RPO: ¿Cuánta información se puede tolerar perder? #BusinessContinuity #DisasterRecovery
Hace unos meses, Dejan Kosutic enfatizó en la importancia de determinar la frecuencia de las copias de respaldo (backups) en el artículo "Backup policy – How to determine backup frequency" que escribió para su blog. En resumen, el análisis que se requiere para determinar esta frecuencia debe basarse en el valor que los datos en cuestión aportan al negocio.
Para responder a la pregunta "¿Cuánta información se puede tolerar perder?", se debe determinar la variable denominada Máxima Pérdida de Datos o RPO (Recovery Point Objetive), definida por la ISO 22301 como “the point to which information used by an activity must be restored to enable the activity to operate on resumption”.
El mejor momento para hacerlo es durante el Análisis de Impacto al Negocio o BIA (Business Impact Analysis). Se deberá pedir a los usuarios que listen todas sus bases de datos, aplicaciones y archivos, así como sus servicios (como el correo electrónico), etc., y para cada uno (separadamente), que establezcan un límite aceptable máximo de pérdida de información, en términos de horas (aunque también podría ser en número de transacciones o registros). El criterio será el posible daño que la pérdida de información puede ocasionar a la compañía —financiero, legal, reputacional, etc.—.
OJO que la verdadera pregunta deberá ser: "Si las copias de respaldo (los backups) fallan, entonces ¿cuánta información se puede tolerar perder?", ya que estamos analizando el riesgo inherente.
Si el análisis arroja que el RPO para un conjunto de datos es 24 horas, entonces se tendrá que realizar la copia de respaldo (backup) de dichos datos, al menos, una vez al día. Si el RPO es 2 horas, el respaldo tendrá que ser realizado al menos cada 2 horas. Si el RPO es cero (0), entonces se necesitará un sitio "espejo", en donde se repliquen los datos en tiempo real.
Fuente:
Kosutic, D. (2013, mayo). Backup policy – How to determine backup frequency. ISO 27001 & ISO 22301. Recuperado de http://blog.iso27001standard.com/2013/05/07/backup-policy-how-to-determine-backup-frequency/
Para responder a la pregunta "¿Cuánta información se puede tolerar perder?", se debe determinar la variable denominada Máxima Pérdida de Datos o RPO (Recovery Point Objetive), definida por la ISO 22301 como “the point to which information used by an activity must be restored to enable the activity to operate on resumption”.
El mejor momento para hacerlo es durante el Análisis de Impacto al Negocio o BIA (Business Impact Analysis). Se deberá pedir a los usuarios que listen todas sus bases de datos, aplicaciones y archivos, así como sus servicios (como el correo electrónico), etc., y para cada uno (separadamente), que establezcan un límite aceptable máximo de pérdida de información, en términos de horas (aunque también podría ser en número de transacciones o registros). El criterio será el posible daño que la pérdida de información puede ocasionar a la compañía —financiero, legal, reputacional, etc.—.
OJO que la verdadera pregunta deberá ser: "Si las copias de respaldo (los backups) fallan, entonces ¿cuánta información se puede tolerar perder?", ya que estamos analizando el riesgo inherente.
Si el análisis arroja que el RPO para un conjunto de datos es 24 horas, entonces se tendrá que realizar la copia de respaldo (backup) de dichos datos, al menos, una vez al día. Si el RPO es 2 horas, el respaldo tendrá que ser realizado al menos cada 2 horas. Si el RPO es cero (0), entonces se necesitará un sitio "espejo", en donde se repliquen los datos en tiempo real.
Fuente:
Kosutic, D. (2013, mayo). Backup policy – How to determine backup frequency. ISO 27001 & ISO 22301. Recuperado de http://blog.iso27001standard.com/2013/05/07/backup-policy-how-to-determine-backup-frequency/
Comentarios
Publicar un comentario