A regra de Backup 3-2-1 é: manter 3 cópias dos dados, em 2 tipos de mídia diferentes, com 1 cópia fora do ambiente principal (offsite). Ela reduz o risco de perda por falha, erro humano, desastre e ataques como ransomware — desde que você teste restauração e proteja a cópia offsite contra criptografia.

O que é Backup 3-2-1 (sem enrolação)?

A regra 3-2-1 significa:

  • 3 cópias: 1 produção + 2 cópias de backup

  • 2 mídias: por exemplo disco + nuvem, ou NAS + fita, ou storage local + objeto S3

  • 1 offsite: fora do local/rede principal (nuvem, cofre externo, datacenter secundário)

Ela virou padrão de mercado porque tira você do “single point of failure”.

Por que 3-2-1 virou obrigatório na era do ransomware?

Porque ransomware não mira só arquivo — ele tenta derrubar sua capacidade de recuperação: criptografa file server, tenta acessar o storage de backup, apaga snapshots, desativa agentes e busca credenciais privilegiadas.

A CISA recomenda explicitamente backups offline/criptografados e testes regulares de restauração como prática central de resiliência contra ransomware.

E o contexto é brutal: no Verizon DBIR 2024, aproximadamente um terço das violações envolveu ransomware ou outra forma de extorsão; “pure extortion” também cresceu como componente relevante.

Exemplos reais do mundo e o que eles ensinam sobre backup

1) Ataques modernos não “só criptografam” — eles extorquem

O DBIR 2024 mostra crescimento de extorsão sem criptografia (“pure extortion”), o que muda o jogo: mesmo com backup, o risco passa a incluir exfiltração e chantagem. Resultado: 3-2-1 precisa vir junto com controle de acesso, detecção e governança de dados (LGPD).

2) “Backup existe” ≠ “backup restaura”

O NIST (guia de continuidade) enfatiza que testes devem ocorrer em ambiente o mais real possível e que testes frequentemente focam em operações de recuperação e backup — porque é aí que as empresas descobrem as falhas.

A regra 3-2-1 ainda basta? Ou tem upgrade?

Na prática, muita empresa evoluiu para 3-2-1-1-0 (muito popular em vendors de backup):

  • 3 cópias

  • 2 mídias

  • 1 offsite

  • 1 cópia imutável (WORM/immutability) — ransomware não apaga/criptografa fácil

  • 0 erros de recuperação (testes/verificações automatizadas)

Esse upgrade faz sentido porque ransomware mira backups.

Como implementar Backup 3-2-1: passo a passo (modelo Infob, aplicável em PMEs e mid-market)

1) Quais dados entram no 3-2-1 (e em que prioridade)?

Comece mapeando por criticidade (sem isso, você gasta com “backup de tudo” e restaura “nada do que importa”).

Classificação rápida:

  • Tier 0 (sobrevivência): AD/Entra ID, DNS/DHCP, ERP/Financeiro, banco de dados principal

  • Tier 1 (operação): file server, e-mail, sistemas internos

  • Tier 2 (conveniência): estações, arquivos não críticos, repositórios secundários

Dica prática: ransomware adora AD + file server + backup. Se isso cai, a empresa para.

2) Como desenhar as “2 mídias” sem complicar?

Exemplos que funcionam:

  • Mídia A (local rápido): storage/NAS/snapshot para restore rápido (RTO curto)

  • Mídia B (offsite): objeto em nuvem (S3/Blob) com immutability, ou fita/cofre externo

Regra de ouro: a mídia offsite deve ficar fora do domínio/credenciais do ambiente comprometido (conta separada, MFA forte, chaves rotacionadas).

3) O que significa “1 offsite” de verdade (e não “outro compartilhamento na mesma rede”)?

Offsite precisa ser resiliente a:

  • ransomware (acesso isolado + imutabilidade)

  • desastre físico/local (incêndio, roubo, queda elétrica)

  • erro humano (deleção)

A CISA reforça a importância de manter backups offline e testar regularmente integridade/disponibilidade.

4) Quais são os procedimentos de backup que quase ninguém faz… e são os que salvam?

Procedimentos de backup “maturos”:

  • Teste de restauração (mensal/trimestral) com evidência

  • RPO/RTO definidos por sistema (não por “achismo”)

  • Runbook de restore (passo a passo: quem faz, onde está a mídia, credenciais, ordem)

  • Conta de backup separada + MFA + sem privilégios desnecessários

  • Monitoramento de jobs (falhou → ticket automático)

NIST dá peso real para testes/exercícios de recuperação e validação em cenário operacional.

Como o 3-2-1 se conecta aos seus termos semânticos (ransomware, incidentes, alert fatigue, endpoints, rede, LGPD)

Como evitar ransomware na empresa com 3-2-1?

  • 3-2-1 não impede a entrada, mas impede a morte do negócio

  • Combine com: MFA + patching + EDR + segmentação

  • Garanta 1 cópia imutável/offline e teste restore (pilar CISA)

Empresa foi atacada por ransomware: o que fazer (visão backup-first)?

  1. Isolar máquinas e bloquear credenciais suspeitas

  2. Validar se backups offsite/imutáveis não foram tocados

  3. Identificar último ponto íntegro (RPO real)

  4. Restaurar em ordem (Tier 0 → Tier 1 → Tier 2)

  5. Só voltar produção após varredura e hardening (evitar reinfecção)

Como responder a incidente de segurança usando o backup como “plano de recuperação”?

  • Tenha “declaração de recuperação”: quando o sistema volta ao ar, com validação e teste (NIST enfatiza validação e testes na reconstituição).

Como reduzir alert fatigue com backup?

Parece estranho, mas é real: quando você tem restore confiável, você:

  • define severidade melhor (o que é incidente crítico vs ruído)

  • automatiza resposta: isola endpoint → restaura arquivo/VM → encerra rápido

  • reduz “pânico operacional”, que gera mais alertas manuais e decisões ruins

Como melhorar visibilidade de endpoints (para não depender do backup toda hora)?

  • endpoint desatualizado vira “paciente zero”

  • inventário + EDR + patching reduzem incidentes e preservam RPO

Como proteger rede contra invasões (para não chegar no restore)?

  • segmentação impede criptografia em massa em file server/backup

  • restringe acesso do usuário comum a shares críticos

  • reduz movimentação lateral

Como proteger dados sensíveis LGPD com 3-2-1?

3-2-1 protege disponibilidade, mas LGPD também envolve confidencialidade:

  • se o atacante exfiltra, backup não resolve a chantagem

  • então complemente com: controle de acesso, logs, DLP, criptografia e governança de compartilhamento
    E lembre: extorsão sem criptografia cresceu (DBIR), então “só ter backup” não fecha o risco.

Checklist rápido: Backup 3-2-1 pronto para auditoria (e para sobreviver a ransomware)

  • 3 cópias (produção + 2 backups)

  • 2 mídias diferentes

  • 1 offsite isolado

  • 1 cópia imutável (recomendado)

  • Testes de restauração com evidência (mensal/trimestral)

  • RPO/RTO documentados por sistema

  • Credenciais separadas (conta de backup fora do AD, MFA)

  • Monitoramento de jobs + alertas de falha

  • Runbook de restore (ordem de recuperação)

FAQ — Backup 3-2-1

1) O que significa backup 3-2-1?
Três cópias dos dados, em duas mídias diferentes, com uma cópia fora do ambiente principal (offsite).

2) 3-2-1 protege contra ransomware?
Protege principalmente a recuperação, desde que você tenha cópia offline/imutável e teste restauração regularmente.

3) Qual é o erro mais comum em procedimentos de backup?
Não testar restauração. “Backup que não restaura” é risco oculto — o NIST reforça testes/exercícios focados em recuperação.

4) O que é 3-2-1-1-0? Vale a pena?
É uma evolução: adiciona 1 cópia imutável e busca 0 erros de recuperação (verificação/teste). Ajuda muito contra ransomware.

5) Backup em nuvem conta como offsite?
Sim, desde que esteja realmente isolado (conta separada, MFA, imutabilidade) e não “montado” como drive com credencial admin no mesmo domínio.

6) Se houver extorsão sem criptografia, backup resolve?
Backup resolve disponibilidade, mas não evita chantagem por vazamento. Por isso, complemente com controles de acesso e proteção de dados (LGPD).

Quer validar se o seu 3-2-1 realmente “aguenta pancada”?

Se você quiser, agende uma consultoria com o time da Infob. A gente faz um diagnóstico rápido do seu cenário (RPO/RTO, cópia offsite, imutabilidade, testes de restore, exposição a ransomware) e entrega um plano de melhorias com prioridades e quick wins.