Ainda estamos auditando backups como se fosse 2015

Durante anos, a proteção de Dados foi tratada como um item de checklist. Se o software de backup estava instalado e os relatórios estavam verdes, a liderança respirava aliviada. Auditorias verificavam a existência da ferramenta, políticas documentadas e, com isso, a conformidade era presumida. Mas algo mudou de forma estrutural.

Estamos vivendo o que chamo de Accountability Shift, uma mudança profunda na maneira como conselhos, reguladores e auditores enxergam resiliência operacional. Hoje já não basta declarar que existe backup, pois a pergunta passou a ser outra: é possível provar capacidade real de recuperação agora, sob pressão, diante de um incidente verdadeiro?

Essa mudança não é apenas retórica. A Deloitte, em seus estudos globais sobre Cyber Resilience, destaca que conselhos de administração estão exigindo evidências concretas de capacidade operacional contínua, não apenas documentação formal de controles. A discussão saiu do campo da política e entrou no campo da performance.

O mesmo movimento aparece no Global Digital Trust Insights da PwC, que mostra que executivos passaram a priorizar resiliência operacional como um dos principais pilares estratégicos de Segurança Digital. A preocupação não está apenas em prevenir ataques, mas em sustentar a continuidade do negócio quando eles acontecem.

Esse é o pano de fundo da transformação que estamos vivendo.

Se olharmos para trás, a evolução da auditoria de backup pode ser entendida em quatro estágios, sendo o primeiro com a fase da presença, quando bastava existir uma ferramenta implementada. Depois passamos para a fase da atividade, em que jobs rodando e dashboards positivos eram interpretados como sinal de segurança. Em seguida adotamos testes periódicos de restauração, um avanço importante que trouxe mais maturidade ao processo.

Cada etapa representou progresso, mas todas compartilham uma limitação, oferecendo validação pontual.

O ambiente de risco atual não é pontual, ele é permanente.

É aqui que surge a quarta fase, a da performance governada. A expectativa regulatória evoluiu para exigir asseguração contínua, com monitoramento comportamental, detecção de desvios em tempo real, fluxos estruturados de remediação e evidência automatizada de prontidão de recuperação. Não antes da auditoria, nem uma vez por trimestre, mas continuamente.

As organizações líderes tratam recuperação como capacidade estratégica integrada à Governança corporativa, com visibilidade constante sobre riscos e desempenho. Esse é o verdadeiro divisor de águas.

Durante muito tempo, Compliance foi encarado como evento. Preparava-se documentação, organizavam-se evidências e aguardava-se a auditoria. Hoje, é um fluxo contínuo de desempenho e acompanhamento em tempo real.

Além disso, é fundamental separar dois conceitos que ainda são confundidos. Cibersegurança trata majoritariamente de prevenção. Resiliência trata de recuperação. Quando todos os controles falham, o backup se torna a última linha de defesa e se essa última linha não puder ser continuamente validada e governada, ela deixa de ser defesa estruturada e passa a ser suposição.

A maioria das organizações ainda opera entre a fase da atividade e a dos testes periódicos. Monitoram tarefas, executam validações pontuais e produzem relatórios consistentes. O problema é que as auditorias modernas já exigem algo além, a governança contínua da recuperação. Sem essa camada adicional, a organização pode ter tecnologia, mas ainda falta a prova.

A pergunta estratégica deixou de ser se existe backup implementado e passou a ser se a organização consegue demonstrar resiliência sob escrutínio permanente. Ainda estamos auditando backups como se fosse 2015 ou já migramos para a era da responsabilização contínua?

Ter backup já não é suficiente, pois o novo padrão é provar governança contínua sobre a capacidade real de recuperação e essa exigência já está em curso.

Por Alexandre Paoleschi, CEO da Fenix DFA.