En el ámbito de la recuperación de desastres, dos métricas críticas para las organizaciones son el objetivo de punto de recuperación (RPO, por sus siglas en inglés) y el objetivo de tiempo de recuperación (RTO). Ambas abordan la cantidad de pérdida de datos y el tiempo necesario para recuperar los datos, respectivamente. Tener una clara conciencia del nivel de tolerancia al riesgo con estos asuntos ayuda a asegurar que tu estrategia de backup y recuperación esté alineada con los objetivos de tu negocio.
Tabla de contenidos
Exploraremos el RPO y el RTO y el papel crítico que juegan en el plan de recuperación de desastres de tu organización.
¿Qué es RPO?
El objetivo de punto de recuperación (RPO) es la cantidad máxima de pérdida de datos que una organización consideraría aceptable. La tolerancia a la pérdida de datos a menudo se mide en términos de tiempo.
Las organizaciones que procesan datos sensibles, como las del sector financiero, gubernamental o de salud, pueden tener que considerar requisitos regulatorios al establecer sus RPOs. Los requisitos del negocio también pueden afectar los RPOs. Por ejemplo, los gateways de pago, servidores de correo electrónico y bases de datos de acciones pueden tener un RPO de un minuto o menos, mientras que la base de datos del blog orientado al consumidor de la compañía puede tener un RPO de 24 horas.
¿Qué es RTO?
El objetivo de tiempo de recuperación (RTO) es la duración máxima de tiempo que un ordenador, sistema, red o aplicación puede estar inactivo después de una falla. Un RTO se mide más a menudo en segundos, minutos, horas o días.
Un servidor de correo electrónico puede tener un RTO de hasta cuatro horas, ya que otros servidores de correo generalmente intentarán nuevamente la entrega si un servidor está fuera de línea por un corto tiempo. En contraste, un banco que maneja un alto volumen de transacciones podría establecer un RTO de solo unos pocos segundos para cualquier aplicación financiera.
Los RTOs se establecen en base a la aplicación y su impacto en el negocio. La pérdida de datos y las interrupciones afectan a la generación de ingresos y cuantificar el impacto de una interrupción es un factor clave para determinar los RTOs y cómo configurar el entorno para minimizar los tiempos de recuperación.
¿Cuál es la Diferencia Entre RPO y RTO?
Tanto el RPO como el RTO se expresan en períodos de tiempo. Los RPOs consideran la tolerancia de una organización a la pérdida de datos y son retrospectivos, ya que se miden en cuán antiguo debe ser el dato recuperado. Los RTOs impactan cualquier interrupción o desastre que pueda tener en la capacidad del negocio para generar ingresos y son prospectivos, ya que miden futuros incrementos de tiempo en caso de falla.
Definir un RPO te ayuda a decidir la frecuencia de los backups. Por ejemplo, un RPO de cero requeriría snapshots frecuentes o backups incrementales. Tolerancias más largas permiten backups menos frecuentes y, por lo tanto, menores costos de almacenamiento.
El RTO ayuda a determinar la arquitectura de tus sistemas. Si se acepta algún tiempo de recuperación, un sistema único recuperado de una imagen es una opción. Cuando el RTO deseado es cero o cercano a él, invertir en redundancia, balanceo de carga y opciones de failover se vuelve necesario.
Establecer un RTO y RPO adecuado es especialmente importante para las organizaciones empresariales, ya que cualquier interrupción o pérdida de datos puede tener impactos directos en las ventas y la reputación de la marca y puede afectar negativamente la confianza y retención del cliente.
La Importancia de RPO y RTO en la Recuperación de Desastres
Los objetivos de recuperación son métricas clave para construir una estrategia de recuperación de desastres. Ayudan a cuantificar el nivel de pérdida de datos o interrupción que estás dispuesto a aceptar, para que puedas formular un sistema de backup y recuperación rentable y confiable.
Los backups obsoletos o que toman demasiado tiempo para restaurarse tienen poco uso para tu organización. Saber que puedes restaurar las operaciones normales dentro de un tiempo razonable ofrece mayor tranquilidad.
Entender la diferencia entre RPO versus RTO y el papel que cada métrica juega en la formulación de tu plan de recuperación de desastres es crítico. Saber cuánto, si es que hay alguna, pérdida de datos es aceptable y cuánto tiempo puedes tolerar que un servicio esté no disponible ayuda a informar tus decisiones cuando se trata de soluciones de backup y tu flujo de trabajo de recuperación.
Cómo Calcular el Objetivo de Punto de Recuperación (RPO)
Calcular el Objetivo de Punto de Recuperación (RPO) es fundamental para establecer una robusta estrategia de protección de datos y asegurar la continuidad del negocio frente a desastres o interrupciones. El RPO esencialmente define cuánta pérdida de datos una organización está dispuesta a tolerar en caso de una incidencia. A continuación, detallamos cómo calcular el RPO adecuado para su organización.
Consideraciones para el Cálculo de RPO
Frecuencias de Cambio de Datos: La primera consideración al determinar el RPO es cuán a menudo cambian sus datos. El RPO debe coincidir, como mínimo, con esa frecuencia para garantizar que la pérdida de datos sea lo más mínima posible. Esto es crítico para minimizar el riesgo de pérdida de datos importantes.
Alineación con Planes de Continuidad del Negocio (BCPs): Los procesos individuales dentro de su organización pueden requerir distintos RPOs basados en la criticidad de sus datos. Mientras algunas aplicaciones críticas necesitan una aproximación de alta disponibilidad, otras pueden ser más tolerantes a la pérdida de datos.
Consideración de Estándares de la Industria: Las mejores prácticas para determinar RPOs varían entre industrias. Aquí hay algunas reglas generales basadas en la criticidad y frecuencia de actualización de los datos:
- 0 a 1 hora: Para cargas de trabajo empresariales críticas con datos de alto volumen, dinámicos o difíciles de recrear.
- 1 a 4 horas: Para aplicaciones semi-críticas donde se acepta una pequeña cantidad de pérdida de datos.
- 4 a 12 horas: Para datos que se actualizan infrecuentemente (por ejemplo, a diario), haciéndolos adecuados para snapshots ocasionales.
- 13 a 24 horas: Para datos que se actualizan de manera menos frecuente y que son importantes pero no considerados críticos.
Documentación y Aprobación
Una vez decididos los RPOs, es esencial documentar el proceso de decisión y obtener la aprobación del departamento de TI y otras partes interesadas. Esta documentación servirá como referencia para entender las razones detrás de los RPOs escogidos y garantizará que todas las partes relevantes estén alineadas.
Revisión y Ajuste Regular
El entorno empresarial y tecnológico es dinámico; por lo tanto, los RPOs también deben ser revisados y ajustados regularmente. Esto asegura que los objetivos sigan siendo relevantes y adecuados frente a los cambios en la organización, tecnología, reglamentaciones de la industria y amenazas emergentes. Asegurar la protección máxima de sus datos requiere una revisión periódica de estos objetivos para adaptarse a nuevas realidades y desafíos.
Al calcular y revisar los RPOs, las organizaciones pueden establecer un enfoque proactivo para la gestión de riesgos de datos. Esto no solo protege los activos de información vitales sino que también alinea las estrategias de backup y recuperación de desastres con las necesidades y objetivos generales del negocio. En última instancia, una estrategia bien formulada y ejecutada alrededor del RPO permite a las organizaciones minimizar el impacto operativo y financiero de posibles interrupciones o pérdidas de datos, asegurando la continuidad del negocio y la confianza de los clientes en un entorno digital cada vez más complejo y amenazante.
Cómo Definir los Valores de RTO y RPO para Sus Aplicaciones
La definición de los valores de Objetivo de Tiempo de Recuperación (RTO) y Objetivo de Punto de Recuperación (RPO) para las aplicaciones de su organización es crucial para garantizar una estrategia de recuperación de desastres robusta y alineada con los objetivos del negocio. A continuación, se detallan los aspectos que deben tenerse en cuenta para la definición adecuada de estos valores.
Para Definir el RTO de Su Organización, Considere:
- El Costo de una Interrupción Por Minuto, Hora o Día: Comprender el impacto económico de una interrupción en las operaciones puede ayudar a priorizar las inversiones en soluciones de recuperación.
- Acuerdos de Nivel de Servicio (SLAs) de Recuperación Existentes con Clientes: Los SLAs pueden dictar los RTOs necesarios para cumplir con compromisos contractuales y mantener la satisfacción del cliente.
- Prioridad de las Aplicaciones: Identifique cuáles aplicaciones son críticas para las operaciones del negocio y cuáles pueden tolerar tiempos de inactividad más prolongados.
- Orden Ideal en el que se Deben Recuperar las Aplicaciones Críticas: Establecer una secuencia de recuperación ayuda a minimizar la interrupción operativa durante un evento de desastre.
Para Definir Sus RPOs, Considere:
- Si la Pérdida de Datos es Aceptable en Algún Escenario: Esto ayuda a priorizar esfuerzos y recursos hacia las aplicaciones y datos más críticos.
- El Impacto de la Pérdida de Datos en Su Marca: La pérdida de datos puede afectar negativamente la percepción y confianza de los clientes en su empresa.
- Implicaciones Legales: Las regulaciones de la industria pueden dictar los RPOs necesarios para cumplir con requisitos legales y evitar sanciones.
- Implicaciones Financieras: Evalúe el impacto económico de la pérdida de datos para entender mejor las inversiones necesarias en la estrategia de backup.
Un aspecto crucial, pero más difícil de evaluar, es el impacto negativo que la pérdida de datos o el tiempo de inactividad pueden tener en la imagen de su marca. Aunque a menudo es complicado cuantificar este impacto en términos monetarios, un tiempo de inactividad significativo o la pérdida de datos pueden conducir a una pérdida de confianza por parte de los clientes.
Equilibre los Problemas Anteriores Contra el Costo de Transferencia de Datos, Almacenamiento y Soluciones de Recuperación
Encuentre una estrategia que se adapte mejor a sus necesidades ponderando los aspectos mencionados anteriormente contra el costo de las soluciones de transferencia de datos, almacenamiento y recuperación.
Evaluación Independiente de Cada Aplicación o Proceso de Negocio
Evalúe de manera independiente cada aplicación o proceso de negocio. Busque la opinión de las partes interesadas durante esta parte del proceso y opte por el lado de una recuperación más rápida y la limitación de la pérdida de datos en caso de duda.
Mediante la consideración cuidadosa de estos aspectos, las organizaciones pueden definir valores de RPO y RTO que no solo protegen sus operaciones y datos críticos sino que también apoyan sus objetivos a largo plazo y mantienen la confianza de sus clientes. La clave está en encontrar el equilibrio adecuado entre los requisitos de protección de datos, las capacidades de recuperación y el costo de implementación de la estrategia.