fbpx
Segurança

RTO e RPO: entenda o que é e quais seus impactos na empresa!

Com as empresas produzindo e coletando dados em volume cada vez maior, a preocupação com a segurança só cresce, afinal, a informação é o grande ativo da era da transformação digital. Cabe às empresas adotarem as medidas de segurança mais eficazes e avaliarem as métricas que contribuem para que essa proteção seja feita de maneira correta.

Duas métricas que se destacam nesse cenário são RTO e RPO, que estão ligadas diretamente a uma das estratégias de segurança mais tradicionais, o Backup. Elas servem de referência para que a equipe de TI tome ações como a regulagem de backup, o uso de ferramentas de segurança e para o próprio treinamento da equipe.

Quer saber o que são RTO e RPO e a importância dessas métricas para a sua empresa? Neste post tiramos as principais dúvidas sobre o tema. Confira!

O que é RPO?

RPO é a sigla para Recovery Point Objective ou Objetivo do Ponto de Recuperação, em português. Essa métrica serve para mensurar quanto tempo a empresa pode ficar inoperante entre o último backup realizado e a paralisação dos processos devido a um incidente., sem trazer grandes prejuízos.

Basicamente, o RPO define a quantidade tolerável de informações que a empresa pode perder caso seja alvo de uma pane, ataque virtual, paralisação dos sistemas ou outro problema que interrompesse os processos.

Para definir o RPO de uma empresa, o gestor deverá calcular e avaliar a quantidade de dados que podem ser perdidos sem que isso prejudique as operações de forma permanente.

Você deve estar pensando: “nenhuma perda de dados deve ser tolerável”. Em um mundo ideal, certamente não, mas no mundo real, em que os sistemas estão correndo todo tipo de risco o tempo todo, qualquer tipo de dano ocasionará perda em algum nível e cabe aos profissionais de TI trabalharem para minimizar essas perdas.

O foco deve ser a manutenção das operações corporativas após a resolução dos problemas, por isso, a base do conceito de RPO leva em conta a periodicidade do backup, afinal, quanto maior for o intervalo entre o último backup e o problema, maiores serão as perdas irrecuperáveis.

E o que é RTO?

Se o RPO serve para calcular a periodicidade dos backups, o RTO — Recovery Time Objective ou Objetivo de Tempo de Recuperação, em português — serve para analisar o tempo tolerável que a infraestrutura de TI da empresa pode ficar disponível sem causar grandes prejuízos. Resumidamente, é o tempo que a equipe de suporte deve recuperar o sistema após um incidente sem atrapalhar as operações.

Como calcular RPO e RTO?

Agora que já entendemos o conceito de RTO e RPO, vamos entender como colocá-los em prática para o bem da empresa. Na verdade, essas duas métricas não são estabelecidas em cima de fórmulas prontas. A definição dependerá da demanda de cada empresa e de seus objetivos de recuperação.

Na maioria das vezes, para fazer o calculo, muitos gestores investem em análises de impacto, para definir a hierarquia de importância de ativos de TI, incluindo os dados, para destacar o que é vital para a manutenção dos negócios, que deverá ser priorizado e o que não causaria problemas graves — que podem ter uma maior tolerância.

Mas porque não colocar como meta as métricas mais próximas de zero possível, reduzindo ao máximo os riscos. Por uma questão de orçamento, afinal, zerar riscos pode acabar custando mais caro do que eventuais prejuízos que a empresa possa ter com panes e problemas estruturais.

Nesse cenário, podemos dizer que os objetivos de recuperação precisam estar alinhados e coerentes com as exigências de cada empresa e que, para haver hierarquização, é interessante que seja implementada uma classificação de criticidade, que pode ser dividida em três níveis, que são:

  • Nível 1/ Camada 1 — representa os sistemas de maior importância para a viabilidade do negócio, como ERP e CRM, requerendo um RTO e RPO curtos, geralmente de 15 minutos;
  • Nível 2/ Camada 2 — são aplicações intermediárias que não são vitais para o andamento dos negócios mas tem importância estratégica, exigindo RPO de aproximadamente 4 horas e RTO de aproximadamente 3 horas;
  • Nível 3/ Camada 3 — são aplicações úteis para os processos e produtividade mas que não apresentam criticidade para os negócios, podendo ser inseridos em um RPO de 24 horas e em um RTO de 4 horas, para não haver perdas de produtividade.

Um ponto importante que precisa ser ressaltado é o fato do RPO ser uma métrica mais simples de ser colocada em prática, pois exige apenas ajustes na periodicidade dos backups, além de ser mais fácil mapear os dados que são mais críticos.

Já o RTO exige uma maior estrutura para ser implementado, pois lida com as operações corporativas como um todo. É uma métrica ligada diretamente à capacidade da equipe de Ti em resolver problemas em tempo hábil, com precisão e qualidade.

Quais os impactos dessas métricas na empresa?

Como vimos, RTO e RPO são utilizados para o cálculo de riscos toleráveis que permite o retorno das operações com o menor dano possível. Objetivo do RTO para a empresa é reduzir os prejuízos, com a resolução ágil, ou seja, precisa ser definido um prazo mais rápido possível dentro das possibilidades da equipe de TI.

Já o RPO vem para definir o que pode ser perdido, com antecedência, reduzindo os danos em termos de perda de dados. O foco aqui é garantir que as informações mais relevantes para o negócio tenham prioridade em relação às de menor impacto.

Além de resguardadas as empresas, esses índices são bastante utilizados por prestadores de suporte de TI que atuam como MSP — provedor de serviços gerenciados. O foco desses profissionais é oferecer um serviço com taxas mínimas de atraso e danos, com foco na segurança e transparência, para dar tranquilidade aos clientes que terá parâmetros sólidos para cobrar.

Esperamos que após a leitura deste post, você tenha entendido o que são RTO e RPO e a importância dessas métricas para as empresas. Como os dados estão se tornando a principal fonte de insights para as tomadas de decisão e a infraestrutura de TI é a espinha dorsal das corporações, trabalhar com métricas claras e objetivos é a melhor saída para uma gestão de TI eficiente.

Gostou do post? Quais métricas sua empresa adota para balizar a gestão? Diga para a gente nos comentários.