Backup de Schrödinger: a incerteza que define a resiliência cibernética moderna

Por Daniel Porta

Em 31 de março, celebra-se o World Backup Day. Em um cenário dominado por Inteligência Artificial, nuvens hiper conectadas e automação em escala, pode parecer anacrônico ainda precisarmos de uma data dedicada a cópias de segurança. Afinal, o backup não deveria ser um princípio fundamental da maturidade digital? Na prática, o que se observa é um erro crítico de interpretação: em grande parte das organizações, o backup ainda é tratado como um requisito operacional secundário, quando deveria ser encarado como o pilar central da resiliência operacional.

Para entender essa fragilidade, vale recorrer a uma metáfora da física quântica que define bem a realidade de muitos CISOs: o “Backup de Schrödinger”. Trata-se de um estado de incerteza onde os dados estão simultaneamente íntegros e comprometidos dentro da “caixa” da TI, e a verdade só é revelada no momento exato da crise.

Essa distinção é vital porque, no atual cenário de ciberameaças, o backup deixou de ser um simples mecanismo de recuperação para se tornar o principal determinante da continuidade de negócios. A urgência é validada pela industrialização do crime cibernético: dados do FortiGuard Labs (2025) indicam um aumento de 42% no roubo de credenciais, alimentando sistemas automatizados capazes de executar cerca de 36 mil varreduras por segundo em busca de vulnerabilidades. Esse nível de escala transformou ataques em operações contínuas e altamente eficientes, exigindo que a resposta do mercado também evolua.

Historicamente, essa resposta foi consolidada na regra do 3-2-1: três cópias dos dados, em dois tipos de mídia, com uma armazenada fora do ambiente principal. No entanto, diante da sofisticação dos ataques de ransomware e suas estratégias de dupla extorsão, esse modelo tornou-se insuficiente.

Leia mais: Novo grupo de ransomware coloca Brasil entre alvos prioritários

Os ataques modernos não visam apenas criptografar os dados de produção; o objetivo agora é localizar e inutilizar os próprios mecanismos de recuperação. Se o backup é acessível pela rede, ele é, inevitavelmente, um alvo. Por isso, a maturidade cibernética exige uma evolução estrutural para modelos como o 3-2-1-1-0, que introduz a necessidade crítica de cópias imutáveis ou totalmente isoladas (air-gapped), além da validação contínua por meio de testes automatizados. Sem a imutabilidade e a verificação de zero erros, a organização permanece presa ao paradoxo de Schrödinger, confiando em uma proteção que pode não existir no momento do restore.

Ainda assim, muitas organizações operam sob a falsa premissa de que o pagamento de resgates representa o caminho mais rápido para a recuperação, mas as estatísticas da Fortinet desconstroem essa tese: em média, apenas 60% dos dados são recuperados após o pagamento, e meros 4% das empresas conseguem restaurar completamente suas informações. Além disso, 80% das organizações que pagam sofrem novos ataques posteriormente.

O impacto vai muito além da tecnologia. No Brasil, o custo médio de um vazamento de dados atingiu R$ 7,19 milhões em 2025, segundo o relatório da IBM e do Ponemon Institute, com períodos de inatividade que podem chegar a 24 dias. Nesse contexto, o backup deixa de ser um tema técnico e passa a ser um fator crítico de risco financeiro e governança.

A verdadeira resiliência não nasce da existência passiva de cópias, mas da arquitetura que sustenta sua confiabilidade. Isso inclui a definição clara de RPO (Recovery Point Objective) e RTO (Recovery Time Objective), aliados a processos contínuos de validação. No contexto da cibersegurança moderna, o backup deve ser entendido como parte integrante de uma arquitetura de resiliência, e não como um componente isolado.

Neste World Backup Day, o convite é para avaliarmos se a organização seria capaz de se recuperar hoje, pois, em um ambiente onde interrupções digitais impactam diretamente a economia e a confiança do mercado, a resiliência deixou de ser uma vantagem competitiva para se tornar uma necessidade estrutural. Em cibersegurança, a esperança não é um plano; a sobrevivência depende da capacidade de retornar à operação quando tudo o mais falhar.