De quem é o Backup?

Você já parou para pensar no que significa, na prática, dizer que sua empresa “tem backup”? Eu escuto isso todo dia. É quase um mantra corporativo — a TI mostra a tela da ferramenta, aponta o gráfico de retenção, exibe uma tabela bonita com datas e horários. Pronto: todos respiram tranquilos. Mas a pergunta que eu sempre jogo na mesa, e que costuma virar o ar de ponta-cabeça, é essa: de quem é esse backup? É da TI ou é da empresa? Essa pergunta, que parece simples, escancara um problema maior: a maioria das empresas trata o backup como um assunto restrito ao time técnico. Acontece que, quando a coisa aperta e cedo ou tarde vai apertar, quem sofre a dor não é só o TI. É o negócio inteiro. E eu posso te garantir, depois de dezenas de auditorias e consultorias, que 100% das empresas que eu visito carregam esse risco escondido. O backup existe, mas o entendimento de dono, não.

Eu já perdi a conta de quantas vezes me sentei numa sala de reunião, olhei nos olhos de um gestor de TI e perguntei: “Como é o backup aqui?” — A resposta vem pronta: “Temos a ferramenta X, armazenamos em nuvem, retemos por 30 dias.” Tudo lindo no slide. Mas basta eu cutucar um pouco: “Por que 30 dias? Quem decidiu isso?” — E aí eu vejo a pausa, o constrangimento, a tentativa de resposta: “Ah, era o espaço que tínhamos disponível…” ou “A ferramenta que contratamos tem esse limite…” ou a principal de todas “O custo de armazenamento é alto...”. É aí que mora o engano: backup não é decisão de espaço. Não é decisão técnica. É decisão de negócio. Mas o que vejo é o contrário: a TI engole o problema sozinha. Carrega a ilusão de que decidir o tempo de retenção é função técnica — e a diretoria dorme tranquila, até o dia em que acorda tarde demais.

Essa confusão de papeis é uma das armadilhas mais silenciosas da segurança da informação. A TI, na prática, é o braço operacional. É quem garante que a engrenagem roda, que os dados são copiados, que o armazenamento funciona, que os relatórios de sucesso saem no final do mês. Mas o que guardar, por quanto tempo, com qual nível de garantia — isso jamais deveria ser empurrado para dentro da sala do TI sozinho. Quem tem que dizer isso é o dono da informação. É o financeiro, que sabe o peso de um dado contábil. É o RH, que carrega dados sensíveis de pessoas reais. É o jurídico, que conhece os prazos que a lei exige — e as multas que caem quando você ignora isso. Só que muitas empresas esquecem esse detalhe: o backup é um acordo de confiança entre quem gera o dado e quem guarda. Quando essa conversa não acontece, o melhor storage do mundo vira apenas um pendrive caro.

Deixa-me te dar um exemplo que acontece em 9 de cada 10 empresas que eu atendo. Falo de RH, ou mais especificamente, do departamento pessoal. Dados de colaboradores — folha de ponto, contracheque, atestados, arquivos médicos, toda a papelada que mexe com a vida de gente de carne e osso. Esses dados não são opcionais: são protegidos por CLT, INSS, legislações trabalhistas. E cada uma dessas leis tem um prazo mínimo de guarda. Mas quem define esse prazo? Um acha que são 5 anos, outro diz 10, já vi advogado jurar que são 35. Em uma consultoria recente, o jurídico bateu o martelo: aqui é 50 anos. Quando perguntei se a TI tinha ciência, veio o silêncio. E na prática? O backup estava programado pra segurar só 1 ano. Agora imagina o risco: processo trabalhista, fiscal, auditoria. E quem segura essa bomba? Adivinha: o técnico de TI, que nunca foi ouvido quando deveria ser.

E por que isso acontece? Porque falta coragem — ou método — para fazer a entrevista que ninguém quer fazer. É sair do ar-condicionado do CPD, atravessar o corredor e bater na porta do jurídico, do DP, do financeiro, do marketing. É sentar com quem realmente usa o dado e perguntar, olho no olho: “Quais informações são vitais pra sua área? Quanto tempo isso precisa existir? Qual risco você aceita se não existir?” — O engraçado é que, muitas vezes, o próprio dono da informação também não sabe. E aí começa o verdadeiro papel do TI maduro: não é só rodar backup, é traduzir tecnologia em conversa de negócio. É ajudar o gestor a entender que dado sem política é arquivo órfão — e backup sem política é só um arquivo duplicado. O que dá trabalho? Dá. Mas é esse trabalho que separa o profissional que só clica no agendamento daquele que protege o futuro da empresa.

Deixa eu abrir mais uma história real, que ainda me faz rir de nervoso quando lembro. Em uma consultoria, sentei com o gerente de TI e o gerente do principal setor operacional da empresa — aquele que faz a roda girar, entrega o que a empresa promete, carrega o coração do negócio. Na mesa, minha pergunta foi direta: “Quanto tempo esses dados precisam ser guardados?” O gerente operacional me olhou, pensou, pegou uma pasta, puxou o contrato com o maior parceiro comercial da empresa. Abrimos juntos. Cláusula clara: 20 anos de guarda de informação. Vinte. Eu perguntei de novo: “Você entende que precisa de 20 anos?” — “Entendo, é obrigatório, tá aqui no contrato.” — Então eu devolvi: “E hoje, quanto tempo vocês guardam?” O gerente de TI, do outro lado da mesa, soltou quase sem querer: “Um ano.” O silêncio preencheu a sala. A cara do gerente operacional mudou na hora: “Um ano? Isso não existe, Ricardo. Se der um problema, quem vai explicar isso?” Eu não respondi — devolvi a responsabilidade: “Por isso mesmo eu tô aqui. Eu preciso da sua ajuda. A TI sozinha não vai conseguir dobrar retenção de um ano para vinte anos sem orçamento, sem decisão de cima. A responsabilidade não é só do TI — mas também não é só sua. É da empresa.” E ali ficou claro para todo mundo: quem assina esse risco não é quem opera o servidor nem quem gerencia a operação. É quem decide na diretoria se paga o storage ou assume o risco. E no dia que der problema — porque cedo ou tarde pode dar — vai bater na porta de quem assinou o contrato, não na porta do técnico.

E é aí que entra o verdadeiro papel do gestor de TI que entendeu o jogo. O TI não é mágico — ele é executor. Se o contrato pede 20 anos, mas o backup faz só um, o problema não é técnico, é estratégico. Se o orçamento não fecha, se o storage não comporta, se a ferramenta não dá conta, alguém tem que dar a notícia — mas dar a notícia certo. Não é baixar a cabeça e dizer “não dá”. É subir o risco. É levar o contrato na mão, mostrar onde mora o buraco, explicar o tamanho do tombo se acontecer o pior. E é aí que eu vejo quem faz diferença na sala de reunião: o profissional que não se contenta em ser apertador de botão de backup, mas vira tradutor de risco, fala com o operacional, chama o dono do dado pro jogo e escala a decisão para quem tem a caneta. Porque no fim, se a diretoria decide não investir, tudo bem — mas o risco é dela, não do técnico. E o dia que der problema, está documentado quem decidiu assumir.

É por isso que eu insisto: backup não é só cópia de arquivo, nem tecnologia de prateleira. Backup é compromisso — compromisso entre quem gera, quem processa, quem guarda e quem paga. É o elo entre operação, tecnologia e decisão de negócio. Quando essa conta não fecha, o backup vira um castelo de areia: bonito no relatório, frágil na prática. O maior erro que vejo é a empresa empurrar tudo para o colo da TI. O maior acerto que vejo é quando o gestor de TI entende que precisa parar de engolir risco sozinho, traz o problema para a mesa, envolve quem deve decidir e registra tudo preto no branco. Assim, quando der problema — porque, cedo ou tarde, um dia vai dar — ninguém aponta o dedo para o lado errado. Porque backup bom não é o que funciona sozinho no servidor. É o que funciona junto com a verdade da empresa.

E para encerrar essa conversa — que não é técnica, é de responsabilidade, eu deixo aqui três perguntas que não são para mim, são para você, aí dentro da sua empresa:

1. Hoje, quem realmente é dono do backup? É a TI que carrega o piano, ou é a empresa que toma a decisão?

2. Se amanhã o maior parceiro ou cliente pedir um histórico de 5, 10, 20 anos, você tem como entregar — ou vai ficar devendo explicação?

3. E o mais importante: qual é a maior dificuldade que ainda trava você de sair da conversa do backup “automático” para virar política, contrato, decisão de negócio?