A Fondo
Cómo determinar los RPO y los RTO para la copia de seguridad y recuperación
En el mundo empresarial actual, resulta fundamental contar con un plan de protección frente a ciberataques de todo tipo. Pero también para recuperarse de ellos, o de cualquier contingencia que haga que se pierdan datos o sistemas que puedan interrumpir la continuidad del negocio. En la recuperación de estos y otros desastres, hay dos conceptos que resultan clave: el RPO y el RTO.
Los dos se emplean para medir cuánto tiempo puede una empresa puede tener sus sistemas inactivos sin sufrir consecuencias y la cantidad de información que puede permitirse perder en un incidente del tipo mencionado. Pero veamos con más detalle a qué hace referencia cada uno de ellos, y cómo se determinan.
RPO y RTO: definición
Cuando hablamos de RPO, o Recovery Point Objective, nos referimos al máximo de datos que puede perder una empresa sin que su funcionamiento y operaciones se vean en peligro. Se trata por tanto del punto al que una empresa debe regresar cuando quiere recuperarse de un desastre o de un ciberataque sin que por ello pierdan más datos que los imprescindibles.
En cuanto al RTO, o Recovery Time Ojective, se trata del tiempo que una empresa puede estar inoperativa sin sufrir consecuencias para recuperarse de un ataque, o de un problema que ocasione una interrupción de sus servicios. Es importante conocer este dato, porque indicará cuánto puede tardar una empresa en poner en práctica su plan de recuperación para recuperar la normalidad y estar a pleno rendimiento antes de empezar a sufrir consecuencias graves.
Tan importante es conocer uno de estos datos como el otro. Ambos son fundamentales, ya que permiten, una vez conocidos, saber qué recursos son necesarios tanto para la protección de datos como para la recuperación eficaz de una interrupción del servicio o de un ciberataque que ocasione daños en la continuidad del negocio.
Beneficios de calcular el RPO y el RTO, y problemas que acarrea no hacerlo
Calcular de manera adecuada tanto el RPO como el RTO puede resultar altamente ventajoso para cualquier tipo de organización. Entre las ventajas que puede conseguir una organización al hacerlo están una importante rebaja de costes, así como una mejora de la confianza en la empresa, y también en su disponibilidad aunque haya sufrido un ataque o un problema en sus sistemas.
Además, en caso de pertenecer a uno de los sectores que tienen que cumplir varios requisitos concretos en materia de protección de datos y recuperación de desastres, tendrá más facilidades para poder cumplirlos. Por otro lado, conocer ambas métricas es importante para establecer cada cuánto tiempo es necesario hacer una copia de seguridad del sistema, o de sus elementos y datos más importantes, y cuáles tienen que ir en ella.
En lo que respecta a la reducción de costes, el cálculo adecuado de RPO y RTO ayuda a que la inversión necesaria para recuperar la pérdida de datos y el tiempo que tarda la empresa en estar operativa de nuevo tras una interrupción sea menor. Para ello es necesario una vez se hayan calculado, eso sí, tomar medidas de acción cuando haya un incidente y establecer las soluciones adecuadas para recuperar funcionamiento e información. Contar además con un plan de recuperación efectivo y eficaz reduce, o directamente elimina, la inactividad en las operaciones de la empresa.
Cuando una empresa no calcula el RTO o el RPO, o no lo hace adecuadamente, se enfrenta a no pocas complicaciones. Entre ellas a la pérdida de información vital para su funcionamiento. También a un tiempo de detención de sus operaciones mayor que el que puede soportar, por no hablar de los daños que sufriría su reputación.
Es posible que todo esto lleve también a una pérdida de clientes por la pérdida de confianza y el daño a la imagen que experimentaría. Por no hablar de los costes que tendrá que soportar para volver a la normalidad, seguramente mayores de lo esperado. Por eso es mejor contar con un plan de contingencia y recuperación de desastres y ataques, que tenga en cuenta los tiempos que necesita para poder recuperarse sin daños, y saber cuántos datos puede permitirse el lujo de perder.
Cómo calcularlos, y qué tener en cuenta
En general, no hay una fórmula concreta ni única para el cálculo del RPO y el RTO. Tampoco un conjunto de elementos fijo a tener en cuenta para ello. Ambas métricas están determinadas por varios factores, prácticamente únicos para cada empresa. Entre ellos están el tipo de copias de seguridad que tiene la compañía, y la frecuencia con la que se hacen.
Cuanta mayor sea la frecuencia con que se hace la copia, más bajo será el RPO. Eso sí, hay que tener en cuenta que esto también puede subir los costes, por el espacio de almacenamiento necesario y el ancho de banda necesario. Los costes, que es necesario calcular al detalle, tienen que incorporar lo que cuesta la protección de datos y su replicación cuando sea necesario. Pueden variar en función de quién sea el proveedor encargado del almacenamiento y respaldo de la información, y también del nivel de servicio que presta a la empresa.
También la capacidad de recuperación de sus sistemas para los que hay backup, y el nivel de complejidad que lleva hasta la recuperación. En el cálculo también hay que tener presente qué consecuencias tendría para las operaciones de la empresa la pérdida de datos, o la pérdida de actividad durante un tiempo.
El tiempo que tardan los sistemas en recuperarse de un ataque es también básico para calcular el RTO. Es decir, hay que conocer el tiempo que se necesita para restaurar los datos y sistemas críticos, transfiriendo datos y devolviendo los sistemas a un estado operativo. En él hay que incluir el tiempo necesario para verificar que todo está en su sitio y funciona como debe.
No obstante, hay elementos que siempre hay que tener en cuenta para calcular ambos conceptos. Son el valor de los datos que es necesario proteger, el impacto que tendría su pérdida en las operaciones de la compañía o la tolerancia al riesgo que tiene ésta. Conocer qué sistemas y aplicaciones resultan críticos para que haya continuidad en el negocio sin consecuencias, o con las menores posible, es vital, puesto que ayudará a concretar el RTO aceptable antes de que las pérdidas supongan un peligro.
Aparte de todos estos factores, en el cálculo del RPO y el RTO, en el que deben intervenir varios directivos y equipos de una empresa, es necesario tener en cuenta los recursos de los que dispone para hacer frente a una contingencia que lleve a pérdida de datos o interrupción de los servicios que presta.
-
OpiniónHace 6 días
10 predicciones para los proveedores de servicios gestionados en 2025
-
NoticiasHace 2 días
El Capitan es el nuevo superordenador más potente y rápido del mundo
-
NoticiasHace 6 días
AMD despedirá al 4% de su plantilla mientras se centra en IA y centros de datos
-
NoticiasHace 6 días
La Comisión Europea multa a Meta con 798 millones por perjudicar a la competencia de Marketplace