RTO e RPO: le differenze tra Recovery Time Objective e Recovery Point Objective
Come calcolare i tempi di ripristino
Il primo passo per definire un efficace piano di Backup e Disaster Recovery è quello di calcolare i tempi di ripristino dei dati aziendali in caso di evento avverso. Il tempo di ripristino è il tempo che intercorre dalla perdita dei dati aziendali al loro completo ripristino, insieme alla normale operatività aziendale.
L’importanza dei tempi di ripristino viene sottolineata dalla Circolare 285 di Banca d’Italia, che definisce il “tempo di ripristino di un processo” come il “periodo che intercorre fra il momento in cui l’operatore dichiara lo stato crisi e l’istante in cui il processo è ripristinato a un livello di servizio predefinito. Esso è costituito dai tempi di analisi degli eventi e decisione delle azioni da intraprendere, prima di effettuare gli interventi”.
Tra i parametri da tenere in considerazione per calcolare i tempi di ripristino dei dati aziendali, assumono particolare importanza i concetti di RPO, Recovery Point Objective, e RTO, Recovery Time Objective.
Che cos’è il Recovery Time Objective (RTO)
Il Recovery Time Objective, anche chiamato con l’acronimo RTO, indica il tempo necessario per ottenere il recupero della piena operatività in caso di eventi avversi. L’RTO misura quindi il tempo massimo tollerato di interruzione dell’operatività del sistema aziendale. Alla base del concetto di Recovery Time Objective c’è il principio secondo cui ogni secondo di operatività bloccata può causare una ulteriore perdita economica all’azienda. Poter effettuare una stima in anticipo permette di calcolare il tempo massimo che l’azienda può trascorrere offline riducendo al minimo le perdite. Il calcolo dell’RTO evita quindi che, in caso di bisogno il team di cyber security non sappia come muoversi e rimanga nell’incertezza. Se il valore del Recovery Time Objective è vicino allo zero si può prevedere una soluzione di Business Continuity, in cui l’operatività aziendale non subisce alcuna interruzione in caso di eventi avversi.
Che cos’è il Recovery Point Objective (RPO)
Un secondo parametro utile nella definizione di un Disaster Recovery Plan è il Recovery Point Objective, anche chiamato RPO. Il Recovery Point Objective si riferisce alla tolleranza ai guasti di un sistema informatico. In particolare, indica il tempo massimo che può intercorrere tra la produzione di un dato e la sua messa in sicurezza attraverso il backup. Ciò permette di definire ogni quanto è necessario effettuare backup e ogni quanto deve avvenire il salvataggio dei dati. Il valore dipende dall’attività che l’azienda svolge e dalla frequenza con cui vengono creati nuovi dati. Per attività e imprese che producono ogni minuto decine di dati e informazioni nuovi, sarà necessario prevedere un backup dei dati istantaneo e continuo, così da permettere una messa in sicurezza efficace di tutte le informazioni.
Disaster Recovery e RTO/RPO
RTO e RPO sono parametri considerati essenziali per poter pianificare il Disaster Recovery Plan aziendale. Il Recovery Time Objective e il Recovery Point Objective non hanno valori standard: ogni azienda necessita di una valutazione su misura. In base ai valori attribuiti ai due parametri, è possibile stabilire priorità e costi per definire le politiche di Disaster Recovery più adeguate.
L'importanza dei parametri non è casuale: l’RTO, infatti, rappresenta il tempo massimo previsto per il ripristino di un sistema aziendale così da renderlo di nuovo utilizzabile dal cliente finale, mentre l'RPO fa riferimento a quando può risalire l'ultima copia dei dati effettuata e quanti dati l’azienda può perdere. In questo modo, è possibile definire un Disastro Recovery Plan che tiene in considerazione l'impatto degli attacchi da parte di cyber criminali non solo dal punto di vista puramente informatico, ma anche dal punto di vista economico, legale e di reputazione. Più il tempo di down del processo è lungo, più l'impatto cresce: per questo una stima precisa e personalizzata dei valori di RTO e RPO è alla base di ogni buona procedura di sicurezza informatica aziendale realmente efficace.