” o “cómodo” puede hacerte sentir… bueno, incómodo.
Sin embargo, dedicar tiempo a calcular el RTO y el RPO te dará, paradójicamente, la tranquilidad de saber que tu organización puede resistir un desastre.
Otros beneficios del RTO y el RPO para tu negocio incluyen:
- Mejor preparación ante desastres. El RTO y el RPO orientarán toda tu estrategia de recuperación y la harán más realista. Te señalarán los recursos, pasos y protocolos adecuados para mitigar la pérdida de datos y la interrupción del negocio.
- SLA realistas y fiables. Una vez que conozcas el RTO y el RPO viables para tu negocio, podrás incluirlos en tu Acuerdo de Nivel de Servicio y cumplirlos con confianza.
- División del trabajo optimizada. El RTO y el RPO también ayudarán a diseñar y agilizar los flujos de trabajo de los empleados ante un incidente. De nuevo: cuando tienes un objetivo claro y basado en la realidad, puedes planificar y delegar tareas fácilmente en torno a él.
¿Cómo calcular el RTO y el RPO?
Sigue los pasos a continuación para recopilar la información correcta y utilizarla para calcular el RTO y el RPO en tu organización.
Paso 1: Entrevistar
Pide a la dirección y a la gerencia que clasifiquen los sistemas y aplicaciones de la organización desde los más hasta los menos críticos para la continuidad del negocio y los ingresos.
Paso 2: Categorizar
Con esta información, ordena los sistemas en niveles. Por ejemplo, asigna las aplicaciones más críticas al Nivel 1, las menos críticas al Nivel 2 y las de menor criticidad al Nivel 3.
Paso 3: Examinar
Ahora, imagina que hay una interrupción del servicio debido a un incidente de seguridad. Revisa cada sistema uno por uno, asumiendo que ha sido comprometido, y determina lo siguiente:
| RTO | RPO |
|---|---|
| La frecuencia de la interrupción. |
Pérdida de datos estimada en función de los calendarios de respaldo existentes. |
| Su duración media. | El coste de la pérdida de datos proyectada. |
| El coste del tiempo de inactividad por minuto. | El coste de reproducir los datos perdidos, en términos de trabajo humano, por ejemplo. |
| El acuerdo de nivel de servicio (SLA), si aplica. | |
| La posibilidad de abandono de clientes o insatisfacción. | |
| Impacto potencial en otros sistemas. |
Tabla 1. Lista de verificación de preevaluación para RTO y RPO.
Paso 4: Calcular
Con los datos del Paso 3, utiliza las preguntas siguientes para determinar las métricas adecuadas para tu negocio.
| Determinación del RTO | Determinación del RPO |
|---|---|
| ¿Cuál es el tiempo máximo de inactividad aceptable? |
¿Cuál es la frecuencia de respaldo en los distintos departamentos de tu organización? |
| ¿Qué recursos se necesitan para mantenerse dentro de ese límite? | ¿Qué dice tu plan de continuidad del negocio sobre el RPO y los calendarios de respaldo? |
| ¿Cuánto tiempo llevará desplegar los procedimientos necesarios? | ¿Cuáles son los estándares del sector para la frecuencia de respaldo según la criticidad del sistema (niveles)? |
| Tu RTO es el tiempo máximo de inactividad aceptable más el tiempo necesario para movilizar los recursos. | El RPO de tu organización debe alinearse con el sistema que se respalda con mayor frecuencia, tu plan de continuidad del negocio y los estándares del sector. |
Tabla 2. Lista de verificación para calcular el RTO y el RPO
Mejores prácticas de RTO y RPO
En un mundo perfecto, el RTO y el RPO deberían ser siempre cero. Pero, siendo la vida como es, es poco probable que estas métricas estén a la altura de ese ideal. Aun así, estas son algunas mejores prácticas que puedes impulsar dentro de tu organización para reducir el RTO y el RPO:
- Programa copias de seguridad con frecuencia. La regla es simple: cuanto más frecuentes sean tus copias de seguridad, mejor será tu RPO. Además, asegúrate de mantener los datos más sensibles en copias de seguridad inmutables para una seguridad adicional.
- Aprovecha la redundancia. Sigue un esquema de replicación de datos. La replicación no sustituye a las copias de seguridad, pero añade una capa adicional de seguridad para tu negocio.
- Pruebas y validación. Incluso el mejor RTO y el mejor RPO no son más que una ilusión hasta que los pruebas y los validas en circunstancias reales.
- Recuperación basada en prioridades. Haz que tu recuperación ante desastres sea eficiente en el uso de recursos: prioriza tus sistemas y restaura primero los críticos.
- Automatización. Aprovecha la automatización para gestionar tus programaciones de copias de seguridad, pero no olvides comprobar si sigue alineada con tu estrategia de negocio.
- Almacenamiento fuera de las instalaciones. Sigue la Regla de backup 3-2-1 para que tus copias de seguridad sean aún más seguras: con tres copias de seguridad idénticas en dos soportes diferentes, y una de ellas fuera de las instalaciones, para que no se vea afectada por desastres locales como inundaciones.
¿Cómo puede Ootbi ayudar en la recuperación ante desastres?
En última instancia, el RTO y el RPO dependen de lo seguro, simple y potente que sea tu sistema de copia de seguridad y recuperación.
Ootbi (Out-of-the-Box Immutability) de Object First es un appliance de copias de seguridad diseñado específicamente para clientes de Veeam que cumple en todos esos frentes.
- Ootbi es seguro. Resistente al ransomware e inmutable desde el primer momento, Ootbi está diseñado en torno a los principios más recientes de Zero Trust Data Resilience (ZTDR), con cero acceso a root, segmentación integrada y múltiples zonas de resiliencia.
- Ootbi es simple. Montado en rack, apilado y energizado en menos de 15 minutos sin necesidad de conocimientos técnicos, Ootbi es mantenido y optimizado automáticamente por el proveedor.
- Ootbi es potente. Diseñado pensando en el rendimiento, Ootbi escala linealmente en cuestión de minutos y admite velocidades de copia de seguridad de hasta 4GB/s y Recuperación Instantánea probada a escala con hasta 80 VM ejecutándose en un clúster de cuatro nodos.
Otros han mejorado sus métricas con Ootbi. Por ejemplo, Centerbase, una solución de gestión de despachos jurídicos, redujo su RPO en un 50%. Esto es lo que dijeron:
Usa Ootbi para mejorar tus métricas tú también. Reserva una demo gratuita hoy mismo y deja que nuestros ingenieros te muestren la magia detrás de la caja. Reservar demo
Preguntas frecuentes
¿Cuáles son ejemplos de RTO y RPO?
En el caso del RTO, supongamos que un ataque de ransomware inutiliza tu servidor web, dejando tu sitio web inaccesible para los clientes. Según cálculos previos, el tiempo máximo de inactividad aceptable para este sistema es de 1 hora. Después de eso, empezarás a perder tráfico, clientes y reputación. Por lo tanto, el servidor web debe restaurarse a plena capacidad dentro de esa ventana de tiempo.
En el caso del RPO, digamos que tu análisis muestra que la copia de seguridad más reciente de los datos del servidor web no debe tener más de 1 hora de antigüedad. No quieres perder registros de clientes ni transacciones anteriores a ese momento. En consecuencia, siempre que la última copia de seguridad del servidor web se haya realizado dentro de los 60 minutos posteriores al incidente, se cumplirán tus requisitos de RPO.
¿Qué es la recuperación ante desastres?
La recuperación ante desastres es un plan de acción detallado cuyo objetivo es evitar que se produzcan incidentes de seguridad y mitigar sus consecuencias si llegan a ocurrir. El RTO y el RPO son vitales, pero no son los únicos elementos de una estrategia de recuperación ante desastres.
