O que é a regra 3-2-1 de backup?

A regra 3-2-1 é uma estratégia clássica de proteção de dados que recomenda manter 3 cópias dos dados (1 original + 2 backups), em 2 tipos diferentes de mídia (ex: disco + fita ou disco + nuvem), com 1 cópia armazenada offsite (fora do local principal). Criada por Peter Krogh por volta de 2005, tornou-se o padrão da indústria por mais de 20 anos.

O que significa 3-2-1-1-0?

A regra 3-2-1-1-0 é uma evolução da 3-2-1 que adiciona dois requisitos: o primeiro '1' extra exige que pelo menos 1 cópia seja imutável (WORM — Write Once, Read Many), impossível de ser alterada ou deletada por ransomware. O '0' significa zero erros nos testes de restauração — ou seja, a empresa deve validar regularmente que os backups podem ser restaurados com sucesso.

Por que a regra 3-2-1 não protege mais contra ransomware?

O ransomware moderno evoluiu para atacar especificamente os backups antes de criptografar os dados de produção. Variantes como LockBit, BlackCat e Cl0p fazem reconhecimento da rede para identificar e destruir backups em NAS, HDs externos conectados e até repositórios de backup em nuvem mal configurados. A regra 3-2-1 original não exige que as cópias sejam imutáveis, o que deixa todas vulneráveis.

Qual a diferença entre backup offsite e backup imutável?

Backup offsite significa apenas que a cópia está em outro local geográfico — protege contra desastres físicos (incêndio, enchente), mas não contra ransomware que pode acessar o destino remoto via rede. Backup imutável (WORM) garante que os dados não podem ser alterados ou deletados durante o período de retenção, mesmo que um atacante obtenha credenciais administrativas. São proteções complementares.

Como implementar a regra 3-2-1-1-0 na prática?

Para implementar: mantenha 3 cópias em 2 mídias diferentes; armazene 1 cópia offsite em nuvem; garanta que 1 cópia use backup imutável com retenção mínima de 30 dias; e realize testes de restauração mensais documentados para manter o '0' erros. A DataBackup oferece todos esses recursos integrados: backup em nuvem com imutabilidade WORM, data center no Brasil, criptografia AES-256 e validação automática de integridade.

Quem propôs a regra 3-2-1-1-0?

A evolução para 3-2-1-1-0 surgiu da convergência de recomendações de múltiplos especialistas e organizações. A Veeam popularizou o conceito no contexto de proteção contra ransomware. O NIST (National Institute of Standards and Technology) e a CISA (Cybersecurity and Infrastructure Security Agency) incorporaram requisitos similares de imutabilidade e verificação em suas diretrizes. Não há um único autor, mas sim um consenso crescente da indústria.

A Regra 3-2-1 Está Obsoleta? Por Que Especialistas Propõem 3-2-1-1-0

Por mais de 20 anos, a regra 3-2-1 foi o pilar da proteção de dados. Mas com ransomware criptografando backups conectados e ataques de dupla extorsão, especialistas do NIST e da Veeam propõem uma evolução: 3-2-1-1-0. Entenda o que mudou e por que sua estratégia de backup pode estar desatualizada.

Pontos-Chave

A regra 3-2-1, criada em 2005, foi projetada contra falhas de hardware e desastres físicos — não contra ransomware que ataca backups pela rede.

93% dos ataques de ransomware miram repositórios de backup antes de criptografar os dados de produção (Veeam Ransomware Trends Report 2024).

A evolução 3-2-1-1-0 adiciona dois requisitos críticos: 1 cópia imutável (WORM) e 0 erros nos testes de restauração.

Organizações como NIST, CISA e Veeam já incorporaram esses princípios em suas diretrizes oficiais.

Empresas que ainda dependem exclusivamente da regra 3-2-1 estão expostas a dupla extorsão, exfiltração de dados e destruição total de backups conectados.

A Regra 3-2-1: Uma Herança de 20 Anos

Em 2005, o fotógrafo e especialista em gestão de ativos digitais Peter Krogh publicou The DAM Book: Digital Asset Management for Photographers, onde formalizou uma ideia que viria a se tornar o padrão ouro da proteção de dados: a regra 3-2-1. O conceito era simples, elegante e fácil de comunicar: mantenha 3 cópias dos seus dados, em 2 tipos diferentes de mídia, com 1 cópia offsite.

O contexto de 2005 explica por que essa fórmula funcionou tão bem. Naquela época, a principal ameaça aos dados corporativos era a falha de hardware. Discos rígidos queimavam. Fitas magnéticas se degradavam. Salas de servidores sofriam com incêndios e inundações. A regra 3-2-1 endereçava cada um desses riscos de forma direta: redundância contra falhas mecânicas, diversidade de mídia contra defeitos sistêmicos, e separação geográfica contra desastres localizados.

Durante quase duas décadas, a regra foi adotada universalmente. O CISA (Cybersecurity and Infrastructure Security Agency) a recomendou em seus guias de segurança. O CERT.br a incluiu em suas cartilhas para empresas brasileiras. Praticamente todo fornecedor de soluções de backup corporativo a citava como referência. E funcionava — porque as ameaças que ela combatia eram, em essência, físicas.

Mas o cenário de ameaças mudou radicalmente. E a regra 3-2-1, por mais importante que tenha sido, não foi desenhada para o que veio depois.

Os Três Pilares Originais

Para entender por que a regra precisa evoluir, vale revisitar o que cada número representa:

3 — Três cópias dos dados: os dados de produção (originais) mais duas cópias de backup. A lógica é estatística: se a probabilidade de falha de um dispositivo é de 1 em 10.000 por ano, a probabilidade de três dispositivos independentes falharem ao mesmo tempo é de 1 em 1 trilhão. Contra falhas aleatórias, a segurança é praticamente absoluta.
2 — Dois tipos de mídia: armazenar tudo no mesmo tipo de dispositivo cria vulnerabilidade a falhas sistemáticas. Discos de um mesmo lote podem ter defeitos de fabricação idênticos. Combinações típicas incluem disco rígido + nuvem, SSD + fita LTO, ou NAS + Object Storage.
1 — Uma cópia offsite: pelo menos uma cópia em local geograficamente separado. Protege contra eventos que destroem o site inteiro — incêndio, enchente, roubo de equipamentos, desastres naturais.

Para uma análise detalhada de cada componente com exemplos práticos de implementação, veja nosso guia completo sobre a regra 3-2-1.

O Que Mudou: Por Que 3-2-1 Já Não Basta

A regra 3-2-1 continua sendo uma base sólida. O problema é que ela foi projetada para um mundo onde as ameaças eram físicas e aleatórias — falhas de disco, incêndios, erros humanos. O cenário atual é dominado por ameaças digitais e intencionais, com atacantes sofisticados que estudam a infraestrutura de backup da vítima antes de agir.

Três mudanças fundamentais no cenário de ameaças expuseram as limitações da regra clássica.

Ransomware Que Caça Backups

O ponto de virada aconteceu entre 2019 e 2022, quando grupos como Maze, REvil, Conti e, mais recentemente, LockBit e BlackCat (ALPHV) passaram a adotar uma tática devastadora: antes de criptografar os servidores de produção, destruir sistematicamente todos os backups acessíveis pela rede.

O processo típico envolve dias ou semanas de reconhecimento silencioso. O atacante compromete credenciais, mapeia servidores de backup, identifica snapshots e réplicas, descobre agendamentos e políticas de retenção — e só então detona a carga maliciosa, criptografando tudo simultaneamente. Quando a empresa percebe o ataque, já não há backup viável para restaurar.

Os números confirmam a gravidade. Segundo o Veeam Ransomware Trends Report 2024, 93% dos ataques de ransomware tentam comprometer os repositórios de backup. E o Sophos State of Ransomware complementa: em 57% dos casos, os criminosos conseguem comprometer parcial ou totalmente os backups da vítima. Uma empresa pode seguir a regra 3-2-1 à risca — três cópias, duas mídias, uma offsite — e ainda assim perder tudo.

Dupla Extorsão e Exfiltração

O ransomware moderno não se limita a criptografar dados. Desde 2020, a tática dominante é a dupla extorsão (double extortion): o atacante primeiro rouba os dados (exfiltração) e depois criptografa os sistemas. O resgate é cobrado por dois motivos — para descriptografar os dados e para não publicá-los na internet.

Grupos como Cl0p foram além, adotando a tripla extorsão: além de criptografar e ameaçar publicar, contactam clientes e parceiros da vítima diretamente para pressionar o pagamento. Para uma análise detalhada de como empresas brasileiras estão sendo afetadas, veja nosso artigo sobre estatísticas de ransomware no Brasil. Segundo o relatório IBM Cost of a Data Breach 2024, o custo médio global de uma violação de dados atingiu US$ 4,88 milhões — o valor mais alto já registrado.

A regra 3-2-1 foi construída para garantir a disponibilidade dos dados. Não aborda confidencialidade nem integridade verificável. Contra ataques de dupla extorsão, ter três cópias restauráveis resolve apenas metade do problema.

Backups Conectados São Backups Vulneráveis

Este é talvez o ponto mais crítico. A regra 3-2-1 original não faz distinção entre cópias conectadas e desconectadas da rede. Um HD externo USB permanentemente plugado no servidor? Conta como cópia. Um NAS acessível via SMB na mesma rede? Conta como cópia. Um repositório de backup em nuvem com credenciais salvas no servidor de produção? Conta como cópia offsite.

Mas do ponto de vista do ransomware, todas essas cópias são acessíveis. Um atacante com credenciais de Domain Admin — cenário que ocorre em 80% dos ataques avançados, segundo a Mandiant — pode deletar snapshots, desmontar volumes, formatar NAS e até acessar consoles de backup em nuvem. A separação física (offsite) não garante separação lógica (imutabilidade).

É por isso que os dois dígitos adicionais da regra 3-2-1-1-0 são tão importantes: eles endereçam exatamente essa lacuna.

A Evolução: 3-2-1-1-0 Explicada

A regra 3-2-1-1-0 não substitui a 3-2-1 — ela a estende. Os três primeiros dígitos permanecem idênticos. O que muda são dois requisitos adicionais que endereçam diretamente as ameaças modernas que a regra original não previa:

Dígito	Significado	Ameaça que endereça
3	Três cópias dos dados (original + 2 backups)	Falha de hardware individual
2	Dois tipos de mídia diferentes	Falha sistêmica de dispositivos
1	Uma cópia offsite	Desastre físico no site principal
1 (novo)	Uma cópia imutável ou air-gapped	Ransomware com credenciais de admin
0 (novo)	Zero erros nos testes de restauração	Backup corrompido ou inutilizável

A evolução foi impulsionada pela convergência de recomendações de múltiplas organizações. A Veeam popularizou a nomenclatura 3-2-1-1-0 em 2021. O NIST SP 800-209 (Security Guidelines for Storage Infrastructure) incorporou requisitos equivalentes de imutabilidade. O CISA passou a recomendar backups "offline e imutáveis" em seu guia Stop Ransomware. Não há um único autor — há um consenso crescente da indústria.

O "1" Extra: Backup Imutável (WORM)

O quarto dígito exige que pelo menos uma cópia seja imutável — ou seja, que não possa ser alterada, deletada ou criptografada durante um período definido de retenção, mesmo por um administrador com acesso privilegiado. A tecnologia mais comum para implementar isso é o WORM (Write Once, Read Many).

Na prática, a imutabilidade funciona assim: quando um backup é gravado com proteção WORM, ele recebe um lock temporal. Durante o período de retenção configurado (30 dias, 90 dias, 1 ano — depende da política da empresa), nenhuma operação pode modificar ou excluir aqueles dados. Nem o administrador de backup, nem um script automatizado, nem um atacante com credenciais de root.

Existem três formas principais de implementar:

Backup imutável em nuvem: provedores como a DataBackup oferecem imutabilidade nativa no repositório de backup em nuvem, com locks WORM configuráveis por política de retenção.
Fita LTO offsite: fitas removidas fisicamente da biblioteca e armazenadas em cofre externo funcionam como air gap natural. A mídia é somente leitura uma vez fora do drive.
Air gap lógico: repositórios com credenciais completamente separadas do domínio corporativo, sem acesso de rede direto, e autenticação multifator independente.

Para entender a fundo como funciona o backup imutável e como ele protege contra ransomware, consulte nosso artigo dedicado sobre backup imutável WORM.

O "0": Zero Erros de Restauração

O quinto dígito é, paradoxalmente, o mais importante e o mais negligenciado. De que adianta ter cinco cópias, três mídias, imutabilidade e air gap se, na hora da crise, o restore falha?

Backups podem falhar por dezenas de motivos invisíveis durante a operação normal: corrupção silenciosa de blocos (bit rot), agentes de backup desatualizados, incompatibilidade de versão do software de restore, senhas de criptografia perdidas ou não documentadas, snapshots incompletos que parecem íntegros mas faltam arquivos críticos.

O "0" exige verificação ativa e periódica. Não basta o job de backup retornar "sucesso" no log. É necessário:

Restaurar dados em ambiente de teste isolado (Restore Drill)
Validar checksums e integridade dos blocos restaurados
Confirmar que aplicações e serviços iniciam corretamente com os dados restaurados
Documentar o tempo de restauração real (comparar com o RTO contratual)
Repetir o processo em frequência regular — idealmente mensal

Aproximadamente 37% das empresas brasileiras nunca testaram uma restauração completa dos seus backups. Muitas descobrem que o backup é inutilizável exatamente no momento em que mais precisam dele. Para saber como estruturar um processo eficaz de validação, veja nosso guia sobre testes de restore.

Comparativo: 3-2-1 vs 3-2-1-1-0

A tabela abaixo resume as diferenças práticas entre as duas abordagens. O objetivo não é desmerecer a regra original — que continua sendo a base — mas evidenciar as lacunas que a versão moderna preenche.

Critério	Regra 3-2-1	Regra 3-2-1-1-0
Proteção contra falha de hardware	Sim	Sim
Proteção contra desastre físico	Sim (cópia offsite)	Sim (cópia offsite)
Proteção contra ransomware	Parcial — backups conectados são vulneráveis	Sim — cópia imutável resiste mesmo com credenciais comprometidas
Proteção contra exclusão acidental por admin	Não	Sim — lock WORM impede exclusão durante retenção
Garantia de restaurabilidade	Não exigida	Exigida — zero erros em testes periódicos
Proteção contra insider malicioso	Não	Sim — imutabilidade independe de credenciais
Conformidade regulatória (LGPD, ISO 27001)	Base mínima	Alinhada com NIST CSF 2.0 e ISO 27001:2022
Validação de integridade	Não especificada	Obrigatória — checksums e restore drills

Note que a regra 3-2-1-1-0 não é uma alternativa à 3-2-1 — é uma extensão. Toda implementação de 3-2-1-1-0 automaticamente satisfaz a 3-2-1. O inverso, porém, não é verdade.

Outras Variações: 4-3-2, 3-2-2, 3-2-1-1-0-1

Além da 3-2-1-1-0, existem outras variações propostas por diferentes fornecedores e analistas. Embora nenhuma tenha alcançado o mesmo nível de adoção, vale conhecê-las:

4-3-2: proposta por algumas organizações governamentais. Recomenda 4 cópias, 3 locais diferentes e 2 cópias offsite. Mais conservadora que a 3-2-1-1-0, mas não aborda explicitamente imutabilidade ou verificação de integridade.
3-2-2: variante que exige 2 cópias offsite em vez de 1. Oferece maior proteção geográfica, mas igualmente não trata da questão do ransomware que compromete cópias conectadas.
3-2-1-1-0-1: extensão proposta por analistas de segurança que adiciona mais um "1" ao final, representando 1 cópia totalmente desconectada (air gap físico verdadeiro, como fita LTO em cofre). Diferencia-se da imutabilidade lógica (WORM em nuvem) ao exigir desconexão física absoluta.

Para a maioria das empresas brasileiras, a 3-2-1-1-0 oferece o melhor equilíbrio entre proteção e viabilidade operacional. As variações mais agressivas são indicadas para setores com requisitos regulatórios extremos (financeiro, defesa, saúde) ou para dados classificados de alta criticidade.

Como Implementar 3-2-1-1-0 na Prática

Migrar de uma estratégia 3-2-1 para 3-2-1-1-0 não exige substituir toda a infraestrutura existente. Na maioria dos casos, trata-se de adicionar duas camadas à estrutura atual: imutabilidade e verificação. Veja o passo a passo.

Passo 1: Auditoria do Estado Atual

Antes de investir, é fundamental entender onde sua estratégia de backup está hoje. Responda a estas perguntas:

Quantas cópias dos dados existem de fato? Conte apenas cópias independentes. Duas partições no mesmo disco são uma cópia, não duas. Um RAID não é backup.
Quantos tipos de mídia estão em uso? Disco local, nuvem, fita, Object Storage — cada tipo diferente conta.
Alguma cópia está offsite? Backup em nuvem conta. Réplica em filial de outra cidade conta. HD externo na gaveta do mesmo escritório não conta.
Alguma cópia é imutável? Se todas as cópias podem ser deletadas por um administrador com acesso de rede, nenhuma é imutável.
Quando foi o último teste de restore completo? Se a resposta é "nunca" ou "não sei", você tem uma lacuna crítica.

Para estruturar essa avaliação de forma organizada, considere usar nosso guia de procedimentos de backup como checklist.

Passo 2: Adicionar Imutabilidade

Existem três caminhos para adicionar o quarto dígito, dependendo do orçamento e da infraestrutura existente:

Backup em nuvem com WORM nativo: a opção mais prática para a maioria das PMEs. A DataBackup oferece imutabilidade integrada ao repositório de backup em nuvem, com políticas de retenção configuráveis e criptografia AES-256 em trânsito e em repouso. Não requer hardware adicional.
Appliance de backup com imutabilidade local: storages com firmware que implementa WORM em nível de bloco. Mais caro, mas oferece velocidade de restore local com proteção contra ransomware.
Fita LTO com rotação offsite: fitas removidas do ambiente e armazenadas em cofre externo. Custo de mídia baixo, mas operacionalmente mais complexo (requer rotação manual e logística).

A configuração mínima recomendada: defina retenção imutável de pelo menos 30 dias. Isso garante uma janela de recuperação mesmo que o ransomware permaneça latente na rede por semanas antes de detonar — uma tática comum chamada dwell time, que segundo a Mandiant tem duração média de 10 dias em ataques de ransomware.

Passo 3: Automatizar Testes de Restore

O "0" da regra exige disciplina contínua. Testes de restore manuais tendem a ser abandonados depois de poucos meses. A chave é automatização:

Frequência mínima: testes mensais para dados críticos, trimestrais para dados de menor prioridade. Documente cada teste com data, hora, dados restaurados, tempo total e resultado.
Escopo do teste: não basta restaurar um arquivo aleatório. Restaure bancos de dados completos, verifique consistência, inicie aplicações sobre os dados restaurados e confirme funcionalidade.
Métricas a monitorar: tempo real de restauração (comparar com RTO definido), taxa de sucesso (deve ser 100%), volume restaurado versus esperado.
Alertas de falha: configure notificações automáticas caso qualquer teste falhe. A falha de um restore drill deve ser tratada com a mesma urgência de uma falha de backup.

A DataBackup oferece validação automática de integridade dos backups com relatórios periódicos. Para empresas que precisam de um processo completo de disaster recovery, é possível combinar testes de restore com simulações de failover.

O Custo de Não Atualizar Sua Estratégia

O argumento mais comum contra a atualização para 3-2-1-1-0 é o custo. Mas quanto custa não atualizar? A tabela abaixo compara o investimento preventivo com o custo de um incidente real.

Cenário	Custo Estimado	Fonte
Implementar 3-2-1-1-0 (PME, 500 GB)	R$ 400–600/mês	Estimativa de mercado (NAS + nuvem imutável)
Custo médio de violação de dados no Brasil	R$ 6,75 milhões	IBM Cost of a Data Breach 2024
Custo médio global de violação de dados	US$ 4,88 milhões	IBM Cost of a Data Breach 2024
Resgate médio pago por empresas (global)	US$ 1,54 milhão	Sophos State of Ransomware 2024
Downtime médio após ransomware	24 dias	Coveware Quarterly Reports
Tempo médio de recuperação sem backup imutável	Semanas a meses	Sophos State of Ransomware 2024

A matemática é clara: o investimento mensal em uma estratégia 3-2-1-1-0 completa representa menos de 0,1% do custo médio de um único incidente de ransomware. Empresas que investem em proteção contra ransomware com backup imutável reduzem o custo médio de recuperação em até 74%, segundo o Sophos State of Ransomware.

Além do custo financeiro direto, há impactos difíceis de quantificar: perda de confiança de clientes, danos à reputação, multas regulatórias sob a LGPD, e o desgaste operacional de reconstruir sistemas do zero após um ataque. Para empresas que dependem de dados para operar — e qual empresa não depende? — o backup imutável deixou de ser um luxo para se tornar um requisito operacional.

Se sua empresa ainda não avaliou a migração para uma estratégia 3-2-1-1-0, a DataBackup oferece demonstrações gratuitas da plataforma com imutabilidade WORM, criptografia AES-256 e data center no Brasil.

Conclusão: A Regra Evoluiu — Sua Empresa Também Precisa Evoluir

A regra 3-2-1 não está "errada". Ela continua sendo o alicerce de qualquer estratégia séria de proteção de dados. Mas chamar de "suficiente" em 2026 é ignorar duas décadas de evolução no cenário de ameaças. Peter Krogh resolveu brilhantemente o problema de 2005. O problema de hoje — ransomware que caça backups, dupla extorsão, insiders maliciosos — exige dois dígitos a mais.

A regra 3-2-1-1-0 não é uma revolução conceitual. É uma atualização necessária que adiciona imutabilidade e verificação a uma fundação que já era sólida. E a boa notícia é que a migração não exige jogar fora o que já funciona — exige adicionar as duas camadas que faltam.

Se sua estratégia atual depende exclusivamente de backups que podem ser deletados por qualquer administrador com acesso de rede, ou se você nunca testou uma restauração completa em ambiente isolado, a hora de atualizar é agora — antes que um incidente force essa atualização por você.

Para entender como implementar cada componente da regra 3-2-1-1-0 na prática, com estimativas de custo e cronograma, consulte nosso guia detalhado sobre 3-2-1-1-0. E se quiser avaliar como a DataBackup pode cobrir todos os dígitos da regra em uma única plataforma, solicite uma demonstração ou conheça nossos planos.