• (11) 4210-8150
  • (21) 2042-8150

Entendendo RPO e RTO da sua solução de Backup

 

A parada de sistemas na rede de uma empresa sempre é um evento delicado e estressante, independente da duração e dos impactos gerados para o negócio.

Empresas de qualquer necessidade dos sistemas de TI para manter a produção, atendimento de clientes, logística, financeiro, processos administrativos e outras operações baseadas em dados.

Tipos diferentes de incidentes podem ocorrer e impactar no funcionamento da rede corporativa, podendo gerar indisponibilidade de sistemas, vazamento de informações e perda de dados de forma irreversível.

Seja um ataque de ransomware, interrupção de energia, queima de disco rígido, falha humana, desastre natural ou outros eventos imprevisíveis, o importante é estar preparado com uma Política de Backup implementada e testada prevendo a recuperação de dados.

Dois parâmetros importantes que definem os sistemas de backup são os Objetivos de Ponto de Recuperação (RPO) e os Objetivos de Tempo de Recuperação (RTO).

O que é RPO em um sistema de backup?

O Objetivo de Ponto de Recuperação (do Inglês RPO: Recovery Point Objective ) esta Relacionado à Quantidade de Dados Que a Empresa toleraria a perder Dentro Fazer Seu Período Mais Relevante de Produção, Por Exemplo, Durante o expediente. Desta forma, o RPO define uma janela de perda aceitável desde o ponto em que um evento crítico ocorra, até o último processo de backup anterior realizado com sucesso.

O RPO acaba medindo uma frequência com que um TI faz o backup. Se foi configurado tarefas de backup a cada 1 hora, a sua janela aceitável de perda de dados sem causar muito prejuízo para a empresa será de 1 hora.

O que é RTO em um sistema de backup?

O Objetivo de Tempo de Recuperação (do Inglês RTO: Recovery Time Objective ) mede o ritmo Máximo em Que hum Sistema OU Uma information PODE Ficar Indisponível APOS Uma falha sem causar Danos significativos para o Negócio, Além de Medir o ritmo Necessário para restaurar OS Dados e a operação normal dos sistemas.

Tanto o RTO quanto o RPO são medidos em unidades de tempo. Para o RTO, a métrica é a quantidade de tempo decorrido entre a falha do aplicativo e a disponibilidade total, incluindo a recuperação dos sistemas.

O RPO também é medido pela unidade de tempo entre a perda de dados e o backup anterior.

Objetivos do RPO e RTO

 

As métricas de RPO e RTO servem a propósitos diferentes, sendo que em um cenário hipotético ideal, os seus valores seriam muito próximos de zero. Porém, quanto mais próximo RPO e o RTO estiverem do 100%, os custos de operação se tornam impraticáveis.

O RTO tem a finalidade de diminuir os custos de indisponibilidade dos sistemas. Segundo a Netscout Systems no seu 14° Relatório Anual (WISR – Worldwide Infrastructure Security Report) [1], em 2019 o custo médio de downtime para empresas no Brasil foi de US$ 306,08, ficando em segundo lugar na pesquisa mundial.

Já o RPO se preocupa com a quantidade de dados perdidos após um incidente. Além do desgaste já causado pelos sistemas indisponíveis, o RPO pode significar aborrecimentos ainda maiores e irreversíveis, como a perda severa de dados para o negócio. Para a definição do RPO é importante realizar uma análise de risco e de impacto em caso de desastres. Para a análise de riscos, veja mais no post: Análise de Risco na Segurança da Informação.

Boas práticas de Backup para diminuir o RPO e RTO

 

Automação: Como o RPO requer que o administrador realize os backups de dados nos intervalos definidos, é importante contar com agentes de backup que operem como serviço no sistema operacional, com agendamento automático e flexível. Além disso, é bem comum operar o backup em horário fora do expediente para não onerar a rede da empresa.

Frequência de backup: Um parâmetro melhor de RPO pode ser estabelecido com maior frequência das rotinas de backup, contando com maior número de Pontos de Recuperação. Um aspecto para ser observado é a criticidade das aplicações e até mesmo requisitos legais. Como exemplo, são os backups de dados de Cartórios e Tabelionatos, conforme Provimento n° 74 do CNJ (Conselho Nacional de Justiça), que requer backup de 30 em 30 minutos.

Definição de tempo: A definição do tempo para o RPO é mais fácil de calcular e com mais garantias do que o RTO. Os RPOs dependem mais da automação e da definição da frequência de backup, enquanto o RTO depende de outras variáveis além do sistema de Backup, como equipe disponível para iniciar o procedimento de restauração, banda para download dos arquivos em nuvem, tempo para validar os dados, etc. Para a redução do cálculo de RTO recomenda-se realizar também o armazenamento de cópias de backup na rede local. Já para a diminuição do RPO, é importante que o agente de backup tenha capacidade de realizar a compactação dos dados na origem, diminuindo a necessidade de banda para upload dos arquivos.

Recuperação granular de dados: Por exemplo, um advogado de um escritório exclui acidentalmente uma mensagem da sua caixa de e-mail no Microsoft Exchange. Como o Exchange é um aplicativo definido como crítico para este escritório, o sistema é eleito pela TI para realizar backup incremental de forma contínua. Para a diminuição dos parâmetros de RTPOs, a ferramenta de backup deve realizar a cópia do delta das modificações, além da seleção das caixas de e-mails prioritárias dos usuários. A restauração neste caso pode ser feita pela mensagem específica, reduzindo em muito o RTO, sem a necessidade de restaurar a base completa do Exchange.

Gerenciamento das tarefas de backup: Monitore continuamente suas tarefas de backup com sistemas de geração de alertas e de logs em caso de falhas. Assim, em caso de incidente, você terá condições de realizar a execução de backup de forma manual e corrigir os erros apresentados.

Replicação das cópias de backup: Ao replicar as cópias de backup em mais de um destino, você contará com uma garantia maior de ter os dados disponíveis quando precisar. Por exemplo, em um cenário híbrido, você poderá configurar armazenamento: nuvem privada + nuvem pública (Amazon, Azure, Google Cloud Platform, Backblaze, etc) + backup local (on premise). Este cenário aumenta a probabilidade de contar sempre com um ponto de recuperação íntegro, garantindo o seu RPO. A replicação aumenta a segurança por contar com redundância das cópias em mídias diferentes e em outras regiões. Veja mais no post Estratégia de Backup 3-2-1.

Integridade dos dados: É importante contar com agentes de backup que realizem a checagem cíclica de integridade dos dados. Garantir que os dados de backup permaneçam inalterados e disponíveis é crucial para uma restauração bem-sucedida, em especial em banco de dados como MS SQLServer, Oracle, MySQL e outros.

Classificação dos dados: A classificação da proteção de dados é importante para determinar como armazenar, acessar, proteger, recuperar e atualizar dados e informações de forma mais eficiente com base em critérios de cada empresa. É essencial analisar suas aplicações e determinar quais delas estão impulsionando seus negócios, gerando lucros e que devem ser priorizadas para permanecer operacionais. Esse processo, que é fundamental para um bom plano de continuidade dos negócios, é chamado de análise de impacto nos negócios (BIA), e estabelece protocolos e ações para enfrentar um desastre.

Por exemplo, você pode usar um modelo de três níveis para projetar seu plano de continuidade dos negócios:

  • Nível 1: Aplicações de missão crítica que exigem RTPOS de 1 hora
  • Nível 2 : Aplicações críticas de negócios que procuram RTOs de 2 horas e RPOs de 8 horas
  • Nível 3:  Aplicações não críticas que buscam RTOs de 4 horas e RPOs de 24 horas

Conclusão

Você deve estar com o seu Plano de Backup preparado e gerenciado na eventualidade de um desastre ocorrer. Em qualquer situação de recuperação de desastre, cada minuto e cada byte recuperado conta muito para o negócio e para uma reputação da sua TI.

Serviços gerenciados de TI como da plataforma ArtBackup permite o monitoramento 24 x 7 das suas tarefas, funções profissionais de backup e suporte de especialistas para MSPs.

Assista também:


 

Referência:

Netscout , 14º Relatório Anual de Segurança de Infraestrutura Mundial, URL https://www.netscout.com/report/