Backup todo mundo tem. Mas quando o ransomware bate na porta, a pergunta não é 'temos backup?' — é 'quanto tempo até voltarmos a operar?' e 'quanto de dado vamos perder?'. RPO e RTO existem para responder isso em números.
RPO — Recovery Point Objective
RPO é o quanto de dado a empresa aceita perder, medido em tempo. Se o backup é diário e o servidor cai logo antes da próxima cópia, o RPO real é 24 horas — ou seja, 24 horas de transações perdidas. Para um e-commerce, isso pode ser inaceitável; para um setor administrativo, talvez tolerável.
RTO — Recovery Time Objective
RTO é o tempo máximo aceitável entre o incidente e a volta da operação. Inclui detectar, decidir, restaurar, validar e comunicar. Empresas que nunca testaram a restauração descobrem na hora que o RTO 'real' é 3x o que imaginavam.
Como definir RPO e RTO na sua empresa
- •Liste os processos críticos: o que para o faturamento se ficar fora?
- •Para cada processo, pergunte ao dono: 'quanto tempo conseguimos ficar sem isso?' — esse é o RTO.
- •Pergunte: 'quanto de dado podemos refazer manualmente?' — esse é o RPO.
- •Confronte com a realidade técnica (frequência de backup, tempo de restore real testado).
- •A diferença entre o desejado e o real é a sua lacuna — e o seu plano de investimento.
RPO/RTO e LGPD
A LGPD exige medidas técnicas para prevenir incidentes (Art. 46) e notificar a ANPD em prazo razoável quando há risco (Art. 48). Um RTO bem definido com plano testado é uma das evidências mais fortes de que sua empresa cumpre o princípio da segurança.