RPO y RTO

Cuando se habla de la Gestión de la Continuidad del Negocio siempre hacemos referencia a los Planes de Continuidad del Negocio o BCP, que no sólo tratan de darle continuidad a la organización ante eventos catastróficos sino también controlar los picos de producción, accidentes, bajas de los empleados, end-of-life de productos y servicios, etc. Por otro lado, se encuentran los Planes de Recuperación ante Desastres o DRP que tienen una componente más técnica tratando de dar continuidad a los sistemas de información con el objetivo de minimizar la no disponibilidad ante cualquier problema.

A la hora de elaborar el Plan de Recuperación ante Desastres hay que tener en cuenta dos conceptos importantes que nos ayudan a decidir qué tecnologías implantar en la organización. Estos conceptos son el tiempo de tolerancia o RPO y el tiempo de recuperación o RTO.

El tiempo de tolerancia (RPO) es el que determina la cantidad de datos que estamos dispuestos a perder, es decir, si por ejemplo tan solo hacemos una copia de seguridad a la semana estamos dispuestos a perder el trabajo desarrollado durante la última semana. Según la imagen anterior, podemos ver que a menor RPO mayor exigencias en la replicación de datos, pasando de tener los datos redundados en tiempo real a realizar copias de seguridad en cintas para enviarlas a otro edificio.

El tiempo de recuperación (RTO) es el que determina la cantidad de tiempo de no disponibilidad que estamos dispuestos a asumir ante un problema, es decir, durante cuánto tiempo la organización puede permitirse tener los sistemas apagados sin afectar considerablemente a la continuidad del negocio. Según la imagen anterior, podemos ver que a menor RTO mayor exigencias en la disponibilidad de los servicios, pasando de tener los sistemas y aplicaciones en alta disponibilidad en modo activo/activo a disponer de sistemas de repuesto listos para su configuración y uso.

Aunque a todos nos gustaría tener tecnologías que nos permitan bajar los tiempos RPO y RTO, siempre debemos ser conscientes que a menor RPO y RTO mayor coste de adquisición y mantenimiento de los sistemas, ya que todo se duplica por dos o incluso tres. Ambos tiempos deberán ser definidos y aprobados por Dirección, y siempre alineados con los Acuerdos de Nivel de Servicio pactados con los clientes.

Gestionar plataformas exigentes en cuanto a disponibilidad, parece algo interesante y apasionante para todo ingeniero, sin embargo cuando surge un incidente dejando a los clientes sin servicio, cada minuto se hace eterno hasta que consigues encontrar la solución o una alternativa, mientras tanto nuestro corazoncito y salud va en detrimento. Por este motivo, si de verdad nos interesa la continuidad del negocio es aconsejable implantar los controles de la ISO 22301, que aunque no nos garantizará la disponibilidad 100% de los servicios, nos ayudará a prestar los servicios con mayor calidad.