¿Qué son el RTO y el RPO?
Cuando hablamos de recuperación ante desastres y backup empresarial, dos siglas aparecen siempre: RTO (Recovery Time Objective) y RPO (Recovery Point Objective). Son los dos parámetros que definen qué tan rápido puede recuperarse su empresa y cuántos datos puede permitirse perder.
RTO — Recovery Time Objective
El RTO define el tiempo máximo que puede estar caído un sistema antes de que el impacto sea inaceptable para el negocio. Dicho de otra forma: ¿cuánto tiempo puede sobrevivir su empresa sin acceso a su servidor principal, su ERP o su correo?
Ejemplo: Si su empresa puede tolerar estar sin el sistema de facturación por máximo 4 horas antes de perder ventas críticas, su RTO es de 4 horas. Su plan de recuperación debe garantizar que ese sistema se restaure en menos de 4 horas.
RPO — Recovery Point Objective
El RPO define cuántos datos puede perder en el peor caso. Si ocurre un desastre ahora, ¿hasta qué punto en el tiempo puede restaurar? Si su backup más reciente tiene 24 horas de antigüedad, su RPO de facto es de 24 horas — puede perder hasta un día de datos.
Ejemplo: Una empresa de comercio electrónico que procesa cientos de pedidos por hora tiene un RPO de 15 minutos, porque perder más de 15 minutos de transacciones sería inaceptable. Un archivo de documentos históricos puede tener un RPO de 24 horas.
Cómo Calcular el RTO y RPO de su Empresa
No existe un RTO o RPO universalmente correcto. Depende de cada organización, cada sistema y cada tipo de dato. El proceso para calcularlos es:
Paso 1: Inventario de sistemas críticos
Liste todos los sistemas que utiliza su empresa: ERP, CRM, correo, servidor de archivos, base de datos de clientes, sistema de facturación, etc. Priorice por criticidad operacional.
Paso 2: Análisis de impacto (BIA)
Para cada sistema crítico, responda: ¿qué pasa si este sistema no está disponible por 1 hora? ¿8 horas? ¿24 horas? Cuantifique el impacto en pesos o en indicadores operacionales. Eso define su RTO máximo tolerable.
Paso 3: Valoración de datos
Para cada sistema, determine cuántos datos se generan por hora. ¿Cuánto costaría recrear manualmente los datos de las últimas 4 horas? ¿Las últimas 24 horas? Eso define su RPO máximo tolerable.
| Sistema | RTO máximo | RPO máximo | Estrategia recomendada |
|---|---|---|---|
| Base de datos transaccional | < 1 hora | < 15 min | Backup continuo (CDP) + DRaaS |
| Servidor de correo (Exchange) | < 2 horas | < 1 hora | Backup cada hora + réplica |
| ERP / Sistema de gestión | < 4 horas | < 4 horas | Backup cada 4 horas |
| Servidor de archivos | < 8 horas | < 24 horas | Backup diario + incremental |
| Servidor web / e-commerce | < 30 min | < 1 hora | Réplica activa + backup horario |
| Archivos históricos | < 48 horas | < 24 horas | Backup diario en nube |
RTO y RPO Teórico vs. Real: el Error más Común
Muchas empresas tienen un RTO teórico de 4 horas en su documentación, pero cuando ocurre un incidente real, la recuperación toma 48 horas o más. La diferencia entre lo teórico y lo real tiene causas específicas:
- El backup nunca se probó: Nadie verificó si el backup es realmente restaurable hasta el momento del desastre.
- El proceso no estaba documentado: En una emergencia, el equipo de TI improvisa porque no existe un runbook claro.
- Las dependencias no estaban mapeadas: Para levantar el ERP, primero hay que levantar la base de datos y el servidor de directorio activo.
- El backup era local y quedó cifrado: El ransomware cifró tanto los datos originales como los backups conectados a la red.
La única forma de conocer su RTO real es probarlo. Realice al menos un simulacro de recuperación completa al año. Defina quién hace qué, en qué orden y en cuánto tiempo. Documente el resultado y mejore el proceso.
Conclusión
El RTO y el RPO no son conceptos teóricos — son los parámetros que determinan si su empresa sobrevive a un incidente de datos o no. Definirlos correctamente para cada sistema crítico y garantizar que su estrategia de backup los cumpla realmente es una de las inversiones más importantes que puede hacer.
Si no conoce el RTO real de su infraestructura, el momento de descubrirlo no es durante un ataque de ransomware. DaiBackup ofrece recuperación ante desastres como servicio con RTO garantizado por contrato.