Regra 3-2-1-1-0: Evolução do Backup Contra Ransomware
Entenda a regra 3-2-1-1-0 de backup: o que cada número significa, por que a regra 3-2-1 não basta mais, e como implementar com backup imutável e air gap.
Pontos-Chave deste Artigo
- 93% dos ataques de ransomware miram repositórios de backup (Veeam Ransomware Trends Report) — a regra 3-2-1 clássica sozinha não protege mais contra esse vetor.
- A regra
3-2-1-1-0adiciona dois dígitos críticos: 1 cópia imutável (inviolável por ransomware) e 0 erros verificados em testes de restore.- Empresas que implementam backup imutável reduzem o custo médio de recuperação de ransomware em até 74%, segundo o Sophos State of Ransomware.
- O dígito mais ignorado é o 0: aproximadamente 37% das empresas brasileiras nunca testaram um restore completo — descobrem que o backup não funciona no pior momento possível.
- Implementar a regra
3-2-1-1-0completa custa entre R$ 400 e R$ 600/mês para uma PME com 500 GB — menos de 1% do custo médio de um incidente de ransomware no Brasil.
Da Regra 3-2-1 à 3-2-1-1-0: A Evolução que o Ransomware Forçou
A regra 3-2-1 de backup foi formulada pelo fotógrafo e especialista em preservação digital Peter Krogh em 2005, no livro The DAM Book: Digital Asset Management for Photographers. O princípio era elegante na sua simplicidade: mantenha 3 cópias dos seus dados, em 2 tipos de mídia diferentes, com 1 cópia offsite. Por quase duas décadas, essa fórmula foi o padrão ouro da indústria de backup, recomendada pelo CISA, pelo CERT.br e por praticamente todo fornecedor de soluções de proteção de dados.
O problema é que Peter Krogh vivia em um mundo diferente. Em 2005, a principal ameaça aos dados era a falha de hardware. Discos rígidos queimavam. Fitas se degradavam. Escritórios pegavam fogo. A regra 3-2-1 foi desenhada para responder a essas ameaças físicas — e faz isso brilhantemente. Se um disco falha, você tem outro. Se o escritório inunda, a cópia offsite sobrevive. Redundância geográfica e de mídia resolviam quase tudo.
Mas então o ransomware mudou as regras do jogo. E mudou de uma forma que a regra 3-2-1 simplesmente não previa.
O que mudou: ataques projetados para destruir backups
O ponto de virada veio entre 2019 e 2021, quando grupos de ransomware como Maze, REvil e Conti passaram a adotar uma tática devastadora: antes de criptografar os servidores de produção, destruir sistematicamente todos os backups acessíveis. O processo típico envolve dias ou semanas de reconhecimento silencioso dentro da rede da vítima. O atacante mapeia servidores de backup, identifica credenciais, descobre snapshots e réplicas — e só então detona a carga maliciosa, criptografando tudo simultaneamente.
Os números são alarmantes. Segundo o Veeam Ransomware Trends Report, 93% dos ataques de ransomware tentam comprometer os repositórios de backup. O Sophos State of Ransomware complementa: em 57% dos casos, os criminosos conseguem comprometer parcial ou totalmente os backups da vítima. Na prática, isso significa que uma empresa pode seguir a regra 3-2-1 à risca — três cópias, duas mídias, uma offsite — e ainda assim perder tudo, porque todas as cópias estavam conectadas à rede no momento do ataque.
A resposta da indústria: 3-2-1-1-0
A evolução para 3-2-1-1-0 foi proposta inicialmente pela Veeam em 2021 e rapidamente adotada como referência por analistas de mercado como Gartner e IDC. A ideia não era substituir a regra original, mas estendê-la com dois dígitos que endereçam diretamente as ameaças modernas:
- O primeiro "1" adicional: uma cópia imutável ou air-gapped — uma cópia que o ransomware não consegue alterar, deletar ou criptografar, mesmo com credenciais de administrador.
- O "0": zero erros verificados nos testes de restore — a exigência de que os backups sejam regularmente testados e comprovadamente restauráveis.
Até 2024, a regra 3-2-1-1-0 havia se tornado o padrão recomendado pela maioria dos frameworks de segurança para ambientes corporativos. O NIST Cybersecurity Framework 2.0 e a ISO 27001:2022 já refletem os princípios por trás dos dois dígitos adicionais, mesmo sem usar a nomenclatura numérica específica. O que era "melhor prática" virou necessidade operacional.
O Que Cada Número Significa na Regra 3-2-1-1-0
A força da regra 3-2-1-1-0 está em cada dígito endereçar uma categoria de risco distinta. Não existe redundância entre os números — cada um protege contra um vetor de falha diferente. Vamos detalhar cada um individualmente, com opções práticas de implementação e estimativa de custo para o mercado brasileiro.
3 — Três cópias dos dados
O primeiro dígito estabelece a redundância mínima. Três cópias significa o dado de produção (original) mais dois backups independentes. A matemática por trás é simples: se a probabilidade de falha de um disco é de 1 em 100 por ano, a probabilidade de dois discos independentes falharem simultaneamente é de 1 em 10.000. Com três cópias, cai para 1 em 1.000.000. Redundância é proteção exponencial.
Na prática, as três cópias geralmente se distribuem assim: dados de produção no servidor ou estação de trabalho, primeiro backup em storage local (NAS ou servidor de backup), e segundo backup na nuvem ou em mídia removível. O ponto crítico é que as três cópias devem ser independentes — se duas delas estão no mesmo RAID, contam como uma só.
2 — Dois tipos de mídia diferentes
O segundo dígito exige diversidade de mídia. O objetivo é evitar que uma falha sistêmica afete todas as cópias simultaneamente. Um lote de discos do mesmo fabricante pode ter defeito de fábrica. Um storage de rede pode ter firmware corrompido. Se todas as cópias estão no mesmo tipo de dispositivo, o risco se correlaciona.
Combinações comuns incluem disco rígido local + armazenamento em nuvem, disco SSD + fita LTO, ou storage NAS + armazenamento em nuvem. A combinação mais popular hoje para PMEs brasileiras é NAS local + nuvem, que oferece velocidade de restore local (para falhas rotineiras) e resiliência geográfica (para desastres).
1 — Uma cópia offsite
O terceiro dígito exige que pelo menos uma cópia esteja fisicamente fora do local principal. Isso protege contra desastres que destroem o site inteiro: incêndio, inundação, furto de equipamentos, explosão de transformador elétrico. Parece improvável até acontecer — e quando acontece, destrói todas as cópias locais de uma vez.
A nuvem é a forma mais prática e econômica de cópia offsite. Mas atenção: uma réplica em um segundo escritório na mesma cidade também conta, desde que esteja em prédio separado e com infraestrutura elétrica e de rede independente. Para empresas que exigem soberania de dados, a DataBackup armazena todos os backups em datacenters no Brasil, garantindo conformidade com a LGPD.
1 — Uma cópia imutável ou air-gapped (o dígito que faltava)
Este é o dígito que separa a regra 3-2-1 clássica da versão moderna. Uma cópia imutável é uma cópia que não pode ser alterada, deletada ou criptografada durante um período definido — nem pelo administrador, nem por um atacante com credenciais de administrador. Uma cópia air-gapped é uma cópia fisicamente ou logicamente desconectada de qualquer rede.
Por que isso é necessário? Porque o ransomware moderno escala privilégios. Se um atacante obtém credenciais de Domain Admin — o que acontece em 80% dos ataques avançados, segundo a Mandiant — ele pode deletar snapshots, desativar jobs de backup e criptografar repositórios. A imutabilidade e o air gap são as únicas defesas que resistem mesmo quando o atacante já controla tudo.
0 — Zero erros verificados nos testes de restore
O último dígito é, paradoxalmente, o mais importante e o mais ignorado. De que adianta ter cinco cópias, três mídias e imutabilidade se, na hora da crise, o restore falha? Backups corrompidos, fitas degradadas, agentes desatualizados, senhas de criptografia perdidas — há dezenas de motivos pelos quais um backup aparentemente saudável pode ser inutilizável.
O "0" exige verificação ativa e periódica. Não basta o job de backup retornar "sucesso". É necessário restaurar dados em ambiente de teste (Restore Drill), validar checksums, confirmar que aplicações iniciam corretamente e que os dados estão íntegros. A regra é clara: se você não testou, você não tem backup — tem apenas uma esperança armazenada em disco.
Tabela: cada dígito em detalhe
| Dígito | Significado | Opções de implementação | Custo estimado (PME 500 GB) | Risco endereçado |
|---|---|---|---|---|
| 3 | Três cópias dos dados | Produção + NAS local + nuvem | NAS: R$ 2.000-5.000 (único); Nuvem: R$ 160-250/mês | Falha de hardware, corrupção de dados |
| 2 | Dois tipos de mídia | Disco local + nuvem; SSD + fita LTO; NAS + nuvem | Incluso no item acima | Falha sistêmica de mídia (defeito de fabricação, firmware) |
| 1 | Uma cópia offsite | Nuvem; escritório remoto; cofre bancário (fita) | R$ 160-250/mês (nuvem); R$ 500-1.500/mês (cofre) | Desastre físico (incêndio, inundação, furto) |
| 1 | Uma cópia imutável ou air-gapped | WORM na nuvem; fita LTO offsite; air gap lógico com credenciais isoladas | R$ 50-150/mês (WORM nuvem); R$ 200-800/mês (fita) | Ransomware, insider threat, deleção maliciosa |
| 0 | Zero erros nos testes de restore | Restore Drill automatizado; validação de checksum; teste trimestral manual | R$ 0 (incluso na DataBackup); R$ 2.000-5.000/trimestre (consultoria) | Backup corrompido, incompatível, inutilizável |
Por Que a Regra 3-2-1 Não Basta Mais
Dizer que a regra 3-2-1 "não funciona mais" seria injusto. Ela funciona perfeitamente para o que foi projetada: falhas de hardware e desastres físicos. O problema é que o cenário de ameaças mudou radicalmente. Em 2005, a chance de um atacante deliberadamente destruir seus backups era mínima. Hoje, é o procedimento operacional padrão dos grupos de ransomware.
Para entender por que a evolução é necessária, o melhor exercício é analisar cenários reais e comparar como cada versão da regra responderia. A tabela abaixo confronta cinco situações documentadas em relatórios do Coveware e do IBM X-Force.
Tabela: 5 cenários de ataque — regra 3-2-1 vs 3-2-1-1-0
| Cenário de ataque | Resultado com 3-2-1 | Resultado com 3-2-1-1-0 |
|---|---|---|
| Ransomware criptografa produção + NAS na mesma rede | Cópia offsite na nuvem sobrevive, mas pode estar comprometida se credenciais de nuvem foram roubadas. Restore possível, mas sem garantia de integridade. | Cópia imutável na nuvem sobrevive mesmo com credenciais comprometidas (WORM impede deleção). Restore Drill confirma integridade antes da crise. |
| Atacante com credenciais de Domain Admin deleta snapshots e réplicas | Todas as 3 cópias são destruídas em minutos. Não há recuperação sem pagar resgate. | Cópia imutável não pode ser deletada por nenhum usuário, nem admin. Recuperação garantida. |
| Insider malicioso apaga dados de produção e backups locais | Cópia offsite sobrevive, mas insider pode ter acesso à nuvem também. Risco parcial. | Cópia imutável com credenciais isoladas (air gap lógico) impede acesso do insider. Integridade verificada pelo teste de restore. |
| Backup completa com sucesso mas dados ficam corrompidos silenciosamente (bit rot) | 3 cópias corrompidas igualmente. Ninguém percebe até precisar restaurar. Restore falha. | O "0" (zero erros) detecta a corrupção no próximo Restore Drill. Equipe é alertada e corrige antes da emergência. |
| Desastre físico (incêndio) destrói escritório e NAS local | Cópia offsite na nuvem sobrevive. Restore bem-sucedido (cenário ideal da 3-2-1). | Mesmo resultado, com a vantagem de que o Restore Drill já validou que a cópia offsite é restaurável. |
O padrão é claro: nos cenários 1 a 4, a regra 3-2-1 falha parcial ou totalmente. Apenas no cenário 5 — desastre físico puro, sem componente cibernético — as duas versões entregam o mesmo resultado. Como 75% das perdas de dados corporativos hoje envolvem componente cibernético (segundo o Verizon DBIR), confiar apenas na 3-2-1 é deixar a empresa vulnerável à maioria das ameaças reais.
E o cenário 4 é particularmente traiçoeiro. A corrupção silenciosa de dados (bit rot) não é um ataque — é uma falha física que acontece com qualquer mídia ao longo do tempo. Sem o "0" de verificação ativa, uma empresa pode fazer backup religiosamente por anos e descobrir, no dia do desastre, que os dados estão ilegíveis. Na nossa experiência, esse é o cenário que mais devasta psicologicamente as equipes de TI: o backup existia, o processo funcionava, mas os dados simplesmente não estavam mais lá.
Implementando a Regra 3-2-1-1-0 por Porte de Empresa
Uma das objeções mais comuns à regra 3-2-1-1-0 é que "parece coisa de empresa grande". Na prática, a complexidade e o custo de implementação variam enormemente conforme o porte — e existem combinações acessíveis para qualquer tamanho de empresa. O que muda não é o princípio (os cinco dígitos se aplicam a todos), mas a tecnologia e o investimento necessários para satisfazer cada dígito.
A tabela abaixo detalha uma implementação prática para cada porte, com tecnologias específicas e estimativa de custo mensal.
Tabela: implementação por porte de empresa
| Dígito | Microempresa (até 50 GB) | Pequena (50-500 GB) | Média (500 GB - 5 TB) | Grande (5 TB+) |
|---|---|---|---|---|
| 3 cópias | PC/servidor + HD externo + nuvem | Servidor + NAS + nuvem | Storage + NAS dedicado + nuvem com retenção estendida | Storage SAN + appliance de backup + nuvem multiregião |
| 2 mídias | SSD interno + nuvem | Disco NAS + nuvem | Disco NAS + nuvem (+ fita opcional) | Disco + nuvem + fita LTO |
| 1 offsite | Nuvem (datacenter Brasil) | Nuvem (datacenter Brasil) | Nuvem + réplica em DC secundário | Nuvem multiregião + cofre para fitas |
| 1 imutável | Nuvem com WORM ativado | Nuvem com WORM + credenciais isoladas | WORM na nuvem + fita LTO offsite | WORM + air gap físico (fita) + air gap lógico (credenciais separadas) |
| 0 erros | Restore Drill trimestral (manual ou automatizado) | Restore Drill mensal automatizado | Restore Drill quinzenal + validação de checksum contínua | Restore Drill semanal + teste de DR completo trimestral |
| Custo mensal estimado | R$ 80-200 | R$ 300-600 | R$ 1.500-4.000 | R$ 8.000-25.000 |
Alguns pontos que merecem atenção nessa tabela. Primeiro: para microempresas e empresas pequenas, a nuvem com WORM é a forma mais acessível de satisfazer simultaneamente os dígitos "1 offsite" e "1 imutável" — uma única solução cobre dois requisitos. Segundo: o custo do Restore Drill automatizado é praticamente zero quando a ferramenta de backup já oferece essa funcionalidade nativamente (como é o caso da DataBackup). Terceiro: o salto de custo entre "pequena" e "média" reflete principalmente o volume de dados e a necessidade de criptografia e retenção mais longa, não uma complexidade técnica maior.
Mas e o ROI dessa implementação? Segundo o IBM Cost of a Data Breach, o custo médio de um incidente de violação de dados no Brasil é de R$ 6,75 milhões. Para uma PME, mesmo que o impacto seja uma fração disso — digamos R$ 200.000 a R$ 500.000 entre resgate, downtime e reconstrução — o investimento mensal de R$ 300-600 na regra 3-2-1-1-0 se paga na primeira crise evitada. O que vemos no campo é que empresas que investem em ciber-resiliência antes do incidente gastam, em média, 10 a 50 vezes menos do que aquelas que precisam reagir durante a crise.
O Papel da Imutabilidade: o Primeiro "1" Extra da Regra
Se a regra 3-2-1 era uma fortaleza com três muros, a imutabilidade é o cofre blindado dentro da fortaleza. Mesmo que todos os muros caiam — credenciais roubadas, rede comprometida, administrador corrupto — o cofre permanece intacto. É essa a promessa do primeiro "1" adicional na regra 3-2-1-1-0, e é essa a tecnologia que mais evoluiu nos últimos anos.
O que é backup imutável, na prática
Um backup imutável é uma cópia de segurança protegida por mecanismos que impedem qualquer modificação, deleção ou criptografia durante um período definido de retenção. O conceito vem da tecnologia WORM (Write Once, Read Many) — usada há décadas em fitas e discos ópticos, e hoje disponível nativamente em armazenamento em nuvem.
A implementação moderna de imutabilidade opera em três níveis:
- Object Lock (nuvem): o objeto de backup recebe um "carimbo" de retenção. Até a data expirar, nenhuma operação de escrita, deleção ou sobreposição é aceita pelo armazenamento. Nem o root, nem o administrador da conta, nem o próprio suporte do provedor podem alterar o objeto. Na DataBackup, a imutabilidade com Object Lock está disponível nativamente — basta definir o período de retenção desejado.
- Air gap lógico: a cópia imutável fica em uma conta ou ambiente com credenciais completamente separadas do ambiente de produção. Mesmo que um atacante comprometa o Active Directory, o vCenter, o console de backup e a conta AWS principal, as credenciais do ambiente air-gapped são diferentes e não estão armazenadas em nenhum sistema da rede corporativa.
- Air gap físico: a forma mais radical de imutabilidade — a cópia simplesmente não está conectada a nenhuma rede. Fita LTO em cofre, HD externo em sala-cofre, ou storage desligado da rede após a janela de backup. Nenhum software, exploit ou credencial permite acessar algo que não está ligado.
WORM vs Object Lock vs air gap: quando usar cada um
Na prática, as três abordagens não são mutuamente exclusivas — elas se complementam. Uma estratégia robusta pode combinar Object Lock na nuvem (para backups diários com retenção de 30 dias) com fita LTO air-gapped (para backups mensais com retenção de 1 ano). O Object Lock protege contra ataques cibernéticos no dia a dia. A fita protege contra cenários catastróficos onde até a infraestrutura de nuvem é comprometida.
Para a maioria das PMEs brasileiras, a imutabilidade na nuvem é suficiente. O custo é acessível (o overhead sobre o armazenamento convencional é de 10-30%), a implementação é simples (não exige hardware adicional) e a proteção é comprovada: segundo o Sophos State of Ransomware, empresas com backups imutáveis recuperam dados em menos da metade do tempo comparadas àquelas sem imutabilidade.
Retention lock: o detalhe que faz a diferença
Um aspecto frequentemente negligenciado da imutabilidade é o retention lock — a impossibilidade de reduzir o período de retenção depois que ele é definido. Sem retention lock, um atacante poderia simplesmente alterar a política de retenção de 30 dias para 0 dias, efetivamente liberando a deleção dos backups imutáveis. É como ter um cofre com fechadura, mas deixar a chave pendurada na porta.
Na DataBackup, o retention lock é configurado no momento da criação da política de backup e não pode ser reduzido posteriormente — nem pelo administrador da conta. Pode ser estendido (para manter backups por mais tempo), mas nunca encurtado. Esse detalhe é o que separa imutabilidade real de imutabilidade cosmética.
Pergunta essencial para seu fornecedor de backup: "Se um atacante obtiver credenciais de administrador do console de backup, ele consegue deletar ou alterar os backups imutáveis?" Se a resposta não for um "não" categórico e demonstrável, a imutabilidade é apenas marketing.
Zero Erros: Por Que Testar o Restore É o Dígito Mais Ignorado
Na hierarquia dos cinco dígitos da regra 3-2-1-1-0, o "0" é simultaneamente o mais simples de entender e o mais difícil de implementar na prática. Todo profissional de TI concorda que testar backups é importante. Quase nenhum faz isso com a regularidade necessária. É o equivalente corporativo de saber que exercício físico faz bem e continuar sentado no sofá.
Os números que assustam
As estatísticas sobre falhas de restore são, francamente, aterrorizantes. Segundo pesquisa da Unitrends, 34% das empresas que tentam restaurar dados de backup descobrem que ele está incompleto ou corrompido. O StorageCraft encontrou que 77% das fitas de backup testadas apresentaram algum tipo de falha de restore. E no Brasil, estimativas do setor indicam que aproximadamente 37% das empresas nunca realizaram um teste de restauração completo — nunca.
Mas por que tantos backups falham silenciosamente? As causas são variadas e, na maioria dos casos, evitáveis:
- Agentes desatualizados: o agente de backup no servidor foi instalado há três anos e nunca atualizado. O servidor mudou de versão de SO, a aplicação foi atualizada, mas o agente continua tentando fazer backup de estruturas que não existem mais.
- Senhas de criptografia perdidas: o backup é criptografado (bom!), mas a senha foi definida por um funcionário que saiu da empresa há dois anos. Ninguém sabe a senha. O backup existe, mas é indecifrável.
- Dependências não cobertas: o backup do banco de dados está perfeito, mas o backup esqueceu de incluir os certificados SSL, as configurações de DNS, ou os arquivos de licença do ERP. O restore dos dados funciona, mas o sistema não inicia.
- Corrupção silenciosa: bits degradados ao longo do tempo (bit rot) sem que nenhum alerta seja gerado. O job de backup reporta "sucesso" porque conseguiu ler os arquivos — mas os dados dentro dos arquivos já estão corrompidos.
- Espaço insuficiente: o storage de backup encheu silenciosamente e os últimos backups foram truncados ou abortados. O alerta de espaço foi configurado mas ninguém monitorava.
O que significa "zero erros" na prática
O "0" da regra 3-2-1-1-0 não é uma aspiração filosófica — é um processo operacional verificável. Implementar "zero erros" significa três coisas concretas:
- Restore Drill periódico: restaurar dados em ambiente isolado com regularidade definida (mensal para dados críticos, trimestral para dados secundários). Não restaurar "uns arquivos" — restaurar o sistema completo, incluindo aplicações, bancos de dados e dependências. Iniciar o serviço restaurado e confirmar que funciona.
- Validação contínua de integridade: verificação automática de checksums a cada backup completado. Comparação de hashes entre origem e destino. Alerta imediato se qualquer divergência for detectada.
- Documentação e evidência: cada Restore Drill gera um relatório com data, hora, dados restaurados, tempo de restauração, erros encontrados (se houver) e resultado final. Esse relatório serve como evidência para auditorias de ISO 27001, LGPD e outras normas regulatórias.
A DataBackup automatiza o processo de Restore Drill com agendamento configurável e relatórios detalhados. O teste acontece em ambiente isolado (sandbox), sem interferir na produção, e o resultado é enviado por e-mail para a equipe de TI. Se o teste falhar, o alerta é disparado antes da emergência — quando ainda há tempo de corrigir.
A analogia do extintor de incêndio
Uma analogia útil: o backup sem teste de restore é como o extintor de incêndio que ninguém verifica há cinco anos. Ele está lá, pendurado na parede, dando uma sensação reconfortante de segurança. Mas quando o incêndio começa e alguém puxa o pino, descobre que o extintor está vazio, vencido ou com o mecanismo emperrado. A falsa segurança é pior do que a insegurança declarada — porque com a insegurança declarada, pelo menos a empresa sabe que precisa agir.
Regra 3-2-1-1-0 e Compliance: Qual Regulação Exige o Quê
Um dos aceleradores mais poderosos da adoção da regra 3-2-1-1-0 no Brasil é o ambiente regulatório. A LGPD, a ISO 27001, as normas do BACEN e o PCI DSS não usam a nomenclatura "3-2-1-1-0" explicitamente — mas seus requisitos, quando mapeados, cobrem a totalidade ou a maior parte dos cinco dígitos. Entender essa correspondência é essencial para justificar o investimento em proteção de dados junto à diretoria.
Tabela: mapeamento de compliance por dígito
| Regulação | 3 (cópias) | 2 (mídias) | 1 (offsite) | 1 (imutável/air gap) | 0 (teste de restore) |
|---|---|---|---|---|---|
| LGPD (Lei 13.709) | Implícito (Art. 46 — medidas de segurança) | Recomendado (boas práticas ANPD) | Obrigatório (continuidade de dados pessoais) | Recomendado (proteção contra incidentes) | Obrigatório (Art. 46 — capacidade de restauração) |
| ISO 27001:2022 | Obrigatório (A.8.13 — backup de informações) | Obrigatório (diversidade de armazenamento) | Obrigatório (armazenamento remoto) | Obrigatório (A.8.13 + A.8.12 — prevenção de perda) | Obrigatório (teste de restauração periódico documentado) |
| BACEN (Res. 4.893) | Obrigatório (múltiplas cópias de dados financeiros) | Obrigatório (redundância de infraestrutura) | Obrigatório (site secundário geograficamente distinto) | Obrigatório (proteção contra ataques cibernéticos) | Obrigatório (testes periódicos de continuidade) |
| PCI DSS v4.0 | Obrigatório (Req. 3 — armazenamento seguro) | Recomendado (boas práticas) | Obrigatório (Req. 9 — proteção física) | Obrigatório (Req. 10/11 — monitoramento e integridade) | Obrigatório (Req. 12 — testes de segurança regulares) |
A análise da tabela revela um padrão importante: todas as quatro regulações exigem o último dígito — teste de restore. Isso reforça que o "0" não é um luxo ou uma boa prática opcional: é uma obrigação regulatória em qualquer framework relevante para empresas brasileiras. Uma empresa que faz backup mas nunca testa o restore está, tecnicamente, em não conformidade com a LGPD, a ISO 27001 e as normas do BACEN simultaneamente.
Outro ponto revelador: a ISO 27001:2022 é a única regulação que exige explicitamente todos os cinco dígitos. Para empresas que buscam ou já possuem a certificação, a regra 3-2-1-1-0 é essencialmente o mapa de implementação do controle A.8.13 (backup de informações). Implementar a regra e documentar os processos gera a evidência necessária para a auditoria.
Para empresas do setor financeiro reguladas pelo BACEN, a resolução 4.893 vai além da proteção de dados e exige site secundário geograficamente distinto para continuidade operacional — o que mapeia diretamente para o dígito "1 offsite". A imutabilidade é exigida indiretamente pela obrigação de proteger dados contra "ataques cibernéticos" e manter a integridade das informações.
Comparativo Completo: 3-2-1 vs 3-2-1-1 vs 3-2-1-1-0
À medida que a regra evoluiu, surgiram variantes intermediárias. Algumas empresas implementam a 3-2-1-1 (adicionando imutabilidade mas sem testes de restore formais). Outras permanecem na 3-2-1 clássica. Para ajudar na decisão, a tabela abaixo compara as três variantes em oito dimensões críticas.
| Dimensão | 3-2-1 | 3-2-1-1 | 3-2-1-1-0 |
|---|---|---|---|
| Proteção contra falha de hardware | Alta | Alta | Alta |
| Proteção contra desastre físico | Alta (cópia offsite) | Alta (cópia offsite) | Alta (cópia offsite) |
| Proteção contra ransomware | Baixa (backups acessíveis) | Alta (cópia imutável) | Alta (cópia imutável) |
| Proteção contra insider threat | Baixa (admin pode deletar) | Alta (imutabilidade resiste) | Alta (imutabilidade resiste) |
| Garantia de restaurabilidade | Nenhuma (sem teste formal) | Nenhuma (sem teste formal) | Alta (Restore Drill periódico) |
| Conformidade regulatória (ISO/LGPD/BACEN) | Parcial (falta imutabilidade e teste) | Parcial (falta teste de restore) | Completa (todos os requisitos cobertos) |
| Custo mensal estimado (PME 500 GB) | R$ 200-400 | R$ 300-500 | R$ 400-600 |
| Tempo de recuperação em crise | Variável (depende se backups sobreviveram) | Previsível (cópia imutável disponível) | Garantido e documentado (RTO validado em drill) |
A coluna mais reveladora é a de custo. A diferença entre a 3-2-1 e a 3-2-1-1-0 completa é de apenas R$ 100-200/mês para uma PME típica. Esse investimento incremental — o preço de um almoço executivo por mês — compra imutabilidade contra ransomware e testes de restore que garantem que o backup realmente funciona. Na análise de custo-benefício, não existe razão racional para parar na 3-2-1.
Mas e a variante intermediária 3-2-1-1? Ela é significativamente melhor que a 3-2-1 clássica porque adiciona imutabilidade. Para empresas que já estão na 3-2-1-1, o próximo passo — adicionar o "0" de teste de restore — é quase zero custo se a ferramenta de backup oferece Restore Drill nativo. É literalmente ativar uma funcionalidade e agendar a frequência. Parar na 3-2-1-1 é como instalar um cofre blindado e nunca verificar se a combinação funciona.
Para entender melhor a proteção contra ransomware como um todo, a imutabilidade é apenas uma das camadas de defesa. Criptografia de dados em trânsito e em repouso, segmentação de rede, e autenticação multifator no console de backup são complementos essenciais.
Como a DataBackup Implementa Cada Dígito da Regra 3-2-1-1-0
A regra 3-2-1-1-0 não é apenas uma teoria bonita — ela precisa ser implementável na prática, com ferramentas reais, em empresas reais, com equipes de TI que já estão sobrecarregadas. A DataBackup foi arquitetada para cobrir todos os cinco dígitos em uma única plataforma, sem exigir múltiplos fornecedores, ferramentas separadas ou processos manuais complexos.
Dígito 3 — Três cópias automáticas
A DataBackup gerencia automaticamente três cópias dos dados: o original em produção, uma cópia local em storage do cliente (NAS, HD externo ou disco secundário) e uma cópia na nuvem em datacenter no Brasil. A replicação é automática e monitorada — se qualquer cópia falhar, um alerta é enviado imediatamente.
Dígito 2 — Dois tipos de mídia
A combinação de disco local (primeira cópia) e armazenamento em nuvem (segunda cópia) satisfaz automaticamente o requisito de dois tipos de mídia. Para empresas que desejam uma terceira mídia, a DataBackup também suporta backup para fita LTO e storage NAS como destinos adicionais.
Dígito 1 — Cópia offsite no Brasil
Todo backup na nuvem da DataBackup é armazenado em datacenters Tier III no Brasil, geograficamente distantes do local principal do cliente. Isso satisfaz simultaneamente o requisito de cópia offsite e as exigências de soberania de dados da LGPD. Para clientes com requisitos de disaster recovery mais rigorosos, oferecemos replicação para datacenter secundário em região diferente.
Dígito 1 — Imutabilidade nativa
A DataBackup oferece imutabilidade nativa com WORM em todos os planos. Uma vez gravado, o backup não pode ser alterado, deletado ou criptografado durante o período de retenção configurado — nem pelo administrador da conta, nem por suporte. O retention lock impede redução do período de retenção. Para clientes que necessitam de air gap adicional, suportamos backup para mídia removível desconectável e integração com cofres físicos.
Dígito 0 — Restore Drill automatizado
O Restore Drill da DataBackup é executado automaticamente conforme agendamento definido pelo cliente (semanal, quinzenal ou mensal). O processo restaura os dados em ambiente isolado (sandbox), valida checksums, inicia as aplicações e gera um relatório completo com tempo de restauração, integridade dos dados e status de cada componente restaurado. O relatório serve como evidência de compliance para auditorias de ISO 27001, LGPD e BACEN.
A regra 3-2-1-1-0 não é mais uma recomendação opcional — é o padrão mínimo de sobrevivência em um cenário onde o ransomware ataca deliberadamente os backups. A diferença entre empresas que se recuperam em horas e empresas que pagam resgate sem garantia está, na maioria dos casos, em dois dígitos: 1 cópia imutável e 0 erros verificados. Se a sua estratégia de backup ainda está na 3-2-1, o momento de evoluir é agora — antes que o próximo ataque prove que três cópias não bastam.
Para ver como a DataBackup implementa cada dígito da regra 3-2-1-1-0 na prática, conheça nossos planos ou fale com nossa equipe técnica.
Perguntas Frequentes
A regra 3-2-1-1-0 se aplica a dados pessoais (LGPD)?
Sim. O Art. 46 da LGPD exige que empresas adotem medidas de segurança para proteger dados pessoais contra acessos não autorizados e situações de destruição, perda ou alteração. A regra 3-2-1-1-0 cobre todas essas exigências: redundância contra perda (3-2-1), proteção contra destruição maliciosa (1 imutável), e capacidade comprovada de restauração (0 erros). Na prática, implementar a regra completa é a forma mais direta de demonstrar conformidade com o artigo 46.
Qual a diferença entre imutabilidade e air gap?
Imutabilidade significa que o dado não pode ser alterado ou deletado durante o período de retenção — mas o armazenamento permanece conectado à rede. Air gap significa que o armazenamento está fisicamente ou logicamente desconectado de qualquer rede. São conceitos complementares. Uma cópia pode ser imutável sem ser air-gapped (Object Lock na nuvem) ou air-gapped sem ser imutável (HD externo desconectado, mas que pode ser formatado manualmente). O ideal é combinar ambos. Leia mais no nosso guia de backup air-gapped.
Com que frequência devo fazer o Restore Drill?
Depende da criticidade dos dados. Para dados de produção essenciais (ERP, financeiro, banco de dados de clientes): mensal. Para dados secundários (arquivos de projetos antigos, logs): trimestral. Para ambientes regulados (BACEN, saúde, jurídico): o que a norma específica exigir, geralmente mensal ou quinzenal. A regra geral é: se você não pode se dar ao luxo de perder esses dados, teste o restore pelo menos uma vez por mês. Entenda mais sobre a importância dos testes de restore.
Backup imutável protege contra ransomware de dupla extorsão?
Parcialmente. O ransomware de dupla extorsão opera em dois vetores: criptografia (impedir acesso aos dados) e exfiltração (ameaçar divulgar dados roubados). O backup imutável protege completamente contra o primeiro vetor — seus dados podem ser restaurados sem pagar resgate. Contra o segundo vetor (exfiltração), a proteção vem de outras camadas: criptografia em trânsito e em repouso, segmentação de rede, DLP (Data Loss Prevention) e monitoramento de tráfego anômalo. A regra 3-2-1-1-0 garante a recuperação; a prevenção de exfiltração exige uma estratégia de segurança mais ampla.
Posso usar nuvem pública (AWS S3, Azure Blob) para o dígito imutável?
Sim, desde que a funcionalidade de imutabilidade seja ativada corretamente. O AWS S3 Object Lock (modo Compliance) e o Azure Immutable Blob Storage oferecem WORM nativo. Porém, a configuração incorreta é um risco real — se o Object Lock for ativado em modo "Governance" em vez de "Compliance", administradores com permissões elevadas podem desativar a imutabilidade. Para evitar erros de configuração, a DataBackup abstrai essa complexidade: a imutabilidade é ativada automaticamente no modo mais restritivo, sem necessidade de o cliente configurar políticas de Object Lock manualmente.
Veja Também
- Regra 3-2-1 de Backup: O Guia Completo — a base sobre a qual a 3-2-1-1-0 foi construída
- Backup Air-Gapped: A Última Linha de Defesa — mergulho profundo no air gap físico e lógico
- Teste de Restore: Por Que Seu Backup Pode Não Funcionar — tudo sobre o dígito "0"
- Ransomware no Brasil: Panorama Atualizado — o cenário de ameaças que motivou a evolução da regra
- Backup Criptografado para Empresas — camada complementar de proteção
- NAS vs Backup em Nuvem — como combinar as duas mídias na prática
Backup imutável, air gap lógico na nuvem e Restore Drill automatizado com zero erros. Todos os dígitos da regra cobertos em uma única plataforma, sem complexidade. Teste 14 dias grátis.
Testar 14 Dias Grátis Falar com Especialista