Quando uma empresa perde acesso ao ERP, ao servidor de ficheiros ou às máquinas virtuais críticas, a pergunta deixa de ser teórica. Quantos backups deve uma empresa ter? A resposta curta é simples: mais do que um. A resposta certa, para contexto empresarial, depende do impacto da paragem, do volume de dados, dos requisitos legais e do tempo aceitável para recuperar operações.
A prática mostra que confiar numa única cópia de segurança é um erro recorrente. Um backup pode falhar, ficar corrompido, ser apagado por engano ou ser comprometido no mesmo incidente que afetou o ambiente principal. Por isso, o tema não se resolve com um número isolado. Resolve-se com uma política de proteção desenhada para risco real.
Quantos backups deve uma empresa ter na prática?
Para a maioria das organizações, a referência mais segura continua a ser a regra 3-2-1. Isto significa manter 3 cópias dos dados, em 2 tipos de suporte diferentes, com 1 cópia fora do ambiente principal. Em muitos casos, este é o ponto de partida mais sensato porque reduz dependências e evita falhas de origem comum.
Na prática, isto traduz-se em dados de produção, um backup local para recuperação rápida e uma cópia adicional isolada, externa ou imutável, para cenários mais graves. Não é uma fórmula rígida, mas funciona bem para PME, entidades com operações distribuídas e organizações que não podem ficar dependentes de um único armazenamento ou de um único local físico.
Para empresas com maior exposição a ransomware, requisitos de auditoria ou operação contínua, a regra 3-2-1 pode já não ser suficiente por si só. Nesses casos, faz sentido evoluir para uma abordagem 3-2-1-1-0: três cópias, dois suportes, uma cópia offsite, uma cópia offline ou imutável e zero erros verificados após testes de backup. O último ponto é decisivo. Backup sem validação não é garantia de recuperação.
O número certo depende mais do risco do que da capacidade
É comum discutir quantos backups guardar com base apenas em espaço de armazenamento. Esse critério conta, mas não deve liderar a decisão. O ponto central é perceber o custo da indisponibilidade. Se uma empresa perder um dia de trabalho, consegue operar? Se perder uma semana de histórico, consegue faturar, responder a clientes ou cumprir obrigações legais?
Um escritório pequeno com baixa alteração de dados pode operar bem com cópias diárias, retenção mensal e uma cópia externa. Já uma empresa com bases de dados transacionais, equipas remotas, aplicações de gestão e workloads virtualizados precisa frequentemente de backups mais frequentes, retenção mais granular e recuperação testada. Não porque tenha mais ficheiros, mas porque o impacto de perder dados ou tempo é muito superior.
Aqui entram dois conceitos que os decisores de TI devem definir com clareza: RPO e RTO. O RPO indica quanto dado a empresa admite perder. O RTO define quanto tempo pode demorar a recuperação. Se o RPO for de 24 horas, um backup diário pode bastar. Se for de 15 minutos, já é necessário outro desenho, com replicação, snapshots frequentes ou políticas de cópia contínua.
Nem todos os backups servem o mesmo objetivo
Uma política de backup madura combina várias camadas. O backup local responde à necessidade de recuperação rápida de um ficheiro apagado, de uma pasta danificada ou de uma máquina virtual com falha. É a opção mais eficiente quando o objetivo é voltar a operar depressa.
A cópia offsite ou na cloud protege contra incêndio, roubo, falha do local principal e incidentes alargados. Já a cópia imutável protege contra alteração ou eliminação maliciosa, algo cada vez mais relevante em cenários de ransomware. São funções diferentes. Tratar tudo como se fosse o mesmo backup cria uma falsa sensação de segurança.
Também importa distinguir backup de alta disponibilidade. Ter redundância num servidor, discos em RAID ou replicação entre equipamentos melhora continuidade, mas não substitui backups. Se um ficheiro for apagado ou encriptado, a redundância replica o problema. O backup existe para recuperar versões íntegras, não apenas para manter sistemas ligados.
Frequência e retenção: quantas cópias fazem sentido
A pergunta quantos backups deve uma empresa ter também implica perceber quantas versões deve guardar. Uma única cópia recente pode não servir se a corrupção de dados só for detetada dias depois. Por isso, além do número de localizações, é preciso definir retenção.
Para muitas PME, um modelo equilibrado passa por backups diários com retenção de 30 dias, cópias semanais por 2 a 3 meses e cópias mensais durante 6 a 12 meses. Em sectores regulados, como saúde, jurídico ou administração pública, os períodos podem ser maiores e sujeitos a requisitos próprios. O importante é alinhar retenção com necessidade operacional e enquadramento legal.
Mais retenção significa mais proteção histórica, mas também mais custo, maior consumo de armazenamento e maior complexidade de gestão. Guardar tudo para sempre raramente é a melhor resposta. O objetivo é conseguir recuperar o que é necessário, no prazo necessário, sem transformar o backup num repositório descontrolado.
Onde guardar os backups
A localização dos backups influencia diretamente a capacidade de resposta. Manter tudo no mesmo servidor, no mesmo rack ou no mesmo edifício é cómodo, mas arriscado. Uma falha elétrica grave, um erro administrativo ou um ataque com movimento lateral pode comprometer produção e backups ao mesmo tempo.
Por isso, a distribuição das cópias é crítica. Um armazenamento local dedicado pode acelerar restauros. Uma segunda localização, física ou na cloud, reduz risco estrutural. Uma camada imutável ou offline acrescenta resiliência contra alteração indevida. A decisão entre NAS, appliance, cloud object storage ou repositórios especializados depende do volume, da largura de banda, do orçamento e dos tempos de recuperação exigidos.
Neste ponto, a escolha tecnológica deve servir a estratégia e não o contrário. Plataformas de proteção de dados empresariais permitem combinar cópia local, replicação, retenção avançada e imutabilidade numa arquitetura mais controlada. Para organizações que procuram continuidade operacional com menor margem para erro, esta abordagem tende a ser mais consistente do que soluções dispersas.
Sinais de que a empresa tem poucos backups
Se existe apenas uma cópia agendada e ninguém testa o restauro, a empresa está exposta. O mesmo se aplica quando os backups ficam acessíveis com as mesmas credenciais administrativas do ambiente de produção, quando não existe cópia fora do local ou quando a retenção é tão curta que não cobre deteção tardia de incidentes.
Outro sinal frequente é a ausência de priorização. Nem todos os sistemas precisam do mesmo nível de proteção, mas os críticos precisam de um plano claro. Servidores, máquinas virtuais, Microsoft 365, bases de dados, postos de trabalho específicos e ficheiros partilhados podem exigir políticas diferentes. Tratar tudo por igual nem sempre simplifica. Por vezes, fragiliza.
Como definir a política certa para a sua organização
O caminho mais eficaz começa por mapear dados e aplicações críticas. Depois, é necessário medir impacto de paragem, estimar perda aceitável e identificar dependências técnicas. Só então faz sentido decidir quantas cópias manter, com que frequência, onde as guardar e durante quanto tempo.
Uma empresa com 20 colaboradores pode precisar de mais camadas de proteção do que uma com 200, se depender de um sistema central sem alternativa manual. Da mesma forma, uma organização distribuída por várias localizações pode beneficiar de políticas híbridas, com recuperação local e cópia externa centralizada. Não há resposta séria sem contexto.
É por isso que o desenho de backup deve ser tratado como parte da continuidade de negócio, e não apenas como tarefa de infraestrutura. Quando bem definido, reduz risco financeiro, encurta tempos de paragem e melhora previsibilidade operacional. Quando é improvisado, falha precisamente no momento em que faz mais falta.
Para muitas empresas portuguesas, a decisão mais prudente passa por garantir pelo menos três cópias, separar local e tecnologia, acrescentar uma camada externa e validar regularmente a recuperação. A partir daí, ajusta-se frequência, retenção e imutabilidade ao perfil de risco. A ITPOINT trabalha precisamente nesta lógica: transformar requisitos técnicos em soluções empresariais coerentes, com foco em proteção de dados e continuidade operacional.
A melhor política de backup não é a que parece mais completa no papel. É a que a sua empresa consegue executar, monitorizar e testar de forma consistente, sem descobrir fragilidades no dia em que parar deixa de ser uma hipótese e passa a ser um problema real.