En este artículo, hablaremos sobre qué son el RPO (Recovery Point Objective) y el RTO (Recovery Time Objective), y cómo se calculan. Además, nos basaremos en información de Veeam y Nakivo, dos empresas líderes en soluciones de backup y recuperación de datos.
En el mundo de la tecnología, es fundamental tener un plan sólido de recuperación de desastres para garantizar la continuidad del negocio. Dos de los conceptos clave en este ámbito son el RPO y el RTO. Ambos son métricas que se utilizan para medir la capacidad de una organización para recuperar los datos y sistemas después de un fallo.
Cuando se trata de recuperación de desastres y continuidad del negocio, existen dos conceptos importantes a tener en cuenta: RPO y RTO. Ambos son términos que se utilizan para medir la cantidad de tiempo que una empresa puede tolerar estar inactiva y la cantidad de datos que puede permitirse perder en caso de un desastre o interrupción del servicio.
El RPO (Recovery Point Objective) es la cantidad máxima de datos que una empresa puede perder sin poner en riesgo sus operaciones. En otras palabras, es el punto en el tiempo al que una empresa puede recuperarse después de un desastre o interrupción del servicio sin perder más datos de los que puede permitirse.
Por otro lado, el RTO (Recovery Time Objective) es el tiempo máximo que una empresa puede tolerar estar inactiva antes de que sufra consecuencias graves. En otras palabras, es el tiempo que lleva recuperarse después de un desastre o interrupción del servicio y volver a la normalidad.
Calcular el RPO y el RTO es fundamental para una empresa, ya que le permite identificar los recursos necesarios para proteger sus datos y recuperarse de manera eficaz después de un desastre o interrupción del servicio.
En Latinoamérica, muchas empresas todavía no tienen una estrategia clara de recuperación ante desastres, lo que puede ser preocupante considerando que la región es propensa a eventos como terremotos, huracanes, inundaciones y otros desastres naturales que pueden afectar a las operaciones empresariales. Además, los ataques cibernéticos también son una preocupación creciente, y la región ha experimentado un aumento en los últimos años en cuanto a la cantidad de incidentes de seguridad informática.
Según una encuesta realizada por Veeam, solo el 43% de las empresas latinoamericanas tienen un plan de recuperación ante desastres, y de ese porcentaje, solo el 30% ha probado su plan en los últimos 12 meses. Estos números sugieren que muchas empresas no están preparadas para enfrentar un desastre, lo que puede tener graves consecuencias para sus operaciones y la continuidad del negocio.
En cuanto a los tiempos de recuperación, una encuesta de Nakivo en 2020 encontró que el 36% de las empresas latinoamericanas tardan entre 8 y 24 horas en recuperar sus datos después de un desastre, y el 25% tarda más de un día en recuperarlos. Estos tiempos de recuperación prolongados pueden afectar gravemente la productividad de la empresa y su capacidad para satisfacer las demandas de los clientes.
5 aspectos importantes a considerar al calcular el RPO y RTO:
Importancia del negocio: Es importante entender qué sistemas y aplicaciones son críticos para el negocio y cómo afectaría una interrupción en su disponibilidad. Esto ayudará a determinar cuánto tiempo de inactividad es aceptable antes de que se produzcan pérdidas significativas.
Frecuencia de respaldo: La frecuencia de respaldo es clave para determinar el RPO. Cuanto más frecuente sea el respaldo, menor será el RPO, pero también puede aumentar el costo del almacenamiento y el ancho de banda.
Tiempo de recuperación: El tiempo de recuperación es clave para determinar el RTO. Debe tenerse en cuenta el tiempo necesario para recuperar y restaurar los datos y sistemas críticos. Esto incluye el tiempo necesario para transferir datos, restaurar sistemas y realizar pruebas de verificación.
Pruebas de recuperación: Es importante realizar pruebas de recuperación periódicas para verificar que los procesos de recuperación funcionen correctamente. Esto asegura que los datos y sistemas puedan ser recuperados en un tiempo razonable y con un mínimo de pérdida de datos.
Costos: El costo de la protección de datos, la replicación y la recuperación debe ser equilibrado con el riesgo de pérdida de datos y tiempo de inactividad. El costo de los servicios de recuperación de datos puede variar significativamente según los proveedores y los niveles de servicio. Es importante evaluar y comparar diferentes opciones para determinar la solución más efectiva y económica para el negocio.
Estos son solo algunos de los aspectos importantes a considerar al calcular el RPO y RTO, pero hay muchos más factores que pueden influir en el proceso.
Beneficios calcular adecuadamente el RPO y RTO:
Reducción de costos: Calcular adecuadamente el RPO y RTO puede ayudar a las empresas a reducir los costos asociados con la pérdida de datos y la interrupción del servicio, ya que les permite tomar medidas preventivas y establecer soluciones de recuperación de desastres más efectivas y eficientes.
Mejora de la confiabilidad y disponibilidad: Al tener un plan de recuperación de desastres efectivo, se pueden evitar o reducir significativamente los tiempos de inactividad, mejorando la confiabilidad y disponibilidad de los sistemas y servicios de la empresa.
Cumplimiento normativo: En algunos sectores, es necesario cumplir con ciertos requisitos normativos para la recuperación de desastres y la protección de datos. Calcular adecuadamente el RPO y RTO puede ayudar a las empresas a cumplir con estas regulaciones y evitar sanciones.
Riesgos de no calcular adecuadamente el RPO y RTO:
Pérdida de datos y tiempo de inactividad prolongado: Si una empresa no cuenta con un plan adecuado de recuperación de desastres, corre el riesgo de sufrir una pérdida significativa de datos y un tiempo de inactividad prolongado en caso de una interrupción del servicio.
Daño a la reputación y pérdida de clientes: Las interrupciones del servicio pueden afectar gravemente la reputación de una empresa y hacer que los clientes pierdan la confianza en ella. Si una empresa no tiene un plan adecuado de recuperación de desastres, corre el riesgo de perder clientes y dañar su reputación.
Costos adicionales: Si una empresa no tiene un plan adecuado de recuperación de desastres, puede incurrir en costos adicionales para recuperar los datos y restablecer el servicio, lo que puede ser mucho más costoso que invertir en una solución preventiva y eficiente desde el principio.
Para definir el RPO (Recovery Point Objective) y el RTO (Recovery Time Objective), es importante considerar a diferentes personas y criterios en la empresa.
Entre ellos, se pueden mencionar los siguientes:
Dirección y gerencia: es importante que los altos directivos de la empresa participen en la definición del RPO y el RTO, ya que estos objetivos afectarán a toda la organización y podrían tener implicaciones en el negocio. La dirección y gerencia podrían definir el presupuesto destinado para la recuperación de desastres, el tiempo que se puede tolerar sin acceso a los sistemas, entre otros.
Equipo de TI: el equipo de TI es el encargado de implementar y mantener los sistemas que se utilizarán para la recuperación de desastres. Por lo tanto, deben participar en la definición del RPO y RTO para asegurarse de que sean alcanzables y realistas en función de los recursos disponibles y la tecnología utilizada.
Usuarios y clientes: los usuarios y clientes de la empresa también pueden tener una opinión valiosa sobre los objetivos de recuperación de desastres. Por ejemplo, los clientes podrían exigir que la empresa tenga una estrategia de recuperación de desastres para proteger su información personal o los datos de su negocio.
En términos de criterios, es importante considerar los siguientes:
Importancia de los datos y aplicaciones: los datos y aplicaciones más críticos para el negocio requerirán un RPO y RTO más corto, ya que su pérdida o inactividad podría tener un impacto significativo en la empresa.
Tolerancia al riesgo: cada empresa tiene un nivel de tolerancia al riesgo diferente. Algunas podrían ser más conservadoras y buscar objetivos más cortos de RPO y RTO, mientras que otras podrían estar dispuestas a aceptar un mayor riesgo y tener objetivos más largos.
Recursos disponibles: la definición del RPO y RTO también dependerá de los recursos disponibles para la empresa. Por ejemplo, una empresa más grande podría tener más recursos para implementar una estrategia de recuperación de desastres que una empresa más pequeña.
Ejemplos para entender mejor los conceptos de RPO y RTO:
Una empresa de ventas en línea. Supongamos que una empresa de ventas en línea experimenta una falla en su sistema y pierde los datos de sus clientes. El RPO de la empresa en este caso sería el período de tiempo durante el cual los datos de los clientes están perdidos. Supongamos que la empresa realiza copias de seguridad cada noche. Si la falla ocurre al final del día y la última copia de seguridad se realizó a las 11 pm, el RPO de la empresa sería de 24 horas. El RTO en este caso sería el tiempo que tarda la empresa en recuperar los datos de los clientes y restaurar sus sistemas para que puedan seguir operando. Supongamos que la empresa tiene un RTO de 4 horas. Esto significa que después de la falla, la empresa tiene 4 horas para recuperar los datos y restaurar sus sistemas antes de que se produzca una interrupción significativa en sus operaciones.
Una empresa de servicios financieros. Supongamos que una empresa de servicios financieros experimenta un ciberataque y su sitio web queda inaccesible. El RPO de la empresa en este caso sería el período de tiempo durante el cual los datos del sitio web están perdidos. Supongamos que la empresa realiza copias de seguridad cada hora. Si el ciberataque ocurre a las 3:30 pm y la última copia de seguridad se realizó a las 3 pm, el RPO de la empresa sería de 30 minutos. El RTO en este caso sería el tiempo que tarda la empresa en restaurar su sitio web y volver a estar en línea. Supongamos que la empresa tiene un RTO de 2 horas. Esto significa que después del ciberataque, la empresa tiene 2 horas para restaurar su sitio web y volver a estar en línea antes de que se produzca una interrupción significativa en sus operaciones.
Si está interesado en obtener más información sobre seguridad de la información y la continuidad del negocio, contáctanos y consulta con nuestros expertos.
