O significado de RPO e RTO na segurança dos dados (Parte 2)

O significado de RPO e RTO na segurança dos dados (Parte 2)

Publicamos uma série de dois posts com o intuito de discutir como os conceitos Recovery Point Objective (RPO) e Recovery Time Objective (RTO) influenciam as estratégias de backup e recuperação de desastres em uma empresa. No primeiro artigo discutimos os conceitos e nesse segundo a aplicação, o primeiro artigo pode ser acessado aqui.

RPO + Compliance

O valor da RPO só pode ser mensurado pela própria empresa, pois é tudo sobre perda financeira potencial. Um gerente de TI precisa ajudar os empresários a escolher um equilíbrio entre “quanto tempo de perda de dados podemos pagar” e “quanto dinheiro devemos gastar em um projeto de backup”. Uma vez com uma infra-estrutura de backup instaurada, precisa-se avaliar as capacidades de cobertura de novas necessidades de negócios e se for o caso ou substituí-la por outra solução, caso a anterior não possa escalar mais. Na verdade, quanto mais barata for a solução, mais caro será para se recuperar em caso de emergência. Uma recuperação mais rápida, na maioria dos casos, requer a implementação de soluções mais complexas e caras.

As soluções agrupadas com um banco de dados compartilhado, por exemplo, são construídas para recuperar quase instantaneamente. Mas se o armazenamento compartilhado for corrompido, será necessário recuperar os dados de um algum backup. Pode-se também utilizar replicação de armazenamento para dados de cluster compartilhados, mas a RPO definitivamente dependerá do atraso do mecanismo de replicação. A regra principal aqui é a implementação de um Plano B, para que você possa atender aos valores acordados de RPO, em qualquer caso.

Quando as novas soluções de backup e recuperação de desastres forem implantadas, é importante fazer testes regulares que garantam sua conformidade com a RPO/RTO acordada. Lembre-se de que uma RPO cuidadosamente escolhida é para evitar perda monetária, então é preciso garantir que o sistema possa atingir o objetivo em caso de crescimento de dados nas mudanças de infraestrutura.

RTO do jeito certo

Os custos de tempo de inatividade dependem de efeitos a longo prazo, como danos à reputação ou violação do plano de produção de uma instalação, e conseqüências imediatas, como a falha na execução de planos de vendas diários ou a incapacidade de reabastecer os armazéns de imediato. Embora o objetivo do tempo de recuperação seja crucial para os negócios, esse objetivo é muitas vezes subavaliado ou seu valor definido de maneira aproximada.

Nas organizações convencionais, o valor de RTO está relacionado ao seu acordo de nível de serviço, nomeado pela diretoria e adotado pela equipe de TI. É importante entender que um menor objetivo de tempo de recuperação exige que as organizações usem software e hardware especiais para atender aos objetivos acordados.

Não basta configurar um armazenamento de backup mais rápido, elaborar uma RTO é uma tarefa complexa que envolve a criação de um plano de continuidade de negócios com as seguintes atividades:

  1. Criar um sistema de monitoramento adequado com notificações em tempo real sobre quaisquer falhas no serviço. Muitos departamentos de TI perdem muito tempo simplesmente sem saber o que aconteceu.
  2. Planejar e implementar a configuração efetiva do serviço/aplicativo, para poder restaurar todos os dados no pior dos casos e cumprir rigorosamente o quadro de RTO. Essa configuração pode incluir soluções de hardware e software específicas.
  3. Criar o procedimento de restauração para que todos saibam o que fazer em caso de inatividade. Mesmo as melhores soluções arquitetadas podem falhar devido a erro humano.
  4. Testar o plano geral de recuperação com hardware real, usando uma quantidade de dados equivalente à carga de produção. Este teste deve ser um processo regular, pois os volumes de backup tendem a crescer exponencialmente exigindo atualização em qualquer parte da solução.

O teste permite dimensionar efetivamente o sistema para poder determinar se a RTO será atendida. Ao atingir essa informação, é fácil justificar a necessidade de novos investimentos junto à diretoria.

RTO, RPO e o planejamento da segurança de dados

Para construir um plano de recuperação de desastres que garanta a sobrevivência do negócio e que também seja rentável, deve-se considerar RTO e RPO. É preciso garantir que os objetivos de RTO e RPO possam ser alcançados para se recuperar efetivamente de um desastre.

Ao mesmo tempo, para economizar dinheiro, é preciso evitar o investimento excessivo na garantia de RTO e RPO. Por exemplo, se a RTO do negócio for de 4 horas e a infra-estrutura de TI for capaz de um tempo de restauração de 2 horas, seria uma despesa desnecessária fazer um grande investimento em hardware/software para reduzir o tempo mínimo de restauração para 1 hora, pois não há necessidade comercial disso.

Conclusão

As estratégias de backup e recuperação de desastres meticulosamente planejadas são necessárias para qualquer negócio sólido. Quanto mais tempo dispender no planejamento, menos dinheiro a empresa perderá em caso de desastre. RPO e RTO devem ser discutidas com os gerentes de negócios, pois tem uma influência direta sobre os riscos de receita e reputação. Depois de planejado e implantado cuidadosamente soluções adequadas de proteção de dados, é importante assegurar-se que atenda aos valores acordados, realizando testes com condições próximas da realidade.

A HF utiliza soluções de backup e recuperação de desastre sob medida para os negócio de hoje em dia, utlizamos sistemas em nuvem como backend de armazenamento e gerenciamos todo o processo, entre em contato conosco e conheça um pouco mais sobre a nossa solução.

Referências

  1. Kosutic, Dejan. RTO vs RPO – What is the difference? – Advisera. Acessado em 27/11/2017.
  2. Moreira, Esdras. O que é RPO e RTO e os impactos no negócio? – Introduce. Acessado em 27/11/2017.