En continuidad de negocio y recuperación de desastres informáticos, los términos RTO y RPO se utilizan a menudo en las conversaciones sobre los requisitos de recuperación.
Aunque los términos están estrechamente relacionados, tienen significados y usos distintos.
Este blog definirá los RTOs y RPOs con una mirada más cercana a cómo se utilizan estos términos en los programas de continuidad de negocio y recuperación de desastres informáticos.
¿Qué es el Objetivo de Tiempo de Recuperación (RTO)?
De acuerdo con ISO 22300:2021un Objetivo de Tiempo de Recuperación (RTO) es el «periodo de tiempo tras un incidente en el que se reanuda un producto o servicio o una actividad, o se recuperan los recursos».
En las conversaciones sobre continuidad de negocio y resiliencia operativa, el RTO define un periodo de tiempo específico y suele indicarse como un número determinado de horas, días, semanas, etc.
En términos sencillos, un RTO pone en marcha el tictac del reloj para marcar la cantidad de tiempo que tu organización puede sobrevivir al tiempo de inactividad y volver a las operaciones normales manteniendo la continuidad. Puedes utilizar el término RTO tanto para las funciones empresariales como para los recursos. Es importante tenerlo en cuenta porque no es lo mismo que RPO.
Los RTO varían de una organización a otra, pero aquí tienes algunos de los factores que pueden influir en tu RTO:
- Cuántos ingresos perderá tu organización por cada hora de inactividad
- Cuántas pérdidas puede absorber/soportar tu organización
- Recursos necesarios para restablecer la normalidad
- Tolerancia del cliente al tiempo de inactividad
Al hablar de continuidad empresarial, tus recursos pueden abarcar una serie de categorías, como aplicaciones, proveedores, instalaciones, personas y equipos. Cada recurso puede tener un RTO único que denote el periodo de tiempo en que un recurso específico debe reanudar sus operaciones tras una interrupción.
Según la Agencia Federal para la Gestión de Emergencias (FEMA), alrededor del 25% de las empresas no vuelven a abrir tras una catástrofe. Y, según otro informe, cerca del 16% de los ejecutivos de pequeñas y medianas empresas (PYMES) no conocen los RTO de su organización. Otra cuarta parte afirma que si sufren una catástrofe, creen que pueden recuperar los datos en 10 minutos o menos, y cerca del 30% dice que podría hacerse en menos de una hora.
Por desgracia, conceptualizar e identificar los RTO es complicado. Por eso es importante examinar más detenidamente el alcance de los RTO para asegurarte de que siempre estableces plazos de RTO adecuados para tus recursos, especialmente los más críticos para tus operaciones principales.
La realidad es que un RTO se basa en muchos factores, y para algunos, un RTO podría oscilar entre horas y semanas/meses. Para identificar los RTO adecuados para tus funciones empresariales, considera el impacto del tiempo de inactividad, incluidos varios tipos de impacto, como el financiero, el legal, el operativo y el reputacional.
¿Cómo se identifica un RTO?
Para identificar un RTO, considera estas dos preguntas:
- ¿En qué momento tras una interrupción experimentaría mi organización impactos negativos significativos?
- ¿Cuáles serían esos impactos?
Las respuestas a estas preguntas pueden ayudar a alinear los «impactos significativos y negativos» con el apetito de riesgo de tu organización.
Es importante señalar que si tu equipo de liderazgo ejecutivo acepta una determinada tolerancia al riesgo, tus RTO deben alinearse con esos niveles de tolerancia.
Para ayudarte a identificar mejor los RTO de recursos, alinea tus recursos con las funciones empresariales a las que dan soporte.
Piénsalo así: Si una función empresarial puede estar inactiva durante un periodo de tiempo, los recursos necesarios para realizar esa función también pueden estar inactivos durante ese periodo de tiempo. (Por supuesto, siempre hay excepciones, como las herramientas de seguridad de la información que siempre deben funcionar).
También debes considerar las soluciones manuales que pueda utilizar tu equipo. Si hay soluciones manuales viables, el recurso en sí puede tener un RTO más largo porque el tiempo de inactividad no tendría un impacto tan grande en la resistencia operativa.
¿Cuáles son algunos ejemplos de RTO?
Los RTO varían de una organización a otra. Sin embargo, aquí tienes algunos ejemplos de RTO. ¿Qué aspecto tendrían estos mismos RTO para tu organización?
- Solicitud por correo electrónico: 4 horas
- Sistemas y servicios financieros: 1-2 días
- Sistema de Gestión de Relaciones con los Clientes (CRM): 1 día
¿Qué es el Objetivo de Punto de Recuperación (RPO)?
De acuerdo con ISO 22300:2021un Objetivo de Punto de Recuperación (OPR) es el «punto hasta el que se restaura la información utilizada por una actividad para que ésta pueda funcionar al reanudarse; también puede denominarse «pérdida máxima de datos»».
El término RPO se aplica generalmente a un sistema o aplicación que almacena datos. Los RPO son métricas para determinar cuántos datos estás dispuesto a perder (o cuántos datos estás dispuesto a reintroducir) desde la copia de seguridad hasta la recuperación ante desastres.
Hay distintas formas de pensar en la pérdida de datos. Por ejemplo, puedes pensar de forma holística -perder una base de datos entera- o puedes pensar en la pérdida de datos desde el punto de vista de las transacciones -perder el [period of time] anterior de actualizaciones, archivos, transacciones, etc.-.
Cuando hables de OPR, debes referirte a datos transaccionales en lugar de a datos archivados. Por ejemplo, un repositorio de contratos legales. Tu OPR se aplicaría a los archivos nuevos o actualizados, no a los datos históricos.
En otras palabras, un RPO o tolerancia a la pérdida de datos de un día significa que podrías perder el valor de un día de actualizaciones o cargas en el sistema.
Al determinar los OPR, ten en cuenta las fuentes alternativas de los datos, incluida la recreación de los datos o el trabajo perdidos. Si tienes una fuente de copia de seguridad de los datos -o si puedes recrearlos fácilmente-, puede haber más tolerancia a la pérdida de datos.
He aquí algunos factores que pueden influir en tu OPR:
- Número de aplicaciones y sistemas críticos
- Complejidad de estas aplicaciones y sistemas
- Volumen de datos
- Métodos de copia de seguridad de datos
- Con qué frecuencia cambian los datos
- Frecuencia de las copias de seguridad
- Almacenamiento de datos y accesibilidad
- Recursos internos
Al hablar de OPR, cabe destacar que la frecuencia de las copias de seguridad de tu organización puede tener el mayor impacto en tu OPR, pero la frecuencia a veces se pasa por alto en la planificación de la resiliencia.
Aunque muchas organizaciones (esperemos que la mayoría) realizan copias de seguridad rutinarias de sus datos y sistemas, es posible que esas copias no se realicen con la frecuencia que una organización realmente necesita, algo que a menudo no se descubre hasta después de un desastre o una interrupción importante.
Entonces, si estas copias de seguridad son tan importantes, ¿por qué las organizaciones no las hacen con más frecuencia?
En muchos casos, las copias de seguridad frecuentes tienen un coste prohibitivo. Cuantos más datos tenga tu organización, y cuanto más frecuentemente se repliquen y almacenen, más espacio de almacenamiento necesitarás, lo que aumenta rápidamente los costes.
¿Por qué es importante?
Porque, si sufres un desastre o una interrupción, puedes prever la posibilidad de pérdida de datos. Tu RPO te ayuda a determinar cuántos datos puedes arriesgarte a perder, en función del tiempo que transcurra desde tu copia de seguridad más frecuente hasta la vuelta a la normalidad.
Diferencias entre RTO y RPO
Aunque los RTO y los RPO están relacionados, existen diferencias. Mientras que los RTO miran hacia adelante en el tiempo (la cantidad de tiempo que tienes para recuperarte), los RPO miran hacia atrás (cuándo fue tu última mejor copia de seguridad de los datos y cuánto tiempo necesitas para restaurarla).
Los RPO oscilan en el tiempo desde ninguna pérdida de datos (0 horas) hasta unos pocos días, dependiendo de diversos factores.
Los RTO y RPO son factores importantes en la planificación de la recuperación ante desastres y la continuidad de la actividad. Si no conoces tus métricas de RTO y RPO, la mayor parte de tu planificación de la resiliencia podría ser en vano, sobre todo si subestimas cuánto tiempo puede sobrevivir tu organización a un tiempo de inactividad o el volumen de datos que puede perder y seguir sobreviviendo.
Y aunque algunas organizaciones conocen sus propias métricas relacionadas con el tiempo, los comentarios del sector sugieren que, en conjunto, no hacemos un gran trabajo explorando los RTO de nuestros vendedores y proveedores. Los RTO de proveedores y vendedores pueden afectar directamente y sesgar tus propias métricas de recuperación.
¿Cómo se utilizan los términos RTO y RPO en los programas de continuidad de negocio/recuperación de desastres informáticos?
Se suelen utilizar RTO y RPO:
- Dar prioridad a las funciones empresariales en caso de interrupción, para que la dirección sepa qué funciones deben ponerse en marcha y cuándo.
- Realizar un análisis de las diferencias con respecto a los tiempos de recuperación capaces para identificar los riesgos de continuidad de la actividad y de recuperación de desastres informáticos.
- Para seleccionar estrategias adecuadas de recuperación y copia de seguridad de recursos/datos, incluyendo cuánto gastará tu organización en soluciones/alternativas
RTOs y RPOs: Cómo Castellan puede ayudar a tu organización con la continuidad del negocio
Los RTO y RPO establecen los requisitos fundamentales de tus programas de continuidad de negocio y recuperación ante desastres informáticos. Es importante comprender y definir estos términos al principio de tu programa y reevaluar rutinariamente tus RTO y RPO a medida que evoluciona tu organización.
¿Necesitas ayuda para comprender mejor los RTO y RPO y el papel que desempeñan en la resistencia de tu organización? Ponte en contacto con un asesor de Castellan hoy mismo y estaremos encantados de ayudarte a resolver todas tus dudas.
