Według badań firmy ITIC w 2024 roku 90% średnich i dużych firm określiło przeciętny koszt jednej godziny przestoju na ponad 300 000 USD. Niestety nie da się przewidzieć katastrof, awarii i incydentów powodujących przerwy w funkcjonowaniu organizacji. Nie oznacza to jednak, że przedsiębiorcy są bezradni – firmy dysponują takimi narzędziami jak plan ciągłości działania i plan odzyskiwania po awarii, które pozwalają ograniczyć wpływ nieprzewidzianych zdarzeń na ich funkcjonowanie.

 

Istotnymi elementami tych dokumentów są dwie metryki: RTO i RPO. Określa się je dla najważniejszych procesów i systemów w firmie. Na ich podstawie decyduje się np. o częstotliwości wykonywania kopii zapasowych oraz o procedurach związanych z odzyskiwaniem.

 

RTO – Recovery Time Objective

 

RTO (Recovery Time Objective) to maksymalny akceptowalny czas potrzebny organizacji na przywrócenie funkcjonowania procesów operacyjnych po wystąpieniu zakłócenia. Wyznacza cenzurę czasową, po przekroczeniu której firma zacznie mieć poważne problemy z funkcjonowaniem i poniesie znaczące straty.

 

Długość RTO zależy od wagi procesów operacyjnych dla działania organizacji, skutków finansowych przestoju, regulacji prawnych czy oczekiwania klientów i kontrahentów. Na przykład dla bankowego systemu transakcyjnego RTO musi być znacznie krótsze niż dla procesów w agencji marketingowej czy biurze projektowym, ponieważ finansowe i wizerunkowe konsekwencje każdej minuty przestoju są znacznie poważniejsze.

 

RPO – Recovery Point Objective

 

RPO (Recovery Point Objective) to akceptowalna ilość danych, na których utratę firma może sobie pozwolić w razie kryzysu. Oznacza to w rzeczywistości, że utrata większej ilości danych będzie miała poważne skutki dla funkcjonowania organizacji. Na tej podstawie określa się ilość danych i od którego momentu (wiek danych) należy je odzyskać, ażeby firma mogła powrócić do normalnego funkcjonowania.

 

W przypadku krytycznych danych RPO powinno być jak najkrótsze, tym samym wymuszając częstsze wykonywanie kopii zapasowych. Systemy i procesy z niższym RPO powinny być odzyskiwane priorytetowo.

 

Im niższe RPO, tym większa odporność organizacji na sytuacje kryzysowe, ale też wyższe koszty związane z zarządzaniem kopiami zapasowymi.

   

Chociaż RTO i RPO znajdują zastosowanie w tych samych dokumentach i odnoszą się do podobnych kwestii, występuje między nimi kilka zasadniczych różnic. Przede wszystkim RPO wiąże się z utratą i odzyskiwaniem danych, natomiast RTO dotyczy docelowego czasu przywrócenia sprawności – jest więc szerszym pojęciem.

   

RTO dotyczy kroków podejmowanych przez całą organizację w celu przywrócenia procesów po zakłóceniu, natomiast RPO określa, jak daleko trzeba się cofnąć podczas przywracania kopii zapasowych, żeby nie odczuć poważnych skutków przestoju.

 

Ze względu na wysoką spójność wykorzystywania danych i mniejszą liczbę zmiennych, RPO jest prostszy w obliczeniu i wdrożeniu. Na RTO wpływa wiele czynników, które mogą się zmieniać zależnie od okoliczności, np. obciążenia sieci o konkretnych porach dnia.

 

Różnice występują także na polu równoważenia kosztów – utrzymanie RTO bliskiego zera zwykle wiąże się ze znacznie wyższymi wydatkami niż w przypadku RPO, gdyż wymaga utrzymania infrastruktury w ciągłej gotowości do zareagowania na kryzys.

 

W porównaniu RTO vs RPO nie da się wskazać, która metryka jest ważniejsza – plan przywracania po awarii powinien uwzględniać obydwie.

   

Ustalenie odpowiednich wartości RTO i RPO wymaga szczegółowej analizy potrzeb biznesowych firmy, poziomu ryzyka oraz procesów i systemów kluczowych dla funkcjonowania organizacji – taka analiza powinna być punktem wyjścia przy określaniu tych metryk.

 

Przy ustalaniu RTO istotne jest określenie, które procesy wymagają natychmiastowego przywrócenia, a które mogą tolerować dłuższe przestoje bez znacznego wpływu na rentowność czy płynność operacyjną. Następnie trzeba ustalić maksymalny czas przestoju, po przekroczeniu którego firma będzie ponosiła znaczne straty.

 

Określając RTO dla każdego procesu, należy uwzględnić:

 

• po jakim czasie pojawią się znaczne straty finansowe,


• kiedy firma narazi się na utratę reputacji,


• kiedy przestój zacznie wpływać na pozostałe procesy operacyjne,


• po jak długim przestoju pojawią się ewentualne konsekwencje prawne.

 

Następnie trzeba określić, jaką ilość danych firma może utracić w przypadku każdego procesu lub systemu bez ponoszenia poważnych konsekwencji.

 

Ustalając RPO, trzeba wziąć pod uwagę:

 

• znaczenie danych dla funkcjonowania organizacji,


• poziom tolerancji firmy na utratę danych,


• dostępność zasobów technologicznych.

 

Pozwala to określić optymalną częstotliwość wykonywania kopii zapasowych i przydzielić zasoby potrzebne do ich przywracania.

 

W obu przypadkach trzeba też uwzględnić wymagania regulacyjne. Niektóre organizacje muszą spełniać bardziej restrykcyjne normy dotyczące archiwizowania danych bądź przywracania po przestoju.

 

Organizacja powinna regularnie sprawdzać ustalone wartości. Testowanie procedur uwzględnionych w planie zachowania ciągłości i planie odzyskiwania po katastrofie pozwala wykryć słabe punkty, ocenić realistyczność przyjętych parametrów i zoptymalizować przyjęte założenia.

 

RTO i RPO powinny zostać określone realistycznie – z uwzględnieniem dostępnego budżetu i możliwości przedsiębiorstwa. W przeciwnym razie firma może narazić się na dalsze straty.

   

Według raportu „Global Data Protection Index 2024” przygotowanego przez Dell Technologies, 38% firm musiało mierzyć się z nieplanowanym przestojem w ciągu ostatnich 12 miesięcy. Ich najczęstszą przyczyną były incydenty cyberbezpieczeństwa, które odpowiadały średnio za 40% przestojów, wyprzedzając błędy oprogramowania czy awarie sprzętu. Posiadając plan przywracania po „katastrofie”, firma może zminimalizować straty wynikające z przestoju lub całkowicie ich uniknąć.

 

Wybierając usługi z zakresu Data Center i usług chmurowych od Netii, przedsiębiorstwa mogą ułatwić sobie tworzenie i realizację skutecznego Disaster Recovery Plan. Rozwiązania zwiększają bowiem dostępność systemów, zapewniają wysoki poziom bezpieczeństwa danych i ułatwiają przywracanie sprawności po ewentualnych awariach.

 

Netia Compute to usługa chmurowa opracowana na technologii VMware, która umożliwia elastyczne zarządzanie zasobami informatycznymi. Daje możliwość szybkiego odtworzenia środowisk IT w chmurze, minimalizując czas przestoju. Możliwe jest także stworzenie kopii zapasowych dostosowanych do potrzeb organizacji.

 

Przydatna jest również kolokacja serwerów, dzięki której w trakcie awarii krytycznie ważne zasoby IT są chronione przed lokalnymi zagrożeniami, takimi jak przerwy w dostawie energii elektrycznej czy katastrofy naturalne.

 

RTO i RPO to fundamentalne elementy planu przywracania po awarii, które pozwalają firmom minimalizować straty i zapewnić ciągłość działania. Realistyczne określenie tych wartości, dostosowanie ich do potrzeb biznesowych oraz regularne testowanie procedur to istota skutecznego zarządzania ryzykiem.