Conceptos básicos de Plan de

Continuidad de Negocio ( RPO, RTO,

WRT, MTD… )
Conceptos básicos del Plan de Continuidad de Negocio/DRP que todos
deberiamos conocer, pero que en muchas ocasiones nos cuesta identificar y
plasmar.

Conceptos básicos del Plan de Continuidad de Negocio/DRP que

todos deberiamos conocer, pero que en muchas ocasiones nos
cuesta identificar y plasmarlos en el plano de tiempo del Plan de
Recuperación por Desastre (DRP).

El Plan de Recuperación por Desastre (DRP) es una parte

importante de la Continuidad del Negocio. El DRP definitivo no
solo proporciona un procedimiento para recuperar datos y
sistemas en caso de desastre, sino que también incluye los
objetivos de continuidad del negocio, enumera las herramientas y
los planes que se han hecho para que la empresa funcione lo
antes posible en caso de emergencia de TI y asegurando un
traspaso eficiente de información.

La concepción de un documento DRP escrito es la oportunidad

perfecta para unir los objetivos de la empresa con las
herramientas, servicios y procedimientos de TI.

Por ello, veremos cómo configurar un DRP en 4 pasos:

1. Establecer objetivos
2. Definir prioridades
3. Especificar la estrategia de respaldo y recuperación ante
desastres
4. Organizar la emergencia.
Establecer objetivos

Y para ello, debemos conocer estos conceptos básicos :

Recovery Point Objective (RPO)

• Define tu objetivo de RPO

Determina la cantidad máxima aceptable de pérdida de datos (en
minutos u horas) que la empresa está lista / se puede permitir.
Debe ser acordado tanto por el propietario / director de la
compañía como por la gerencia de TI.

• ¿Con qué se relaciona RPO?

RPO es el tiempo entre la última copia de seguridad creada y el
momento del desastre. Una vez que se haya definido claramente
el objetivo de RPO de la empresa, nos ayudará a configurar el
trabajo de respaldo adecuado.
Para los sistemas críticos, es recomendable un RPO de 15
minutos para un buen compromiso entre la carga del sistema y el
tiempo de procesamiento.
Recovery Time Objective (RTO)

• Define tu objetivo RTO

En esta etapa, el sistema se recupera y vuelve a estar en línea,
pero aún no está listo para la producción. El objetivo de tiempo de
recuperación (RTO) determina la cantidad máxima de tiempo
tolerable necesario para que todos los sistemas críticos vuelvan a
estar en línea. Esto cubre, por ejemplo, restaurar datos de una
copia de seguridad o corregir un fallo. En la mayoría de los casos,
esta parte la lleva a cabo el administrador del sistema, el
administrador de red, el administrador de almacenamiento, etc.

• ¿Con qué se relaciona RTO?

Seleccione una solución de respaldo y recuperación ante
desastres que pueda recuperar e iniciar su sistema y datos en el
RTO que hemos definido, o verifica que nuestra solución actual
cumple con la necesidad

Working Recovery Time (WRT)

• Define tu objetivo WRT

En esta etapa, se recuperan todos los sistemas, se verifica la
integridad del sistema o de los datos y todos los sistemas críticos
pueden reanudar las operaciones normales. El Tiempo de
recuperación del trabajo (WRT) determina la cantidad máxima de
tiempo tolerable que se necesita para verificar el sistema y / o la
integridad de los datos. Esto podría ser, por ejemplo, verificar las
bases de datos y registros, asegurándose de que las aplicaciones
o servicios se estén ejecutando y estén disponibles. En la
mayoría de los casos, esas tareas las realiza el administrador de
la aplicación, el administrador de la base de datos, etc. Cuando
todos los sistemas afectados por el desastre se verifican y / o
recuperan, el entorno está listo para reanudar la producción
nuevamente.

• ¿Con qué se relaciona WRT?

Una vez que los sistemas se restauran y arrancan, el técnico de
TI aún puede necesitar verificar aplicaciones, bases de datos o
configuraciones de red. Necesita asegurarse de que todo esté
disponible y funcione bien. Si se detecta un problema, este tiempo
de búfer cuenta como tiempo de usuario no productivo.

Maximum Tolerable Downtime (MTD)

• Define tu objetivo MTD

La suma de RTO y WRT se define como el Tiempo de inactividad
máximo tolerable (MTD) que define la cantidad total de tiempo
que un proceso de negocio puede interrumpirse sin causar
consecuencias inaceptables. Este valor debe ser definido por el
equipo de gestión empresarial o alguien como CTO, CIO o
gerente de TI.
 • ¿Con qué se relaciona MTD?
MTD = RTO + WRT.
Es la cantidad de tiempo total que el técnico de TI tiene para que
los usuarios y los sistemas estén completamente operativos
desde el momento del desastre.

No todos los sistemas y ubicaciones tienen las mismas

prioridades en caso de un desastre. Debemos determinar qué es
crítico y qué no, qué puede estar desconectado durante 1 hora ,
por ejemplo y qué no.

Para cada ubicación, debemos enumerar los sistemas y servicios

de TI disponibles y completar una tabla. Esto nos permitirá
destacar sistemas críticos de otros no tan importantes y configurar
estos conceptos vistos ( RPO, RTO, WRT y MTD ) de una forma
correcta.

Especificar la estrategia de respaldo y recuperación ante desastres

Se puede usar una estrategia diferente de respaldo y

recuperación de desastres para cumplir con los requisitos del
paso anterior, así como tambien debemos ajustarnos a los
presupuestos de TI.

Para cada ubicación y cada sistema, debemos enumerar, qué

medidas tomar. Hoy en día, todos los escenarios deben cumplir
con el Artículo 32 del RGPD: ¡las copias de seguridad no son
suficientes!

Las empresas deben tener:

1. Copias de seguridad automáticas y frecuentes

2. Copias de seguridad protegidas con contraseña y
totalmente encriptadas
 3. Una copia del archivo de respaldo en una ubicación
externa
4. Un proceso de verificación y prueba de respaldo
5. Restricciones para limitar el acceso al archivo de respaldo
solo a un número limitado de personas autorizadas
6. Todas las actividades de respaldo monitorizadas
7. La posibilidad y el conocimiento para restaurar archivos de
respaldo rápidamente
Organizar la emergencia

El DRP debe incluir toda la información necesaria para que la

empresa sepa qué se debe hacerse en caso de desastre.

Documentación necesaria

1. Incluir las credenciales del sistema y las contraseñas de

respaldo en el Plan de Recuperación ante Desastres, o al
menos debemos indicar dónde se pueden encontrar
fácilmente. Tener tambien una versión en papel de las
contraseñas / credenciales. Nunca se sabe cuándo ocurre
el desastre, ni si la máquina donde se almacenan las
contraseñas podría fallar.
2. Guarde e imprima el DRP : Asegúrate de guardar una
copia digital en múltiples ubicaciones seguras, así como de
tener varias copias impresas en diferentes ubicaciones. No
olvides informar a varias personas sobre las ubicaciones
del Plan de Recuperación por Desastre.
3. Información de contacto: asegúrate de que tu DRP
contenga: Tanto los datos de contacto internos de todas
las personas involucradas en el proceso de restauración,
como los detalles de contacto externo de todas las
personas involucradas en el proceso de restauración
(proveedor de TI, por ejemplo)