Voorbereid zijn op het onverwachte is altijd een slimme zet, ongeacht de branche. In dit artikel bespreken we daarom RTO en RPO—termen die absoluut deel uit moeten maken van jouw crisisplan.
Maar wat betekenen deze afkortingen? Wat is hun impact en waarom zijn ze belangrijk, zelfs als je niets met IT hebt? Lees verder, en ontdek zelf waarom elk bedrijf baat heeft bij het inzetten van deze begrippen.
Wat is RTO?
Recovery time objective (RTO) geeft aan hoelang het maximaal mag duren voor een bedrijf, om de belangrijkste systemen weer op de been te krijgen na een storing of andere calamiteit—oftewel, de maximaal acceptabele downtime.
RTO drukt het cijfer uit die ons verteld binnen hoeveel tijd zaken weer draaiende moeten zijn na een incident, om zo min mogelijk zakelijk verlies te lijden.
RTO brengt ook de stappen die de IT-afdeling moet nemen om schade te beperken en/of herstellen in kaart. Hoe belangrijker het systeem, hoe kleiner het RTO moet zijn. Dit betekent dat de downtime zo kort mogelijk moet zijn.
Wat is RPO?
Recovery point objective (RPO) vertelt ons hoeveel data een bedrijf maximaal kan missen zonder dat dit heftige gevolgen heeft voor het bedrijf. Dit cijfer geeft dus aan hoe vaak er back-ups gemaakt moeten worden.
Een lagere RPO betekent dat het bedrijf minder gegevens mag missen, omdat er minder back-ups zijn gemaakt.
Dus, als je wilt dat het bedrijf slechts een klein tijdsbestek aan gegevens verliest, zul je vaker back-ups moeten maken, wat de RPO verhoogd.
Bij een RPO van bijvoorbeeld 1 kan een bedrijf één uur aan gegevens verliezen. Bij een RPO van 11 kan een bedrijf 11 uur aan gegevens verliezen enz.
Wat de RPO moet zijn is natuurlijk compleet afhankelijk van het bedrijf. Zo kan bijvoorbeeld een bakkerij een paar dagen dataverlies prima lijden (en dus een lagere RPO hebben).
Een SaaS bedrijf zoals Shiftbase daarentegen, die duizenden bedrijven op dagelijkse basis meer grip geeft op personeelskosten en urenregistratie, kan dit absoluut niet! En dus heeft het bedrijf een hogere RPO.
Zijn RTO en RPO niet gewoon hetzelfde?
Hoewel de twee termen verwarrend veel op elkaar lijken, zijn ze toch niet hetzelfde.
Verleden vs. toekomst
RTO vertelt ons hoeveel tijd een bedrijf in de toekomst heeft na een onverwachte gebeurtenis, om gegevensverlies op te vangen zonder dat er teveel schade wordt geleden.
RPO gaat juist om het verleden en geeft ons de kans om naar een back-up punt terug te keren voordat het gegevensverlies plaatsvond.
Hiermee kan (het grootste) deel van gegevens worden hersteld en kunnen de normale werkzaamheden van het bedrijf voortgezet worden.
Consistent vs. wisselend
De hersteltijden van RTO zijn afhankelijk van veel verschillende externe factoren zoals wanneer het systeem uitviel, de beschikbare back-ups en andere externe factoren. Hierdoor is het berekenen van een RTO iets moeilijker.
In tegenstelling is RPO juist makkelijk te berekenen en te implementeren. De datum van een back-up, is gewoon de datum van een back-up. En dit verandert niet aan de hand van externe factoren, waardoor het makkelijker in te zetten is.
Kostbaar vs. voordelig
Een RTO dicht bij nul houden, betekend dat een bedrijf zo goed als geen downtime kan hebben na een ongeval. Dit is ontzettend duur, omdat het hier over het herstel van een complete infrastructuur gaat.
Een RPO dicht bij nul houden is juist voordeliger, omdat het betekent dat er veel tijd tussen back-ups zit.
Het nadeel hiervan is natuurlijk dat als er wel iets mis gaat, je veel meer gegevens kwijt zult zijn, omdat er minder vaak back-ups zijn gemaakt.
Downtime minimaliseren
Hoewel RTO en RPO verschillen, dienen ze wel hetzelfde doel—namelijk het waarborgen van bedrijfscontinuïteit.
Met een doordacht plan rondom RTO en RPO kan een bedrijf sneller herstellen na een onverwacht incident.
Strategie
Hetzelfde geldt voor back-ups. Hoe meer back-ups je maakt, hoe duurder. Dit komt doordat er geavanceerde technologie voor nodig is.
Om dit te bereiken zijn methoden zoals continu gegevensbescherming of real-time replicatie nodig. En deze methoden zijn best duur omdat er speciale apparatuur, software, en specialistische kennis voor nodig is.
Het bepalen van de juiste RTO en RPO moet dus strategisch gebeuren.
Een disaster recovery plan
We weten nu dat een plan belangrijk is, maar hoe maak je een plan waarin zowel RTO als RPO verwerkt zijn? Het makkelijkste is om een externe partij in te schakelen die dit voor je doet.
Maar het is natuurlijk ook mogelijk om zelf een plan te maken.
Dit zijn de stappen die bij het opstellen van een 'disaster recovery plan' komen kijken.
1. Risicoanalyse: eerst worden alle potentiële bedreigingen en kwetsbaarheden van het bedrijf in kaart gebracht. Denk hierbij aan gebeurtenissen zoals natuurrampen, cyberaanvallen, menselijke fouten, enz.
2. Prioriteiten stellen: daarna wordt er gekeken naar welke bedrijfssystemen echt kritiek zijn voor de bedrijfsvoering, en welke iets minder.
3. Doelen vaststellen: in deze fase worden naar aanleiding van de hiervoor verzamelde informatie een RPO en RTO waarde bepaald—onthoud; deze data vertegenwoordigt hoeveel tijd er maximaal tussen back-up herstelpunten mag zitten en wat aanvaardbare hersteltijden tijd.
4. Actieplan opstellen: nu kunnen er gedetailleerde procedures en processen worden opgesteld. Deze fungeren als een handleiding waarin staat welke procedures en stappen gevolgd moeten worden in geval van noodsituaties, inclusief het herstel van gegevens en systemen.
5. Communicatie: in een noodsituatie is het belangrijk om precies te weten wie waar verantwoordelijk voor is.
Daarom wordt er in het plan beschreven wie er verantwoordelijk is voor welke acties, en hoe de communicatie tijdens een noodsituatie zal verlopen.
6. Testen en oefenen: als je het plan door een externe partij hebt laten opstellen, geven ze het in deze fase vaak uit handen.
Vanaf dit punt is het als bedrijf belangrijk om regelmatig noodscenario's te oefenen om te verzekeren dat het plan werkt, en iedereen vertrouwd raakt met hun rollen.
7. Up-to-date houden: Het plan moet regelmatig geëvalueerd en bijgewerkt worden om in te spelen op nieuwe risico's en veranderingen in bedrijfsprocessen of infrastructuur.
Het is essentieel om dit plan aan te passen aan de specifieke behoeften van je bedrijf en regelmatig te herzien om ervoor te zorgen dat het up-to-date en effectief blijft.
Waarom dit ook belangrijk is als je geen IT-expert bent
Voor werkgevers die niet thuis zijn in IT-experts zijn, is kennis over RTO en RPO alsnog belangrijk. Dit is vanwege de volgende reden:
-
Zakelijke impact: RTO en RPO beïnvloeden direct de bedrijfsactiviteiten. Het begrijpen van deze concepten, helpt bij het plannen van bedrijfscontinuïteit.
-
Besluitvorming: Ze helpen bij het stellen van realistische doelen en het nemen van beslissingen over benodigde beveiligingsmaatregelen en investeringen.
-
Risicobeheer: RTO en RPO bieden inzicht in mogelijke gevolgen van storingen, waardoor werkgevers proactief kunnen zijn in risicobeheer.
-
Efficiëntie: Door te begrijpen hoe lang systemen down mogen zijn en hoeveel gegevens verloren mogen gaan, kunnen bedrijven hun efficiëntie optimaliseren.
In het kort
- RTO bepaalt de maximale toegestane downtime na een onverwachte gebeurtenis.
- RPO geeft aan hoeveel gegevens een bedrijf kan missen zonder aanzienlijke schade.
- RTO kijkt naar de toekomst, terwijl RPO terugkijkt naar het verleden voor gegevensherstel.
- RTO is afhankelijk van externe factoren, terwijl RPO consistent is en niet wordt beïnvloed door externe factoren.
- Een disaster recovery plan is van cruciaal belang en helpt bedrijven langdurige downtime te voorkomen.
Personeelsplanning en urenregistratie software!