Toda e qualquer empresa está sujeita a situações críticas em que a segurança é ameaçada. Para garantir a continuidade das operações nesses cenários e evitar sérias consequências, é preciso apostar em ações preventivas de proteção de dados – e mensurar sua eficácia com as métricas RPO e RTO.
Pense bem: para que uma estratégia de segurança realmente funcione, é preciso não apenas identificar os riscos e adotar as ações necessárias (como backup regular, ferramentas anti-malware e treinamento da equipe), mas também calcular as margens em que informações e sistemas estratégicos podem ser afetados e/ou comprometidos sem que danos sejam causados aos processos de trabalho.
A seguir, esclareça suas dúvidas sobre esses dois indicadores essenciais para um plano eficiente de recuperação de desastres!
Definindo as métricas: o que é RPO e RTO?
O que é RPO?
O RPO (Recovery Point Objective ou Objetivo do Ponto de Recuperação) é a métrica que especifica o tempo máximo que pode se passar entre o último backup realizado com sucesso e o momento em que algum incidente paralisa ou interrompe os serviços.
Em outras palavras, trata-se do índice que calcula a quantidade de dados tolerável que o negócio conseguiria perder se fosse alvo de uma pane, paralisação dos sistemas, ataque hacker ou qualquer outro problema que interrompesse o funcionamento das aplicações.
No caso do RPO, a pergunta que as empresas precisam se fazer é: com quais perdas podemos lidar sem que isso represente um problema insustentável e antes que os processos essenciais de trabalho/dados valiosos sejam afetados?
Sim, claro que nenhuma perda de dados é desejável: qualquer perda implica em prejuízo em algum nível. Entretanto, é possível lidar com os impactos com relativa tranquilidade se a volume de dados perdidos for tolerável, sem colocar as operações mais críticas do negócio em risco.
Nesse sentido, resgatando o conceito de RPO – que calcula o tempo máximo que pode se passar entre o último backup e uma possível paralisação/incidente -, vale dizer que é provável que todos os dados que forem alterados ao longo desse tempo serão perdidos.
Dessa forma, podemos dizer também que o RPO representa a quantidade de informações que não poderão ser recuperadas.
E quanto ao RTO?
Por sua vez, o RTO (Recovery Time Objective ou Objetivo de Tempo de Recuperação) diz respeito ao tempo tolerável de inatividade (downtime), ou seja, o período em que o servidor da empresa pode ficar fora do ar ou indisponível sem maiores problemas.
Nesse contexto, trata-se do índice que mede o tempo máximo que o servidor deve levar para ser retomado/recuperado caso aconteça um desastre. Trocando em miúdos, é o tempo necessário para restaurar os sistemas após um incidente até que as operações estejam novamente disponíveis.
Como calcular RPO e RTO?
Quando o assunto são os planos de continuidade dos negócios e suas métricas (incluindo RPO e RTO), a verdade é que não há uma única solução ou fórmula pronta. Cada organização é diferente uma da outra, a depender da sua área de atuação, necessidades específicas e diferentes requisitos para seus objetivos de recuperação.
Uma prática comum para fazer o cálculo, no entanto, é investir em uma análise de impacto na empresa, determinando quais sistemas são mais importantes e qual é a ordem de importância. Dessa forma, o objetivo é detectar quais são os sistemas vitais para manter o negócio funcionando – e que portanto devem ser uma prioridade na recuperação.
A essa altura, você pode pensar que é óbvio que o objetivo deve ser sempre deixar as métricas o mais perto de zero quanto possível. Na prática, no entanto, não é bem assim que funciona: os gastos para manter RPO e RTO quase “zerados” são extremamente altos. Além disso, muitas vezes são desnecessários.
Nesse contexto, os objetivos de recuperação devem ser coerentes com as exigências e necessidades de cada negócio, implementando uma classificação de criticidade. Eis um modelo de três níveis bastante utilizado:
- Nível 1/ Camada 1: são os sistemas de missão crítica, de maior importância estratégica para o negócio. Pode ser o ERP ou o CRM, por exemplo. Em geral, requerem um RPO e RTO de menos de 15 minutos.
- Nível 2/ Camada 2: são aplicações importantes/críticas para o negócio, como o sistema emissor de nota fiscal eletrônica e ferramentas de business intelligence. Normalmente, o RTO exigido é de 2 horas e o RPO de 4 horas.
- Nível 3/ Camada 3: são aplicações úteis e que otimizam as operações de trabalho, mas que não são críticas para a empresa. É o caso de um sistema de gestão eletrônica de documentos, por exemplo. Valores usuais são de RTO de 4 horas e RPO de 24 horas.
Vale destacar que, de certa maneira, o RPO (Objetivo de Ponto de Recuperação) é mais simples de ser definido e implementado. Isso porque há menos variáveis no uso de dados, além de mais clareza acerca daqueles que são mais críticos.
Por sua vez, o RTO (Objetivo de Tempo de Recuperação) envolve as operações corporativas como um todo, além de poder ser variável de acordo com o dia da semana e a hora do dia. Outro cuidado fundamental é alinhar bem com a equipe de TI: diferentes sistemas podem exigir tempos diferentes de restauração, então é preciso sintonizar as expectativas.
Nesse cenário, é preciso avaliar qual seria o impacto e as consequências a curto prazo se houvesse a paralisação de um determinado banco de dados ou sistema. Os mais críticos e valiosos vão exigir o menor RTO possível, mas outras poderão tranquilamente ter um RTO maior.
Por que essas métricas são tão valiosas para as empresas?
Os índices de RPO e RTO calculam riscos, compreendem cenários e definem margens seguras para o retorno das operações e a continuidade dos sistemas em caso de desastres.
O RTO, por exemplo, atua de maneira preventiva para minimizar ao máximo os prejuízos e tomar providências com mais agilidade. O resultado é uma recuperação de dados mais ampla e com mais qualidade, reduzindo também os gargalos para o negócio.
O RPO entra em cena para trazer “cobertura” de um outro lado, permitindo dispor de um plano B caso as consequências sejam irreversíveis. Com o estabelecimento da métrica, o negócio também consegue reduzir os danos ao mínimo, assegurando que todas as informações relevantes sejam mantidas.
É interessante ressaltar, ainda, que os índices são sinônimo de mais tranquilidade para os profissionais de TI e também mais transparência para o cliente, no caso dos MSPs. Afinal de contas, fornecem dados concretos e confiáveis para embasar e potencializar a eficácia das estratégias de segurança.
E então, gostou de saber mais sobre as métricas RPO e RTO? Esperamos que tenha tirado suas dúvidas! Para reforçar suas ações preventivas em segurança, entenda conceito e saiba como elaborar um plano de contingência de TI!