Todos os cursos > Tecnologia, Informática e Programação > Segurança da informação ::

Backup e Recuperação contra Ransomware: backups offline, air gap e procedimentos operacionais

Capítulo 4

Tempo estimado de leitura: 10 minutos

+ Exercício

Conceitos essenciais: offline, air gap e “conectar só na hora”

Backup offline é aquele armazenado em uma mídia ou repositório que fica desconectado da rede e dos sistemas na maior parte do tempo. Isso reduz drasticamente a chance de o ransomware criptografar ou apagar os backups.

Air gap é a prática de manter uma separação física ou lógica entre o ambiente de produção e o armazenamento de backup. Na prática, significa que o caminho entre produção e backup só existe durante uma janela controlada (por exemplo, quando um disco é conectado, quando uma fita é inserida, ou quando um repositório é temporariamente habilitado).

Política “conectar apenas no momento do backup” é a regra operacional que sustenta o air gap: a mídia/repositório só é conectada para executar o job, validar o resultado e então é desconectada e guardada.

O que o ransomware tenta fazer contra backups

  • Criptografar volumes montados (discos USB sempre conectados, shares, iSCSI/NFS/SMB).
  • Apagar snapshots e versões (quando tem credenciais ou acesso ao console).
  • Corromper catálogos/índices e chaves de criptografia do backup.
  • Usar contas privilegiadas para alterar retenção e políticas.

Por isso, o objetivo do offline/air gap é reduzir o tempo de exposição e limitar o alcance de credenciais e caminhos de rede.

Opções práticas de air gap (e quando usar)

1) Mídias removíveis (HD/SSD externo) com rotação

Boa opção para ambientes pequenos/médios e para cópias de “último recurso”. Exige disciplina operacional.

Continue em nosso aplicativo e ...
  • Ouça o áudio com a tela desligada
  • Ganhe Certificado após a conclusão
  • + de 5000 cursos para você explorar!
ou continue lendo abaixo...
Download App

Baixar o aplicativo
  • Prós: simples, barato, desconectável de verdade.
  • Contras: risco de erro humano, perda/roubo, desgaste, performance variável.

2) Fita (LTO) com armazenamento fora do ambiente

Indicada quando você precisa de retenção longa, custo por TB menor e forte isolamento físico.

  • Prós: air gap físico robusto, boa para retenção e compliance.
  • Contras: requer biblioteca/drive, logística e controle de mídias.

3) Repositório desconectado (NAS/servidor “cold”) com janela de conexão

Um storage dedicado que fica desligado, com interface de rede desabilitada, ou isolado em segmento que só é liberado durante a janela de backup.

  • Prós: automatiza mais que mídia removível, boa capacidade.
  • Contras: se a “desconexão” for só lógica e mal controlada, pode ser reativada por atacante com privilégios.

4) Cofre offline (vault) com importação/exportação controlada

Modelo operacional em que o backup é exportado (por mídia ou job) para um cofre que não tem conectividade com produção. Pode ser uma sala/cofre físico ou um ambiente separado com acesso estritamente controlado.

Arquitetura operacional mínima (sem depender de ferramenta específica)

Para reduzir erro humano, defina papéis, janelas e “pontos de controle” claros.

ElementoRecomendação operacionalObjetivo
Conta de execução do backupConta dedicada, sem e-mail, sem navegação, sem privilégios além do necessárioReduzir abuso de credenciais
Janela de conexãoCurta e fixa (ex.: 30–90 min), com registro de início/fimDiminuir tempo de exposição
Dupla checagem2 pessoas para etapas críticas (troca de mídia, envio ao cofre, destravamento de repositório)Reduzir erro e fraude
Logs e evidênciasRegistro simples: data/hora, mídia, operador, resultado, hash/assinatura, local de guardaRastreabilidade e auditoria
CriptografiaCriptografar a mídia/backup e guardar chaves separadas do ambiente de produçãoProteção contra perda/roubo

Passo a passo: estratégia com mídias removíveis (rotação + cofre)

Materiais e preparação

  • Conjunto de mídias numeradas (ex.: DISK-01 a DISK-06), com etiqueta física e registro.
  • Caixa/case resistente + lacres numerados (cadeia de custódia).
  • Local de armazenamento: armário trancado ou cofre (idealmente em sala diferente).
  • Planilha ou formulário de controle (pode ser papel) para registrar cada operação.

Política de rotação (exemplo prático)

Exemplo simples de rotação semanal com 6 discos:

  • Diário: usa 1 disco por dia útil (DISK-01 a DISK-05).
  • Sexta: além do diário, gera uma cópia “semanal” no DISK-06 e envia ao cofre.
  • Retenção física: mantenha pelo menos 1 mídia fora do prédio (ou em cofre separado) se isso fizer sentido para o risco.

Procedimento operacional diário (mídia removível)

  1. Retirada controlada: operador A retira a mídia do cofre/armário e registra: data/hora, ID da mídia, lacre (se aplicável), assinatura.
  2. Inspeção rápida: verificar integridade física, etiqueta, e se a mídia corresponde ao dia (evita sobrescrever a errada).
  3. Conexão somente na janela: conectar a mídia ao servidor de backup (ou estação dedicada) apenas no horário definido.
  4. Execução do job: iniciar o backup e monitorar até finalizar.
  5. Validação mínima: confirmar status “sucesso” e executar uma verificação rápida (ex.: listar conteúdo, checar tamanho esperado, ou teste de leitura). Se possível, registrar um hash do arquivo de catálogo/manifesto.
  6. Desconexão imediata: ejetar com segurança e desconectar fisicamente.
  7. Armazenamento: colocar a mídia no case, aplicar lacre (se usado) e devolver ao local de guarda.
  8. Registro: preencher o log com resultado, observações e assinatura. Operador B confere e assina (dupla checagem).

Erros comuns e como prevenir

  • Disco “sempre conectado”: proíba por política e faça inspeções (checklist) para garantir desconexão.
  • Sobrescrever mídia errada: use calendário de rotação impresso + etiqueta grande + confirmação por segunda pessoa.
  • Backup “sucesso” mas ilegível: inclua teste de leitura e, periodicamente, restauração de amostra em ambiente isolado.
  • Perda/roubo: criptografia obrigatória + cadeia de custódia + armazenamento trancado.

Passo a passo: estratégia com fita (air gap físico)

Rotina de operação (exemplo)

  1. Geração: executar job para fita conforme agenda.
  2. Verificação: checar relatório do job e, se disponível, verificação de leitura.
  3. Remoção e identificação: retirar a fita, aplicar etiqueta e registrar ID, data, conteúdo lógico (ex.: “semanal”), operador.
  4. Armazenamento seguro: guardar em cofre resistente a fogo/umidade, ou enviar para guarda externa.
  5. Rotação: usar esquema de rotação (ex.: diário/semanal/mensal) com lista clara de quais fitas podem ser reutilizadas.

Cadeia de custódia para fitas

Defina um fluxo de “mão em mão” com registro obrigatório:

  • Quem retirou, quem transportou, quem recebeu.
  • Horário, local, condição da mídia, lacre.
  • Motivo (backup regular, restauração, auditoria).

Passo a passo: repositório desconectado com janela de conexão

Objetivo: manter um storage “cold” inacessível por padrão e acessível apenas durante o backup.

Modelo operacional recomendado

  • Estado padrão: repositório desligado ou com rede desabilitada; credenciais guardadas fora do domínio/ambiente de produção.
  • Habilitação temporária: procedimento formal para “abrir a janela” (ex.: ligar equipamento, habilitar porta/switch dedicado, liberar VLAN/ACL).
  • Fechamento: desligar/isolamento imediato após validação.

Controles para reduzir risco

  • Separação de funções: quem administra produção não deve, sozinho, conseguir habilitar o repositório offline.
  • Autorização: ticket/aprovação para abrir janela fora do horário.
  • Registro: log de quem habilitou, por quanto tempo, e por qual motivo.

Procedimentos operacionais para reduzir erro humano

Rotinas de troca (mídia) com padronização

  • Calendário fixo (impresso) com “mídia do dia”.
  • Etiquetas grandes e padronizadas (ID + tipo + status: “PRONTA/EM USO/ARQUIVADA”).
  • Regra de “não pular etapas”: sem registro, não há troca.

Armazenamento físico

  • Armário/cofre trancado; controle de chaves (quem tem, quando usou).
  • Proteção ambiental: umidade/temperatura, longe de campos magnéticos (para fita), proteção contra impacto.
  • Separação geográfica quando aplicável (pelo menos uma cópia fora da sala do servidor).

Cadeia de custódia (modelo simples)

CampoExemplo
ID da mídiaDISK-03 / TAPE-2026-01
OperaçãoRetirada / Devolução / Transporte / Restauração
Data/hora2026-01-25 19:10
ResponsávelNome + assinatura
LocalCofre A / Sala TI / Guarda externa
Lacre000183 (intacto)
ObservaçõesMídia sem danos; job OK

Proteção contra perda/roubo

  • Criptografia: backups criptografados; chaves armazenadas separadamente (ex.: envelope lacrado em cofre, ou módulo dedicado fora do domínio de produção).
  • Inventário: lista atualizada de mídias existentes, status e localização.
  • Transporte: case discreto, lacrado, com rota e responsáveis definidos.
  • Resposta a incidente de perda: procedimento escrito para revogar chaves/credenciais relacionadas e registrar ocorrência.

Como documentar para execução em crise (runbook)

Em crise, o objetivo é que qualquer pessoa treinada consiga executar sem improviso. Crie um runbook curto, com passos numerados, decisões claras e campos para evidências.

Estrutura recomendada do runbook

  • Escopo: quais sistemas/dados entram neste processo offline/air gap.
  • Pré-requisitos: onde estão as mídias, chaves, credenciais e quem autoriza o acesso.
  • Papéis: Operador A (execução), Operador B (checagem), Responsável pelo cofre, Aprovador.
  • Janelas: horários padrão e procedimento para exceções.
  • Passo a passo: backup, validação, desconexão, armazenamento, registro.
  • Critérios de falha: quando repetir, quando trocar mídia, quando escalar.
  • Plano de contingência: se mídia falhar, se cofre estiver inacessível, se não houver segundo operador.
  • Anexos: checklist, formulários de custódia, mapa do local de armazenamento (sem expor publicamente).

Modelo de procedimento escrito (exemplo)

Procedimento: Backup Offline Diário (Mídia Removível)  Versão: 1.3  Dono: Segurança/TI  1) Confirmar “mídia do dia” no calendário e no inventário.  2) Retirar mídia do cofre (Operador A) e registrar no Formulário de Custódia.  3) Operador B confere ID e assina.  4) Conectar mídia somente dentro da janela (19:00–20:00).  5) Executar job “OFFLINE-DAILY”.  6) Validar: status SUCESSO + teste de leitura + registrar tamanho/manifesto.  7) Ejetar e desconectar fisicamente.  8) Lacrar case, devolver ao cofre e registrar devolução.  9) Se falha: repetir 1x; se falhar novamente, trocar mídia e abrir incidente.

Fluxo operacional (air gap) — do início ao armazenamento

  1. Planejar a janela: confirmar horário, responsáveis e mídia/repositório alvo.
  2. Autorizar: aprovar abertura do air gap (principalmente fora do horário padrão).
  3. Conectar: conectar mídia ou habilitar repositório desconectado.
  4. Executar: rodar o backup conforme job definido.
  5. Validar: checar sucesso + evidências mínimas (leitura, manifesto, amostra).
  6. Desconectar: remover mídia ou desabilitar rede/desligar repositório.
  7. Guardar: armazenar em local seguro (com lacre, se aplicável).
  8. Registrar: atualizar inventário e cadeia de custódia; coletar assinaturas.
  9. Revisar: checagem por segunda pessoa e revisão periódica do processo.

Checklist de conformidade do air gap

  • Desconexão padrão: a mídia/repositório permanece desconectada fora da janela? (Sim/Não)
  • Janela controlada: existe horário definido e registro de início/fim? (Sim/Não)
  • Dupla checagem: há conferência por segunda pessoa em etapas críticas? (Sim/Não)
  • Inventário atualizado: todas as mídias têm ID, status e localização atual? (Sim/Não)
  • Cadeia de custódia: retiradas/devoluções/transporte são registrados e assinados? (Sim/Não)
  • Criptografia: backups/mídias estão criptografados e chaves estão fora do ambiente de produção? (Sim/Não)
  • Validação: existe verificação mínima após cada backup (leitura/manifesto) e registro? (Sim/Não)
  • Teste periódico: há restauração de amostra em ambiente isolado com evidência registrada? (Sim/Não)
  • Armazenamento físico: cofre/armário trancado, controle de chaves e proteção ambiental? (Sim/Não)
  • Procedimento de exceção: há regra para abrir janela fora do horário com aprovação? (Sim/Não)
  • Plano de falha de mídia: existe processo para substituir mídia e investigar falhas? (Sim/Não)
  • Treinamento: pelo menos duas pessoas treinadas conseguem executar o runbook? (Sim/Não)

Agora responda o exercício sobre o conteúdo:

Qual prática operacional melhor reforça um air gap para reduzir a exposição do backup ao ransomware?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

O air gap depende de reduzir o tempo de exposição: a mídia/repositório fica desconectada por padrão e só é conectada na janela de backup, com validação e desconexão imediata, dificultando criptografia ou apagamento pelo ransomware.

Próximo capitúlo

Backup e Recuperação contra Ransomware: imutabilidade, WORM e retenção protegida

Arrow Right Icon
Capa do Ebook gratuito Backup e Recuperação contra Ransomware: estratégia simples e eficaz
31%

Backup e Recuperação contra Ransomware: estratégia simples e eficaz

Novo curso

13 páginas
Aprenda Segurança da informação

AprendaSegurança da informação

Proteja todo conteúdo importante, descubra como utilizar a segurança da informação a seu favor e para que serve. Cursa.app separou um curso grátis pra você

 Aprenda Tecnologia, Informática e Programação

AprendaTecnologia, Informática e Programação

Cursos online gratuitos de Informática, TI e programação com certificação gratuita. Oferecemos cursos de Excel, programação e muito mais. Aproveite agora!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store