RTO RPO: perché è importante ridurre la finestra temporale

RTO e RPO rappresentano rispettivamente il tempo di recupero e il tempo di ripristino e sono parametri essenziali per ogni tipo di azienda, organizzazione, società che deve strutturare un piano per la cyber security. Per questo motivo è fondamentale dotarsi di un piano di ripristino adeguato, al fine di ridurre la finestra temporale che intercorre dal momento del danno all’avvenuto ripristino finale, in modo da fronteggiare gli imprevisti.

Cosa sono RTO e RPO

RTO e RPO sono due facce della stessa medaglia ma sono metriche differenti. In sostanza è possibile identificare questi due elementi come funzionali al proprio business per determinare il tempo massimo “tollerabile” per il recupero dei dati e quindi la frequenza con cui è necessario eseguire backup e salvataggio dati e quale dovrebbe essere il processo per il recupero degli stessi in caso di problemi. Sono la base su cui viene poi sviluppato il piano di ripristino.

RTO sta per Recovery Time Objective e determina la velocità con cui è necessario ripristinare l’infrastruttura e l’IT per scongiurare un problema e mantenere la continuità aziendale. Si misura sostanzialmente come il tempo che passa dall’attimo in cui si verifica un problema al momento esatto in cui le operazioni tornano alla normalità.

RPO sta per Recovery Point Objective ed è la quantità massima tollerabile di dati che possono essere persi. In pratica misura il tempo tra l’ultimo backup utile e l’attimo in cui avviene un problema e permette di configurare il lasso di tempo che può trascorrere tra questi due prima che l’azienda subisca perdite irreparabili.

I parametri sono diversi ma l’obiettivo comune è ridurre la finestra temporale quindi preservare i dati e rispondere nel minor tempo possibile all’emergenza.

Policy di backup

Per creare un piano di Disaster Recovery è utile valutare i parametri e lavorare per modificarli. Molte aziende hanno delle tempistiche che si aggirano su un RTO di 24 ore e un RPO anche superiore alle 24 ore.

Valutiamo l’esempio pratico di un’azienda che ha un RTO di 4 ore, questo vuol dire che tornerà funzionale solo dopo 4 ore di inattività, se la medesima azienda ha un RPO di 2 ore vuol dire che c’è un buco temporale di backup che può causare la perdita di tutti i dati in quelle due ore.

L’obiettivo è abbassare i tempi di recupero, ovviamente questo implica un investimento ma per comprendere quanto sia rilevante la spesa ti basti pensare alla perdita che si configura ogni volta che il sistema smette di funzionare. Il livello massimo è quando un’azienda vanta un’automazione tale con backup agli intervalli corretti e il ripristino in tempi brevi.

La realtà è che non esiste un sistema unico per dare continuità al lavoro aziendale, per questo è utile rivolgersi ad imprese qualificate e specializzate nel ripristino e nella conservazione dei dati. Ognuno ha le proprie esigenze e degli obiettivi di recupero diversi. Soprattutto ognuno ha un tipo di lavoro che è strutturato in modo tale da richiedere degli interventi individuali. Per tale motivo è bene ricordare che le aziende, tutte, oggi si impegnano, come previsto dalla legge, a proteggere i dati dei propri utenti. Questo vuol dire che devono avere un quadro chiaro di chi accede e protegge tali dati e anche in che modo recuperarli. Per tale motivo è giusto lavorare ad un piano di continuità aziendale ovvero il Business Impact Analysis che determina i giusti protocolli e attribuisce talvolta dei livelli diversi di RTO in base alla criticità.

Per classificare questi parametri bisogna lavorare su ogni unità presente nell’azienda, valutare attentamente e concretamente ogni possibile perdita che comporterebbe un disastro improvviso (dal punto di vista dei dati, dell’assetto finanziario e di tutto ciò che è immateriale). Mappare tutte le funzioni aziendali per ruolo e quindi pianificare l’emergenza con tutti i processi.

Diciamo che in uno studio ci sono 3 dipendenti, ognuno dei quali riesce a svolgere 5 dichiarazioni dei redditi all’ora. In una media di 4 ore sono quindi state eseguite da ogni dipendente 20 dichiarazioni dei redditi, per un totale di 60 dichiarazioni. Se improvvisamente un server si interrompesse, e la soglia di backup di questo studio fosse di 6 ore, tutto quanto fatto nelle 4 ore lavorative andrebbe perso.

Questo permette di comprendere come ogni tipologia di business necessiti di un recovery plan basato sulla cy security, dalla piccola impresa alla grande azienda. Anche se ogni business avrà le sue peculiarità: la realtà di una piccola impresa di vendite online non sarà paragonabile a quella di una grande banca. Tuttavia la perdita di dati sensibili si tramuta per entrambe in un problema di ordine economico e legale.

Case History

Non bisogna considerare solo l’aspetto economico fine a se stesso ma soprattutto quello legato alla cyber security che per definizione è l’insieme delle tecnologie che vengono messe in campo per garantire la sicurezza dei sistemi informatici. Un’azienda deve quindi lavorare sull’asset informatico e sul comparto IT tanto quanto investire in sistemi che possano prevedere la vulnerabilità e il rischio legato ad attacchi da possibili cyber criminali, danni improvvisi, compromissioni dei sistemi. Non bisogna quindi finalizzare l’attenzione unicamente alla tecnologia in sé ma è necessario lavorare e imparare a guardare oltre, riducendo il rischio legato all’eventuale compromissione del funzionamento fisico di un sistema e delle sue performance. Potrebbe quindi essere utile valutare di offrire ai dipendenti un corso sulla cyber security o rivolgersi ad un’azienda specializzata per l’archiviazione e la sicurezza dei propri dati.

Quando un business è in crescita o lavora con dati sensibili è necessario strutturare un piano di ripristino in caso di emergenza aziendale. Proteggere i dati e poterli recuperare in caso di problemi è fondamentale per ogni azienda. Non si parla infatti solo di attacchi informatici, di malware o problemi tecnici ma anche incendi, calamità e imprevisti che possono compromettere il lavoro e le tecnologie aziendali. Questo vuol dire essere in grado di garantire la continuità del proprio lavoro e il recupero tempestivo dei dati. Qualunque sia l’evento che lo determina, in caso di black out del sistema informatico la migliore strategia per evitare dannose perdite è rivolgersi a professionisti del settore come Data Storage Security, specializzati nell’archiviazione, protezione e ripristino dei dati aziendali.