A regra 3-2-1 diz que você deve manter 3 cópias dos seus dados, em 2 tipos de mídia diferentes, com pelo menos 1 cópia fora do local — de preferência isolada ou offline. É a estratégia mais simples e testada para sobreviver a falhas de hardware, erro humano e, principalmente, ransomware: se o ataque criptografar tudo o que está conectado, ainda restará uma cópia intacta para restaurar. E backup só vale se a restauração for testada — backup nunca testado é apenas uma esperança.
Nenhuma defesa é perfeita. Firewalls falham, senhas vazam, alguém clica no link errado. Por isso, o backup não é um detalhe operacional — é o seu seguro de última linha. Quando um ransomware criptografa os arquivos e exige resgate, a pergunta que decide o destino da empresa é uma só: existe uma cópia limpa dos dados que o ataque não conseguiu alcançar? A regra 3-2-1 é a forma mais consagrada de garantir que a resposta seja sim.
O que significa cada número
A regra cabe em três dígitos, e cada um resolve um tipo de risco:
- 3 cópias: o dado original mais duas cópias de backup. Redundância elimina o ponto único de falha — se uma cópia corromper, ainda sobram outras.
- 2 mídias diferentes: guarde as cópias em tecnologias distintas (por exemplo, disco local e nuvem, ou disco e fita). Se um tipo de mídia falhar em massa, o outro permanece.
- 1 fora do local: ao menos uma cópia longe fisicamente e, idealmente, isolada ou offline. É ela que sobrevive a incêndio, roubo — e a um ransomware que se espalha pela rede.
O ponto mais importante não é o número em si, e sim o princípio: diversifique onde e como você guarda, para que nenhum evento único apague todas as cópias de uma vez.
Por que o backup isolado é seu seguro contra ransomware
O ransomware moderno não se contenta em criptografar a máquina infectada. Ele procura ativamente compartilhamentos de rede, discos conectados e backups acessíveis para criptografá-los também — justamente porque sabe que um backup é o que impede a vítima de pagar o resgate.
É aí que o "1 fora do local" muda de figura. Uma cópia que fica offline ou logicamente isolada — desconectada da rede, imutável, ou em uma conta separada sem credenciais compartilhadas — não pode ser criptografada pelo ataque, porque ele simplesmente não a enxerga. Enquanto o resto arde, essa cópia continua limpa. É a diferença entre pagar criminosos e restaurar os seus próprios dados.
Erros comuns que anulam o backup
Ter backup não é o mesmo que estar protegido. Estes são os erros que transformam a rotina em falsa sensação de segurança:
- Backup nunca testado: o mais perigoso de todos. Muita gente descobre que o backup estava corrompido, incompleto ou ilegível só na hora de restaurar — quando já é tarde. Backup que nunca foi restaurado não é um backup, é uma aposta.
- Backup online e criptografável: uma cópia que fica permanentemente conectada à rede, na mesma conta e com as mesmas credenciais do ambiente, é presa fácil. O ransomware criptografa junto com o resto. Sem isolamento, o "1 fora do local" não cumpre seu papel.
- Sem versionamento: se o backup só guarda o estado mais recente, ele pode sobrescrever os dados bons pelos dados já criptografados antes de alguém perceber o ataque.
- Monitoramento ausente: backups que falham em silêncio por semanas são comuns. Sem alerta de falha, você acha que está coberto — e não está.
Como testar a restauração
O teste de restauração é o que separa um backup real de um teatro de backup. Faça dele uma rotina:
- Restaure de verdade, não só verifique: abra o backup em um ambiente separado e confirme que os arquivos abrem, os bancos sobem e os sistemas funcionam de fato.
- Meça o tempo de recuperação: saber quanto tempo leva para voltar ao ar é tão importante quanto ter a cópia. Descubra isso em um teste, não em uma crise.
- Teste a cópia isolada: não basta testar o backup fácil e conectado. Valide justamente a cópia offline — é ela que você vai usar no pior dia.
- Torne periódico: um teste único envelhece. Repita em intervalos regulares e sempre que mudar sistemas ou volumes de dados.
Onde o Argos entra
O Argos é o SOC gerenciado 24h da NoBug: uma equipe humana somada à IA vigia seu ambiente sem parar e, quando algo dá errado, entra em ação. Se um ransomware conseguir passar, a resposta a incidentes ajuda a conter o ataque, entender o alcance e coordenar a restauração a partir das cópias limpas. Todo o monitoramento roda com os dados no Brasil e sempre há alguém acompanhando — inclusive fora do horário comercial. Se você está montando as defesas do zero, comece pelos primeiros passos de segurança da empresa.
- 3-2-1 é simples: 3 cópias, em 2 mídias diferentes, com 1 fora do local e isolada.
- A cópia offline é o que sobrevive ao ransomware — ele não consegue criptografar o que não enxerga.
- Backup nunca testado e backup sempre online são os dois erros que mais custam caro.
- Teste a restauração de verdade e com periodicidade: descubra o tempo de recuperação antes da crise.