Estamos en un mundo en donde cada día se está creando nueva información de manera exponencial a comparación de años pasados. Esto lo podemos ver aterrizado en el estudio publicado por We are Social[1], en donde se puede ver un gran crecimiento en los medios digitales y cómo, poco a poco, estas tecnologías han ido tomando horas de nuestro tiempo. Claro, estos estudios son en base a encuestas individuales en la población, pero reafirmamos que las tecnologías de información juegan un papel importante en nuestro entorno, tanto de manera personal como en lo organizacional/empresarial.
La transformación en la que hemos estado presente a lo largo de estos últimos 5 años ha sido de gran aporte para avances y para mejorías notables en cuanto a productividad en las empresas, sin embargo, bien sabemos que el futuro es incierto y que no tenemos seguridad de lo que sucederá, sino que sólo contamos con proyecciones, y en algunos casos estas proyecciones se ven interrumpidas o frustradas por sucesos y eventos que están fuera de nuestras manos, tales como accidentes, desastres naturales, enfermedades, pandemias, etc.
Es por ello por lo que, como empresa, debemos estar preparados para estas contingencias que afectan al negocio. Hay que tener bien claro cuales son los procesos críticos de la operación para restablecerlos tan pronto y seamos afectados por la contingencia, asegurando la continuidad operativa del negocio. En dado caso de ser afectados por la contingencia, se podría traducir en pérdida de información de los usuarios, transacciones, bases de datos, pérdida de acceso a aplicaciones, servicios y/o plataformas necesarias para la operación normal de la empresa. Aquí es en donde se debe de tener claridad de estos conceptos, RPO y RTO, que nos ayudarán en el proceso.
RPO (Recovery Point Objective u Objetivo de Punto de Recuperación)
El RPO determina la cantidad máxima “aceptable” de pérdida de datos (en cuestión de tiempo) que la empresa puede permitir en caso de desastre. Está estrechamente relacionado con la última copia de seguridad disponible con información o datos útiles para el negocio dentro del mismo escenario que afecte al negocio.
En una probable situación de contingencia, si nuestro RPO es de 6 horas para algún sistema, este tiempo será el intervalo máximo que existiría entre el último respaldo con datos útiles y el evento que generó la pérdida de información. Claro, no en todos los casos sucedería de esta manera, es decir, que ante cualquier falla se pierda 6 horas de información. Un respaldo con mayor frecuencia permite alcanzar un mejor RPO.
Una vez que se haya definido claramente el objetivo de RPO de la empresa, nos ayudará a configurar el trabajo de respaldo adecuado.
Para dejar más claro este concepto pondré un ejemplo, para un banco, el perder una o dos horas de datos podría ser algo desastroso, porque operan transacciones al momento, en vivo. Si trasladamos el RPO a nivel personal, sería esa última acción de guardar el documento en el cuál ha estado trabajando durante horas. Si sucede un desastre o falla sin nosotros tenerlo en cuenta, ¿cuánta información estaríamos dispuestos a perder?, esto en sentido de que tanto se pudiera perder sin afectar por completo nuestro trabajo.
RTO (Recovery Time Objective o Tiempo Objetivo de Recuperación)
El RTO se refiere al tiempo máximo aceptable que una empresa define para recuperar sus procesos críticos, desde la interrupción del servicio hasta la restauración de este después de haber sido afectada por alguna contingencia.
Entonces, si hay algo que nos imposibilite operar dentro de la empresa de forma normal, tendrá que pasar un cierto tiempo para solucionar las fallas y estabilizar el sistema para continuar operando. Este tiempo que haya pasado es el RTO.
Durante todo este tiempo de recuperación es necesario tener en cuenta que se están solucionando las fallas, pero también que las aplicaciones no estarán activas, es decir, no se encontrarán funcionando. Para aterrizar esta parte, hemos vivido en ciertas ocasiones la falla de sistemas de comunicación como lo es WhatsApp, claro está que es una aplicación que la mayoría, si no es que todas, las personas usan para mantenerse en constante comunicación con amigos, familiares, compañeros de escuela, del trabajo, del salón de los hijos, etc., es decir, la mayor parte de “conexión” con las demás personas es a través de esta aplicación. ¿Qué sucede cuando WhatsApp falla durante 8 horas? Sin alternativas esto se podría volver en un desastre total. Sin facilidad de comunicación, constantes quejas ante la compañía, hasta el punto de que algunos deciden olvidarse de esta aplicación y encontrar otra alternativa. A lo que quiero llegar con esto, es sobre la importancia y urgencia que tendría la estabilización de estos sistemas/aplicaciones, y claro el tiempo de recuperación. La pregunta aquí sería, ¿cuánto tiempo estaríamos dispuestos a esperar para poder operar de manera normal en la organización?
Estos valores de RPO y RTO no deben de ser iguales para todas las empresas y organizaciones, ya que se adecuan según la posibilidad económica y capacidad de respuesta de la empresa ante las contingencias. Mientras más cercanos los valores de RPO y RPO a 0, es mejor, sin embargo el negocio deberá de evaluar ya que mientras más cercano a ese valor, aumenta los esfuerzos y gastos necesarios para su cumplimiento, por lo que es necesario buscar un balance correcto entre costo y capacidad de resiliencia para nuestro negocio.
Estos conceptos pasan a tener una gran importancia para considerarlos dentro de nuestra estrategia de continuidad, ya que por un lado nos preocupamos por la parte de datos y tener una base sólida para su recuperación, por otro lado vemos la parte de la infraestructura, en la cual se priorizan los sistemas, aplicaciones y equipos conforme la identificación de los procesos críticos para la operación, y con ello, que sean los primeros en estabilizar o poner en línea. Si ponemos en acción estas mejores prácticas, tanto el frecuentar la copia de seguridad de datos, como identificación de aplicaciones, sistemas y equipos críticos, nos ayudará a reducir cada vez más nuestro RPO y RTO.
Tanto el RPO y RTO son conceptos que son parte dentro de un BCP (Plan de Continuidad de Negocio) y un DRP (Plan de Recuperación ante Desastres), por lo que es necesario contar con estos planes definidos.
Referencias:
- [1] We are Social y Hootsuite (2020) Digital 2021 Global Overview Report. Link: https://wearesocial.com/uk/blog/2021/01/digital-2021-uk/
- Amazon Web Services (2020) Objetivos de tiempo de recuperación (RTO) y objetivos de punto de recuperación (RPO). Sitio Web: https://docs.aws.amazon.com/es_es/wellarchitected/latest/reliability-pillar/recovery-time-objective-rto-and-recovery-point-objective-rpo.html
- Rubén Ramiro (2020) Conceptos básicos de Plan de Continuidad de Negocio ( RPO, RTO, WRT, MTD… ). Sitio Web: https://ciberseguridad.blog/conceptos-basicos-de-plan-de-continuidad-de-negocio-rpo-rto-wrt-mtd/
- Rodríguez Pinilla, O. J. (2017). Continuidad del negocio (Bachelor’s thesis, Universidad Piloto de Colombia).
- IBM Corporation (2021) RPO y RTO. Sitio Web: https://www.ibm.com/docs/es/xiv-storage-system?topic=STJTAG/com.ibm.help.xivgen3.doc/Gen3/PO/xiv_gen3_po_rpo_rto.html
Por Josué López
Consultor de HK México, Ingeniero Industrial y de Sistemas con acentuación en Calidad, con experiencia en proyectos de Continuidad de Negocio para el sector financiero, educativo e industrial.
