Backup é a defesa número 1 contra ransomware e perda de dados. Estatísticas mostram que empresas sem backup 3-2-1 adequate têm 98% de chance de não recuperar dados se hackeadas. Empresas com backup 3-2-1 (3 cópias, 2 mídias, 1 offline) têm 95% de chance de recuperar sem pagar resgate. A diferença é simples: backup correto. Neste artigo, você vai entender tudo sobre backup empresa e como aplicar na prática.

Este artigo explica por que 3-2-1 funciona, como implementar com ferramentas gratuitas (Duplicati) ou comerciais (Veeam), como armazenar em nuvem (AWS S3, Backblaze), e como testar que backup funciona (restore test é crítico). Você aprenderá que backup não é luxo, é necessidade absoluta de sobrevivência da empresa.

Backup 3-2-1 em 30 segundos (resumo rápido)

  • Regra: 3 cópias de dados + 2 tipos de mídia diferente + 1 cópia offline
  • Exemplo: Servidor original (1) + RAID espelhado (2) + Fita magnética em cofre (3)
  • Ou: Original (1) + NAS local (2) + AWS S3 Glacier (3 offline = não conectado continuamente)
  • Melhor Defesa Contra Ransomware: Se malware criptografa servidor, backup offline não consegue alcançar
  • Ferramentas Recomendadas: Duplicati (gratuito), Veeam (pago, mais profissional), AWS S3 (cloud)
  • Custo PME 20 pessoas: R$ 300-1000/mês (mix de local + nuvem)
  • Teste é Obrigatório: Fazer backup sem testar restore é enganar a si mesmo

Por Que 3-2-1 Funciona Contra Ransomware

Cenário Sem Backup Adequado (Periódico)

Empresa faz backup manualmente toda sexta-feira em NAS conectado à rede.

  • Segundo-feira 10h: Ransomware entra via phishing, criptografa servidor principal
  • Segundeça 17h: Gerente nota problema, tenta restaurar de NAS (onde backup de sexta está)
  • Problema: Ransomware criptografa tudo conectado à rede em 3 minutos, incluindo NAS
  • Resultado: Servidor + backup destruídos. Escolhe: pagar R$ 500K de resgate ou perder dados

Cenário Com Backup 3-2-1 Correto

Empresa implementa 3-2-1: servidor original + RAID NAS + fita magnética em cofre sem acesso de rede.

  • Segundo-feira 10h: Ransomware entra, criptografa servidor + RAID NAS (ambos conectados)
  • Segunda-feira 12h: Isolam computador infectado (desplugam do firewall)
  • Segunda-feira 13h: Recuperam dados de fita magnética (offline, ransomware nunca conseguiu criptografar)
  • Segunda-feira 18h: Dados restaurados, zero perda
  • Resultado: Nenhum resgate pago, zero downtime de dados

A diferença crítica: fita offline. Ransomware só criptografa o que consegue alcançar. Se backup está offline (desconectado fisicamente), criminoso não consegue.

Regra 3-2-1: Explicada em Detalhes

3: Três Cópias de Dados

Mantenha 3 cópias independentes:

  • Cópia 1 (Original): Servidor/banco de dados em produção que você usa dia a dia
  • Cópia 2 (Local): Backup automático em NAS ou RAID na mesma rede (para restauração rápida, 15-30 min)
  • Cópia 3 (Offline): Backup em fita magnética ou disco externo fisicamente desconectado (restauração slow 4-24h, mas seguro)

Por que 3 e não 2? Porque hardware falha. Se cópia 1 e 2 são destruídas (ransomware, incêndio), cópia 3 é seu salvavidas. Dois é risco, três é redundância real.

2: Dois Tipos de Mídia Diferentes

Não use mesma mídia para todas as cópias. Exemplo ruim:

  • Cópia 1: Servidor em SSD
  • Cópia 2: NAS em SSD
  • Cópia 3: Backup em SSD externo

Problema: SSD toda tem vida finita (~5 anos). Se todas morrem ao mesmo tempo, perdeu tudo. Além disso, bug de software pode corromper todas SSDs (exemplo: controller SSD bugado).

Exemplo bom:

  • Cópia 1: Servidor em SSD (rápido)
  • Cópia 2: NAS em HDD (slower, mais barato)
  • Cópia 3: Fita magnética (muito lento, mas dura 30+ anos sem degradação)

Ou:

  • Cópia 1: Servidor on-premises
  • Cópia 2: Servidor espelhado em outro local físico
  • Cópia 3: Nuvem AWS S3 Glacier (diferente geografia, máxima resiliência)

1: Uma Cópia Offline (Ar-Gapped)

Crítico: pelo menos uma cópia NÃO deve estar conectada à rede continuamente. “Offline” significa:

  • Fita magnética em cofre (nunca conectada)
  • Disco externo em gaveta (plugado 1x/semana para backup, desplugado resto do tempo)
  • Nuvem com acesso restrito (AWS S3 Glacier com policy que só TI específico consegue acessar, até gerente comum não consegue deletar)

Por quê? Porque ransomware é automático. Se backup está sempre conectado, malware o criptografa também. Se está offline, criminoso não consegue.

Golden Rule: Se você pode deletar/criptografar em um clique (porque está conectado), ransomware pode fazer automaticamente. Offline é aquilo que requer ação manual (desplugcar, ir ao cofre, autenticação especial) para acessar.

Ferramentas de Backup: Comparativo

Duplicati (Gratuito, Open Source)

Ferramenta open source que faz backup automático criptografado.

Vantagens:

  • Gratuito (zero custo software)
  • Criptografia built-in (AES-256)
  • Backup incremental + full (economia de espaço)
  • Suporta múltiplos destinos: NAS, disco externo, nuvem (AWS, Azure, Google Cloud)
  • Interface web simples
  • Open source (você consegue auditar código)

Desvantagens:

  • Menos suporte profissional (fórum comunidade)
  • Interface é funcional mas não tão polida
  • Pode ser mais lento em volume grande de dados (>10TB)

Ideal para: PME começando com backup, recursos limitados, dados <10TB

Veeam Backup & Replication (Pago, Profissional)

Solução comercial de backup para Windows/Linux e hyper-visores.

Vantagens:

  • Muito rápido (otimizado para backup massivo)
  • Suporte profissional 24/7
  • Console centralizado para múltiplos servidores
  • Deduplicação de dados (economia de espaço)
  • Criptografia end-to-end
  • Função de “instant VM recovery” (restaura servidor em 30 segundos)

Desvantagens:

  • Caro: R$ 1000-5000/ano para PME (por servidor)
  • Requer configuração mais complexa
  • Licença pode expirar se não renovar

Ideal para: Empresa média com dados críticos, precisa de recovery rápido, orçamento existe

Backblaze B2 (Nuvem, Pago)

Serviço de nuvem para armazenamento backup. Custa R$ 0.01/GB/mês (muito barato).

Vantagens:

  • Muito barato (R$ 0.01/GB/mês)
  • Sem limite de retenção
  • Escalável (quanto mais dados, mais barato por GB)
  • Criptografia AES-256
  • Não vai quebrar (não depende de você fazer backup em casa)

Desvantagens:

  • Restauração é slow (horas a dias dependendo volume)
  • Requer internet rápida para upload inicial
  • Criptografia sua chave = se perde chave, perde dados

Ideal para: Backup longo-prazo, dados que não precisa de RTO rápido (Recovery Time Objective)

AWS S3 Glacier (Nuvem, Pago)

Serviço de nuvem Amazon para armazenamento backup em longo-prazo. Custa R$ 0.003/GB/mês (ainda mais barato que B2).

Vantagens:

  • Muito barato (R$ 0.003/GB/mês)
  • Durabilidade garantida 99.999999999% (11 noves!)
  • Integração com Amazon Backup, AWS systems
  • Criptografia AES-256

Desvantagens:

  • Restauração é slow (mesmo propósito, para dados que nunca vai restaurar)
  • Precisa configurar AWS account (mais técnico)
  • Taxa de retrieval (R$ 0.05/GB retrieval) se restaura

Ideal para: Backup mais antigos, compliance (exigência de guardar dados 7 anos), cold storage

Comparativo Resumido

FerramentaTipoCustoVelocidade RestoreProfissionalismoPara PME
DuplicatiOpen SourceR$ 0MédiaBaixo (comunidade)Sim (começar)
VeeamComercialR$ 1K-5K/anoMuito RápidoAlto (suporte 24/7)Sim (scale)
Backblaze B2NuvemR$ 0.01/GB/mêsLentoMédioSim (archive)
AWS S3 GlacierNuvemR$ 0.003/GB/mêsMuito LentoAltoSim (long-term)

Implementação 3-2-1 Passo a Passo para PME

Estratégia Recomendada para PME 20-100 Pessoas

Cópia 1 (Original): Servidor/Banco de Dados em Produção
   |
   ├─> Cópia 2 (Local): NAS com Backup Incremental Diário (Duplicati)
   |    - Restauração em 15-30 minutos
   |    - Custo: R$ 200-400/mês (NAS + eletricidade)
   |
   └─> Cópia 3 (Offline): AWS S3 Glacier
        - Backup completo mensal
        - Armazenado offline (não conectado continuamente)
        - Custo: R$ 50-200/mês (dependendo volume)

Semana 1: Planejamento

  • Inventárie dados críticos: quantos GB? Crescimento anual?
  • Defina RTO (Recovery Time Objective): quanto tempo pode ficar sem dados? 1h? 1 dia?
  • Defina RPO (Recovery Point Objective): quantos dados pode perder? 1 dia? 1 semana?
  • Escolha estratégia 3-2-1: local + nuvem, ou fita magnética?

Semana 2: Implementar Duplicati para Backup Local

  • Instale Duplicati em servidor
  • Configure backup incremental: diariamente, 23h da noite (low impact)
  • Destino: NAS ou disco externo local
  • Retenção: manter últimas 8 semanas (depois deletar mais antigos)
  • Criptografia: AES-256 (habilitar)

Semana 3: Configurar Backup Nuvem

  • Opção A: Configure Duplicati para enviar cópia para Backblaze B2 ou AWS S3 Glacier
  • Opção B: Use ferramenta nativa (AWS Backup, Azure Backup)
  • Frequency: backup completo mensal (domingo 3h da madrugada)
  • Retenção: manter últimas 12 meses (compliance)

Semana 4: Testar Restore (OBRIGATÓRIO!)

  • Teste 1: Restaure de NAS local (deve restaurar em 30min)
  • Teste 2: Restaure de nuvem (deve restaurar em horas)
  • Teste 3: Restaure arquivo específico (não todo banco, apenas 1 arquivo)
  • Documente tempo que levou, problemas encontrados

Semana 5+: Monitoramento Contínuo

  • Configure alertas: se backup falha, notifique admin
  • Teste restore semanal: escolha arquivo aleatório, restaure
  • Relatório mensal: tamanho backup, taxa de crescimento, custos
  • Revisão trimestral: RTO/RPO ainda faz sentido? Mudanças necessárias?

Cálculo de Custo: Exemplo PME 20 Pessoas com 1TB de Dados

Opção 1: Duplicati + NAS Local + AWS S3 Glacier

  • Duplicati: R$ 0/mês (gratuito)
  • NAS (Synology 2-bay): R$ 2000 inicial (hardware), R$ 50/mês operacional (eletricidade)
  • AWS S3 Glacier (1TB/mês): R$ 3/mês (0.003 x 1000 GB)
  • Internet para upload nuvem: ~R$ 0 (incluso em internet corporativa)
  • Total Mês 1: R$ 2000 + R$ 53 = R$ 2053
  • Total Mês 2-12: R$ 53/mês
  • Total Ano 1: R$ 2000 + (53 x 12) = R$ 2636

Opção 2: Duplicati + Backblaze B2

  • Duplicati: R$ 0/mês
  • Backblaze B2 (1TB): R$ 10/mês (0.01 x 1000 GB)
  • Hardware (disco externo para offline): R$ 500 inicial
  • Total Mês 1: R$ 500 + R$ 10 = R$ 510
  • Total Ano 1: R$ 500 + (10 x 12) = R$ 620

Opção 3: Veeam (Full Profissional)

  • Veeam License: R$ 2000/ano (1 servidor)
  • NAS: R$ 2000 inicial + R$ 50/mês
  • Total Ano 1: R$ 2000 + R$ 2000 + (50 x 12) = R$ 6600

Recomendação: Para PME começando, Opção 2 (Duplicati + Backblaze B2) é melhor relação custo-benefício. Opção 1 é mais rápido se precisar restaurar. Opção 3 é para empresa maior/crítica.

Teste de Restore: O Mais Importante

80% das PMEs fazem backup mas NUNCA testam restore. Resultado: chega o dia, tentam restaurar e descobrem que backup está corrompido. Teste de restore não é opcional, é obrigatório.

Teste Mensal: Checklist

  • [ ] Escolha arquivo/pasta aleatória de 1-100GB
  • [ ] Restaure em computador diferente (não sobrescreva original)
  • [ ] Verifique integridade: arquivos estão íntegros? Banco de dados consegue abrir?
  • [ ] Cronometr tempo: quanto demorou restaurar?
  • [ ] Documente: data, o que testou, resultado, tempo
  • [ ] Se houver problema, arrume ANTES de precisar em emergência
Teste de Backup é Asseguração: Se não testa, você está esperando que funcionará quando precisar. Teste é a única forma de ter certeza. 1 hora testando mensal evita 160+ horas de recuperação manual em emergência.

Perguntas Frequentes sobre Backup 3-2-1

Se faço backup a cada hora, preciso de 3-2-1?

Sim. Frequência de backup não substitui 3-2-1. Você pode fazer backup a cada hora, mas se todas 3 cópias estão em mesmo lugar (servidor + NAS na mesma rede), ransomware destroi todas. 3-2-1 é sobre resiliência (survive múltiplos cenários), não frequência.

Backup em nuvem é offline?

Depende. Se você acessa nuvem continuamente (automático sync), é online. Se backup é feito 1x/semana e depois desconecta, pode ser considerado offline. Para máxima segurança: nuvem com policy que restringe acesso (mesmo você não consegue deletar fácil) = quasi-offline.

Quanto espaço preciso para backup? Se tenho 1TB de dados, preciso 3TB para 3-2-1?

Não exato. Backup incremental usa menos espaço. Se faz backup full semanal + incremental diário: semana 1 ocupa 2TB (full + daily), semana 2 ocupa 1.5TB (só daily incremental, não full novo). Regra prática: orçamento 1.5x-2x tamanho original.

Posso fazer 3-2-1 todo na nuvem?

Sim: Cópia 1 (VM em nuvem) + Cópia 2 (Backup em outra região nuvem) + Cópia 3 (Archive em terceira região). Funciona, mas é caro. Plus: se conta da nuvem é hackeada, todas 3 cópias podem ser deletadas remotamente. Melhor: pelo menos 1 cópia offline (disco físico não conectado).

Se faço backup, posso desativar antivírus e firewall?

Não! Backup é defesa APÓS breach. Antivírus/firewall é defesa ANTES breach. Ambos são necessários. Backup é salvavidas se tudo falhar. Não faça falhar tudo propositalmente.

Quanto tempo pode levar para restaurar 10TB de backup?

Depende onde está: NAS local = 2-4 horas (limitado por speed leitura NAS). Nuvem Backblaze = 6-12 horas (limitado por internet). AWS Glacier = 24-48 horas (retrieval slow). Para dados críticos que precisa restaurar rápido, NAS local é essencial.

Conclusão

Backup 3-2-1 é regra de ouro que protege contra ransomware, perda de dados acidental, e desastres. 3 cópias + 2 mídias + 1 offline = resiliência garantida. Implementar com Duplicati (gratuito) + NAS local (R$ 200-400/mês) + Backblaze/AWS (R$ 3-10/mês) custa menos de R$ 500/mês para PME.

Comparar com ransomware que custa R$ 500K-2M, backup é investimento óbvio. Não falhe nisto: fazendo backup é passo 1 de segurança, teste de restore é passo 2.

Comece hoje: (1) Instale Duplicati em servidor; (2) Configure backup local em NAS; (3) Configure backup nuvem; (4) Teste restore mensal. Em 1 mês você terá proteção 3-2-1 implementada.

Leia também: Ransomware: Como Se Proteger, Cibersegurança para PMEs, Firewall e Antivírus Essenciais. Backup é fundação de recuperação de desastre.