Recovery time objective: cos'è e differenze RTO/RPO

Data di pubblicazione: 26 Aprile 2023Autore: Manuele Bassanini

Garantire la continuità di sistemi e servizi è indispensabile nell’era moderna. Ogni azienda necessita di un adeguato disaster recovery plan per poter far fronte a eventuali scenari di emergenza. In caso di “disastro”, infatti, è fondamentale applicare processi utili ad assicurare continuità alle attività svolte dall’impresa, affinché essa possa ripristinare i servizi riducendo le tempistiche di malfunzionamento.

Il disaster recovery rappresenta, nell’ambito della sicurezza informatica, un tassello fondamentale per le imprese di tutto il mondo. All’interno di questo piano assumono grande rilievo due parametri: il recovery point objective (RPO) e il recovery time objective (RTO).

Recovery time objective e recovery point objective sono due parametri strettamente legati alle attività di ripristino della continuità delle operazioni. Trattasi di parametri intimamente connessi alla tipologia di infrastruttura di data backup: la loro definizione, pertanto, varia a seconda di alcune condizioni. RTO e RPO devono essere impostati in modo simmetrico e sinergico: uno non esclude l’altro, anzi.

Perché RPO e RTO sono indispensabili per garantire la continuità operativa di un’azienda? Scopriamo tutto quello che c’è da sapere al riguardo.

Indice dei contenuti

Che cos’è un recovery time objective (RTO)

Il recovery time objective (RTO) è un parametro utile a determinare il tempo massimo che deve trascorrere tra un avvenimento negativo e il ripristino delle operatività. Tale parametro temporale viene stabilito in precedenza, con l’obiettivo di ridurre completamente o minimizzare le conseguenze provocate dall’interruzione dell’operatività di infrastrutture, processi e sistemi.

Ogni azienda stabilisce in autonomia il recovery time objective. Questo parametro viene definito in fase di business impact analysis, ovvero a seguito della valutazione delle possibili conseguenze di un evento dannoso.

Il totale del recovery time objective dipende da alcuni fattori:

il tempo utile alla rilevazione e risoluzione del problema;
il recovery;
la fase di analisi successiva al recovery;
la diffusione delle informazioni agli utenti.

Il recovery time objective rispecchia la durata massima tollerata (o prevista) di un possibile downtime. Il fattore RTO deve essere verificato dall’impresa, in quanto è fondamentale conoscere le effettive tempistiche utili per il ripristino dei servizi o delle attività che hanno subito un danno.

Che cos’è un recovery point objective (RPO)

Il recovery point objective (RPO) è un parametro utile a determinare la tolleranza di un sistema informatico a possibili guasti o eventi dannosi. Il RPO rappresenta il punto in cui è stato eseguito l’ultimo backup, prima dell’evento dannoso o della perdita dei dati. Le imprese, così come gli enti e le organizzazioni di ogni tipo, impostano backup periodici sulla base delle attività eseguite e dei servizi offerti.

Un disaster recovery plan deve prevedere il recovery point objective in quanto esso determina la tolleranza massima ai possibili guasti di sistema. Questo criterio, infatti, rappresenta il tempo massimo che deve trascorrere tra la realizzazione di un dato e la sua messa in sicurezza (mediante backup). Grazie al recovery point objective è possibile sapere quanti dati il sistema potrebbe perdere, in seguito a un guasto o a un malfunzionamento improvviso.

Quando il recovery point objective diminuisce, occorre intervenire applicando politiche di sicurezza informatica più impattanti, come ad esempio il salvataggio di dati su supporti ridondanti.

Obiettivo del tempo di recupero

RPO e RTO sono due parametri indispensabili al piano di ripristino di emergenza e per la data protection, per la protezione dei servizi e della continuità aziendale. Un disaster recovery plan, pertanto, deve considerare entrambi i parametri, che devono essere definiti e gestiti sinergicamente. Solo in questo modo è possibile garantire la business continuity nei casi di emergenza.

L’obiettivo del tempo di recupero è quello di definire quali e quanti dati possono essere salvati dalle infrastrutture, qualora si verifichi uno scenario d’emergenza. Mentre l’RPO è una soglia di rischio utile a definire la quantità di dati che può essere perduta senza conseguenze catastrofiche, l’RTO definisce il lasso temporale che potrebbe essere perduto durante il processo di recupero delle operatività.

Differenza tra recovery time objective e recovery point objective

Il recovery point objective e il recovery time objective presentano una sostanziale differenza, sia nell’obiettivo che nella definizione. Mentre il recovery point objective viene utilizzato per individuare il punto in cui è possibile recuperare l’ultimo backup dei dati (e quindi determina la quantità di dati che potrebbero essere perduti in caso di emergenza), il recovery time objective viene utilizzato per definire la tempistica massima utile per il ripristino dei servizi o dei sistemi (e quindi quanto tempo impiegherà l’azienda a rendere nuovamente disponibile il servizio).

Cosa sono RTO e RPO nel ripristino di emergenza?

Tutti i sistemi devono essere in grado di ridurre al minimo le perdite in caso di interruzione delle attività provocate da un guasto. La capacità di contrastare le possibili perdite è un fattore essenziale per la tutela della business continuity: l’azienda che non può rispondere adeguatamente a un guasto, infatti, potrebbe perdere vertiginosamente la propria credibilità.

Il recovery point objective e il recovery time objective rappresentano indicazioni fondamentali durante il processo di ripristino d’emergenza. I due parametri, infatti, permettono di avere consapevolezza di quanti dati si potrebbero perdere e di quanto tempo occorrerà per ripristinare le attività.

La definizione di RTO e RPO contribuisce a determinare la capacità dell’azienda di rispondere alla problematica e, quindi, di risolverla. Numerosi i possibili scenari che potrebbero provocare un danno:

interruzione di corrente;
server o hard disk corrotti;
attacchi informatici;
ransomware;
furto;
eventi catastrofici quali uragani, terremoti, tornado. Anche questi scenari vanno presi in considerazione.

Se il business non è pronto a rispondere agli scenari di emergenza, non riuscirà a minimizzare le tempistiche di recupero. Quando l’infrastruttura IT stabilisce RTO e RPO, invece, è possibile velocizzare il processo di recupero d’emergenza. Il dipartimento IT, infatti, può procedere con il failover di un’applicazione, replicando i dati affinché vi sia una perdita pressoché vicina allo zero. È fondamentale stabilire un recovery time objective sulla base del budget e delle risorse a disposizione, ma soprattutto sulle priorità delle applicazioni.

Quali sono gli esempi di RTO e RPO

Per comprendere meglio la funzione del recovery point objective e del recovery time objective, facciamo alcuni esempi. Per quanto riguarda il recovery point objective, è possibile impostare questo fattore:

da 0 a 1 ora, in caso di operazioni critiche per le quali perdere più di un’ora di dati risulterebbe estremamente dannoso. Trattasi di dinamiche dai volumi molto alti o impossibili da ricreare, come nel caso delle transazioni bancarie, di registrazioni di cartelle mediche o dei sistemi CRM. Spesso, in questi casi, anche un solo minuto di perdita rappresenta una vera e propria catastrofe;
da 1 a 4 ore. In questi casi, il business può permettersi una perdita per un lasso temporale massimo di 4 ore. Si tratta di attività semi critiche come i log delle chat dei clienti o i file server;
da 4 a 12 ore. Le imprese con un simile RPO potrebbero gestire dati di vendita od occuparsi di marketing;
da 13 a 24 ore, un intervallo particolarmente lungo in quanto le imprese interessate gestiscono dati semi importanti (acquisti, risorse umane).

Per quanto riguarda il recovery time objective, invece, vediamo un esempio: un caso di recupero granulare degli elementi. In tal caso l’utente di un’impresa elimina una e-mail importante, svuotando quindi la cartella del cestino. Se il dipartimento IT dell’azienda ha implementato sul software di rete un’applicazione di backup e di recovery granulari, potrebbe recuperare l’e-mail in soli 5 minuti.

RTO/RPO nella continuità aziendale

Prevenire gli scenari dannosi e rispondere ai possibili problemi (dal furto all’interruzione di corrente, dall’attacco informatico alla rottura degli impianti) è essenziale per le imprese di tutto il mondo. La capacità di risposta e risoluzione delle complessità permette al business di garantire la continuità aziendale.

Le politiche di sicurezza informatica basic non possono, a volte, far fronte a tutti gli scenari. Ecco perché è fondamentale aumentare i livelli di sicurezza aziendali strutturando un disaster recovery plan. Questo piano deve considerare i valori RTO e RPO per poter assicurare la massima continuità aziendale (sia per quanto riguarda i servizi/prodotti, sia per quel che riguarda la reputazione).

Servizi e consulenza IT

Cookie	Durata	Descrizione
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie	2 years	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.

Cookie	Durata	Descrizione
__kla_id	2 years	Cookie set to track when someone clicks through a Klaviyo email to a website.
SRM_B	1 year 24 days	Used by Microsoft Advertising as a unique ID for visitors.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-137720848-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gat_UA-35242002-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar sets this cookie to detect the first pageview session of a user. This is a True/False flag set by the cookie.
_hjFirstSeen	30 minutes	Hotjar sets this cookie to identify a new user’s first session. It stores a true/false value, indicating whether it was the first time Hotjar saw this user.
_hjIncludedInPageviewSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's pageview limit.
_hjIncludedInSessionSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's daily session limit.
_hjTLDTest	session	To determine the most generic cookie path that has to be used instead of the page hostname, Hotjar sets the _hjTLDTest cookie to store different URL substring alternatives until it fails.
ajs_anonymous_id	1 year	This cookie is set by Segment to count the number of people who visit a certain site by tracking if they have visited before.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durata	Descrizione
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
ANONCHK	10 minutes	The ANONCHK cookie, set by Bing, is used to store a user's session ID and also verify the clicks from ads on the Bing search engine. The cookie helps in reporting and personalization as well.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
MUID	1 year 24 days	Bing sets this cookie to recognize unique web browsers visiting Microsoft sites. This cookie is used for advertising, site analytics, and other operations.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Durata	Descrizione
__awc_tld_test__	session	No description
_clck	1 year	No description
_clsk	1 day	No description
_hjSession_1956240	30 minutes	No description
_hjSessionUser_1956240	1 year	No description
AnalyticsSyncHistory	1 month	No description
CLID	1 year	No description
last_pys_landing_page	7 days	No description
last_pysTrafficSource	7 days	No description
li_gc	2 years	No description
pys_first_visit	7 days	No description
pys_landing_page	7 days	No description
pys_session_limit	1 hour	No description
pys_start_session	session	No description
pysTrafficSource	7 days	No description
SM	session	No description available.

Recovery time objective: cos’è e differenze RTO/RPO

Che cos’è un recovery time objective (RTO)

Che cos’è un recovery point objective (RPO)

Obiettivo del tempo di recupero

Differenza tra recovery time objective e recovery point objective

Cosa sono RTO e RPO nel ripristino di emergenza?

Quali sono gli esempi di RTO e RPO

RTO/RPO nella continuità aziendale

Ultime News Tecnologie e concetti IT

Assistenza informatica aziendale: cos’è e perché diventa fondamentale?

Cos’è la consulenza informatica e a cosa serve in azienda: la guida

Qual è il costo dello sviluppo di un software?

Cos’è la Robotic Process Automation (RPA) e come sta trasformando il mondo del lavoro

Creazione di una macchina virtuale su Azure

Sviluppo software personalizzato: quali sono i vantaggi

Cos’è lo sviluppo di un progetto software e quali sono le fasi essenziali

Come progettare un software: gli step da seguire

Virtual Desktop Infrastructure (VDI): cos’è e come funziona la virtualizzazione desktop

Cos’è un software per virtualizzazione e quali sono i migliori programmi

Servizi e consulenza IT

Cos’è un software: definizione ed esempi chiari per approfondire

FaaS: Cos’è, Come funziona, Vantaggi, Casi d’uso ed Esempi

SaaS: Cos’è, Come funziona, Vantaggi, Esempi e Prezzi

PaaS: Cos’è, Vantaggi, Tipologie, Differenze ed Esempi

Disaster Recovery: Cos’è, Come funziona, Tipologie, Vantaggi

Recovery Point Objective (RPO): guida per salvare la tua impresa

NFV (Network Function Virtualization): cos’è e come funziona

Service Level Agreement (SLA): cos’è e perché conviene stipularlo

Differenza tra Business Continuity e Disaster Recovery: facciamo un’analisi

SIEM: ecco cos’è il Security Information and Event Management

Parla con un Nostro Esperto

Siamo disponibili per ogni chiarimento e problema, non esitare a contattarci

Cloud Computing: tutto quello che c’è da sapere

NIS2, cosa significa e come inserire la direttiva in azienda

Guida SQL Server, tutto quello che devi sapere

Cos’è l’Iperconvergenza, come funziona e differenze

Cos’è un Ransomware? Ecco come attacca e come puoi proteggerti

Cos’è un server, come funziona, tipologie

Penetration Test: Cos’è, Tipologie e perchè è così importante

Firewall: Cos’è, come funziona e perché è indispensabile per l’azienda

SIEM: ecco cos’è il Security Information and Event Management

Intelligenza Artificiale (AI): Cos’è, Come funziona, Esempi e Futuro

Phishing: cos’è e come prevenirlo

Security Operation Center (SOC): come gestire con efficacia la sicurezza IT

Disaster Recovery: Cos’è, Come funziona, Tipologie, Vantaggi

Il futuro della cybersecurity aziendale: la sicurezza Zero Trust

Sviluppo software personalizzato: quali sono i vantaggi

GDPR: cosa prevede e come adeguarsi alla normativa sulla privacy

Assistenza informatica aziendale: cos’è e perché diventa fondamentale?