Como Criar uma Política de Backup para Sua Empresa

Pergunte a qualquer empresa se faz backup. A resposta quase sempre é “sim”. Agora pergunte: o backup já foi testado? Existe política documentada? Qual é o RPO do sistema financeiro?

O silêncio que segue revela o problema: a maioria das empresas faz backup por instinto, não por política. E backup por instinto não sobrevive ao primeiro incidente sério.

Por Que Documentar uma Política de Backup

Uma política de backup não é burocracia. É a diferença entre restaurar em 2 horas ou em 2 semanas. Ela responde 5 perguntas que, sem documentação, dependem da memória de uma pessoa:

1. O que está sendo protegido?
2. Com que frequência os backups acontecem?
3. Por quanto tempo os backups são retidos?
4. Onde estão armazenados?
5. Quem é responsável e quem valida?

Os 7 Elementos de uma Política de Backup

1. Inventário e Classificação de Dados

Antes de definir como proteger, defina o quê. Classifique os dados em pelo menos 4 níveis:

• Público — Pode ser divulgado sem impacto. Exemplos: site institucional, materiais de marketing.
• Interno — Uso interno, sem exposição. Exemplos: procedimentos operacionais, comunicações internas.
• Confidencial — Impacto financeiro ou competitivo se vazado. Exemplos: dados financeiros, contratos, código-fonte.
• Restrito — Impacto severo, inclui dados pessoais sensíveis. Exemplos: dados de saúde, informações bancárias de clientes.

A classificação define a frequência, retenção e controles de segurança do backup.

2. RTO e RPO por Sistema

Cada sistema tem uma tolerância diferente a perda de dados e tempo de indisponibilidade.

Sistema	RPO	RTO	Justificativa
ERP/Financeiro	1 hora	4 horas	Transações financeiras não podem ser perdidas
Email	4 horas	8 horas	Comunicação importante mas não transacional
File Server	4 horas	8 horas	Documentos com versionamento
Site/E-commerce	15 min	1 hora	Impacto direto em receita
Banco de Dados	1 hora	2 horas	Dados transacionais críticos

Defina RTO/RPO em conjunto com o negócio, não apenas com TI. O diretor financeiro tem uma visão diferente do analista de suporte sobre o que é “aceitável”.

3. Estratégia 3-2-1

A regra 3-2-1 é o padrão mínimo aceito pelo mercado:

• 3 cópias dos dados (original + 2 backups)
• 2 tipos de mídia diferentes (disco local + nuvem, por exemplo)
• 1 cópia offsite (fora do local físico principal)

Para ambientes com risco de ransomware, considere a evolução 3-2-1-1-0: 3 cópias, 2 mídias, 1 offsite, 1 imutável (não pode ser apagada/modificada), 0 erros no teste de restore.

4. Tipos e Frequência de Backup

Três tipos principais, geralmente combinados:

Completo — Cópia integral de todos os dados. Mais lento e pesado, mas o restore é direto. Frequência: semanal ou mensal.

Incremental — Apenas o que mudou desde o último backup (de qualquer tipo). Rápido no backup, mais lento no restore (precisa da cadeia completa). Frequência: diário ou a cada 4 horas.

Diferencial — Tudo que mudou desde o último backup completo. Meio-termo entre velocidade e simplicidade de restore. Frequência: diário.

Uma estratégia comum é o esquema GFS (Grandfather-Father-Son): incrementais diários, completo semanal, e uma cópia mensal retida por mais tempo.

5. Retenção e Ciclo de Vida

Quanto tempo manter cada backup? Depende de três fatores:

• Requisitos legais — LGPD, normas setoriais, fiscal (5 anos)
• Requisitos de negócio — Quanto tempo faz sentido para auditoria e recuperação
• Custo de armazenamento — Mais retenção = mais storage

Uma estrutura comum:

Tipo	Retenção
Diário	30 dias
Semanal	12 semanas
Mensal	12 meses
Anual	5-7 anos

6. Teste de Restauração

Um backup nunca testado é tão confiável quanto nenhum backup.

A política deve definir:

• Frequência — Mínimo trimestral. Recomendado mensal para sistemas críticos.
• Escopo — Teste completo (restore do sistema inteiro) e teste granular (restaurar arquivo/tabela específica).
• Documentação — Registrar data, sistema testado, tempo de restore, resultado e responsável.
• Critério de sucesso — O sistema restaurado funciona? Os dados estão íntegros? O RTO foi atendido?

7. LGPD e Dados Pessoais em Backups

A LGPD cria obrigações específicas para backups que contêm dados pessoais:

Direito de exclusão — Se um titular solicita a exclusão dos seus dados, isso se estende aos backups. A política precisa definir como tratar essas solicitações. Na prática, duas abordagens são aceitas:

1. Excluir dos backups ativos e documentar que dados em backups de retenção serão excluídos na expiração
2. Manter registro de exclusões para aplicar quando o backup for eventualmente restaurado

Criptografia — Backups com dados pessoais devem ser criptografados, tanto em trânsito (durante a transferência) quanto em repouso (no armazenamento).

Acesso restrito — Apenas pessoas autorizadas devem poder acessar ou restaurar backups com dados pessoais.

Gerando Sua Política

Criar uma política do zero leva tempo. Para acelerar o processo, use o Gerador de Política de Backup gratuito. Ele gera um documento customizado com base no seu setor, porte e sistemas — pronto para revisar, ajustar e aprovar.

O documento gerado inclui todos os 7 elementos descritos aqui, adaptados ao seu cenário. É o ponto de partida — não o destino final. Revise com o time, valide com a gestão e atualize anualmente.

Implementação: Da Política à Prática

A política é o documento. A implementação é o trabalho real:

1. Aprovação — Apresente à diretoria com justificativa de risco (use a Calculadora de Downtime para quantificar o impacto)
2. Ferramentas — Selecione e configure a solução de backup (Veeam, Acronis, Bacula, AWS Backup)
3. Automação — Configure os jobs de backup conforme a política
4. Monitoramento — Alertas para falhas de backup e verificação de integridade
5. Testes — Primeiro teste de restore em 30 dias, depois conforme a política define
6. Revisão — Atualizar a política anualmente ou quando houver mudança significativa no ambiente

A melhor hora para ter uma política de backup era antes do último incidente. A segunda melhor é agora.