La continuïtat de negoci no comença quan es produeix una caiguda, una eliminació massiva o un ciberatac. Comença molt abans, quan decideixes quant temps pots estar aturat i quanta informació et pots permetre perdre sense comprometre l’activitat de l’empresa.
Moltes organitzacions creuen que “tenir backup” és suficient. Però no ho és. Un backup mal plantejat pot existir i, tot i així, no servir quan més el necessites. Pot trigar massa a restaurar-se, no cobrir els sistemes crítics o haver quedat exposat al mateix incident que va afectar producció.
Per això, quan parlem de continuïtat, no parlem només de fer còpies. Parlem de dissenyar una estratègia realista per recuperar operacions, dades i serveis amb el menor impacte possible. Aquí entren en joc tres conceptes que convé entendre bé: la regla 3-2-1, l’RPO i l’RTO.
En aquest article t’expliquem tot això sense tecnicismes innecessaris. Veureu què significa una estratègia de backup empresarial ben plantejada, per què les còpies immutables han guanyat tant de pes davant del ransomware i com aterrar tot això en decisions de negoci, no només d’IT. Com a referència general, organismes com l’NCSC i CISA continuen recomanant estratègies 3-2-1, còpies aïllades i proves regulars de restauració per millorar la resiliència davant incidents i ransomware.
Què significa continuïtat de negoci a la pràctica
La continuïtat de negoci és la capacitat de seguir operant, o de recuperar l’operativa en un temps assumible, quan alguna cosa falla. Aquest “alguna cosa” pot ser un atac de ransomware, un error humà, una avaria de maquinari, un tall elèctric o una incidència en un proveïdor.
No totes les empreses necessiten el mateix nivell de continuïtat. Una gestoria, una empresa industrial, un e-commerce o una organització amb diverses seus tenen dependències diferents. L’important és no dissenyar la continuïtat “per costum”, sinó segons l’impacte real que tindria una aturada.
Quan una empresa no defineix aquest escenari, acostuma a caure en un d’aquests dos extrems:
- Inverteix massa poc i descobreix tard que el seu backup no cobreix el que és important.
- Inverteix massa en solucions que no responen a una necessitat real.
La continuïtat ben plantejada busca equilibri. No es tracta de protegir-ho tot al màxim cost, sinó de protegir millor allò que realment condiciona facturació, servei al client, producció, compliment i reputació.
Què és la regla de backup 3-2-1 i per què continua sent vàlida
La regla 3-2-1 continua sent una base sòlida per dissenyar còpies de seguretat resistents. Consisteix a mantenir almenys 3 còpies de les dades, emmagatzemades en 2 suports o mitjans diferents, i amb 1 còpia fora de la ubicació principal. L’NCSC continua assenyalant-la com una manera comuna i eficaç de construir backups resilients, especialment si una còpia queda compromesa i una altra es manté separada.
Portat al terreny empresarial, seria una cosa així:
- La informació original en producció.
- Una còpia de seguretat local per a restauracions ràpides.
- Una còpia addicional separada, preferiblement fora de la seu o en una ubicació lògica diferent.
L’important no és memoritzar la fórmula, sinó entendre la seva lògica: no dependre d’una sola còpia ni d’un únic entorn.
L’error més freqüent amb el 3-2-1
Moltes empreses creuen que compleixen el 3-2-1 perquè tenen un servidor i una còpia en un altre repositori connectat sempre a la mateixa xarxa. En realitat, si un ransomware arriba a credencials, repositoris o sistemes de gestió compartits, pot comprometre producció i backup alhora.
Per això, avui ja no n’hi ha prou amb “tenir una còpia fora”. També necessites separació real, control d’accés i, en molts casos, immutabilitat.
RPO i RTO sense tecnicismes: les dues preguntes que sí entén direcció
RPO i RTO sonen tècnics, però en realitat responen a dues preguntes molt simples.
RPO: quanta informació pots perdre?
L’RPO marca el punt al qual podries tornar si haguessis de restaurar. Dit de manera senzilla: quant temps de dades estàs disposat a perdre.
Si fas una còpia cada 24 hores i pateixes una incidència just abans de la següent, podries perdre fins a un dia de feina. Si fas còpies més freqüents, aquest marge baixa.
NIST defineix l’RPO com la quantitat de pèrdua de dades que una organització o procés pot tolerar durant una interrupció.
Exemple pràctic:
- Si la teva empresa introdueix comandes contínuament, perdre 8 hores pot ser inassumible.
- Si es tracta de documentació menys dinàmica, potser un RPO més ampli és raonable.
RTO: quant temps pots estar aturat?
L’RTO defineix el temps objectiu de recuperació. És a dir, quant pots trigar a tornar a operar amb un nivell acceptable de servei.
NIST el planteja com el temps dins del qual un sistema o procés s’ha de recuperar després d’una interrupció per no superar el llindar tolerable per al negoci.
Exemple pràctic:
- Una aturada de 30 minuts pot ser crítica en un entorn productiu.
- En altres processos, un parell d’hores poden ser assumibles.
El que realment importa
L’RPO i l’RTO no són mètriques “d’informàtica”. Són decisions de negoci.
- L’RPO impacta en la pèrdua de dades.
- L’RTO impacta en el temps d’inactivitat.
- Tots dos condicionen cost, arquitectura i nivell de protecció.
Si no els defineixes, acabes comprant backup sense saber quin problema vols resoldre.
Per què les còpies immutables ja no són opcionals en molts entorns
Les còpies immutables són còpies que no es poden modificar ni esborrar durant un període definit. Aquesta protecció resulta especialment valuosa davant d’atacs de ransomware, perquè molts atacants intenten localitzar, xifrar o eliminar els backups accessibles abans d’executar el cop final. CISA insisteix a mantenir backups offline o aïllats i recomana que siguin xifrats i immutables com a part de l’estratègia de defensa i recuperació.
En llenguatge senzill: una còpia immutable t’ajuda a evitar que l’atacant “trenqui també el teu salvavides”.
Quin problema resolen
Les còpies tradicionals poden fallar en escenaris com aquests:
- Un administrador esborra alguna cosa per error.
- Un malware xifra repositoris accessibles.
- Es comprometen credencials amb permisos elevats.
- Algú manipula o elimina punts de restauració.
La immutabilitat redueix aquest risc perquè bloqueja l’alteració de la còpia durant el temps definit per la política.
Què no has d’assumir
Que una còpia estigui al cloud no significa automàticament que sigui immutable.
Que una còpia sigui immutable no significa que tota la teva estratègia estigui ben dissenyada.
I que tinguis backup no significa que puguis recuperar-te dins de l’RTO que necessita el teu negoci.
La immutabilitat és una capa molt valuosa, però s’ha d’integrar en una estratègia completa de continuïtat.
Com aterrar una estratègia de backup empresarial útil de veritat
Després d’anys veient projectes de continuïtat, hi ha una idea que es repeteix: el problema no acostuma a ser l’absència total de backup, sinó la falsa sensació de seguretat.
Una estratègia útil ha de respondre, com a mínim, a aquests punts:
1. Identificar quins sistemes són realment crítics
No tot té la mateixa prioritat. Convé classificar:
- Sistemes que aturen l’activitat.
- Dades sensibles o reguladores.
- Aplicacions necessàries per facturar, produir o atendre clients.
- Serveis que poden esperar més temps.
2. Definir RPO i RTO per servei
No tots els entorns requereixen el mateix objectiu de recuperació. Una única política per a tot acostuma a generar ineficiències.
3. Dissenyar còpies amb separació real
Aquí entren la regla 3-2-1, la còpia externa i la protecció davant d’esborrat o xifrat.
4. Verificar restauracions
Una còpia no val per existir. Val quan restaura bé, dins del temps previst i amb dades consistents. CISA i altres organismes remarquen que provar la restauració de forma periòdica és una part essencial de la preparació davant ransomware i interrupcions.
5. Integrar backup i continuïtat
El backup protegeix dades. La continuïtat protegeix operacions. Van de la mà, però no són exactament el mateix.
Senyals que la teva empresa necessita revisar la seva estratègia
Hi ha diversos indicadors clars de risc:
- No saps quant trigaries a recuperar un servidor o aplicació clau.
- No tens definit quina quantitat de dades podries perdre.
- Totes les còpies depenen del mateix entorn o credencials.
- Mai s’han fet proves de restauració completes.
- El backup existeix, però ningú ha validat si compleix amb el negoci.
- L’empresa ha crescut i l’estratègia continua sent la de fa anys.
- Es dona per fet que “el cloud ja ho cobreix tot”.
Si et reconeixes en dos o tres d’aquests punts, no necessites necessàriament comprar més tecnologia de manera immediata. Necessites revisar el disseny.
Continuïtat, backup i ciberseguretat: per què s’han de tractar junts
Avui la continuïtat no es pot separar de la ciberseguretat. L’atac que més ha canviat aquesta conversa és el ransomware, precisament perquè ja no busca només interrompre, sinó bloquejar la recuperació, pressionar econòmicament i allargar l’impacte.
Per això, una estratègia moderna ha de combinar:
- Còpies separades i protegides.
- Control d’accessos i privilegis.
- Monitoratge.
- Pla de recuperació provat.
- Mesures davant d’esborrat, xifrat o sabotatge del backup.
No es tracta de crear alarmisme. Es tracta d’assumir que la continuïtat ja no depèn només d’errors tècnics clàssics, sinó també d’amenaces deliberades.
Com et pot ajudar Inmove IT en aquest escenari
En entorns empresarials, la clau no acostuma a estar a afegir una còpia més, sinó a definir una estratègia coherent entre tecnologia, risc i operativa.
A Inmove IT ajudem les empreses a dissenyar entorns de continuïtat i backup més sòlids, connectant aquesta necessitat amb serveis com solucions d’emmagatzematge, backup empresarial, protecció de dades i sistemes UPS/SAI per reforçar la disponibilitat de la infraestructura.
Conclusió
La continuïtat de negoci no s’improvisa el dia de l’incident. Es dissenya abans, amb criteris clars i amb una visió pràctica del risc.
La regla 3-2-1 continua sent una base molt vàlida. L’RPO i l’RTO ajuden a traduir necessitats tècniques a impacte empresarial. I les còpies immutables aporten una capa crítica quan el risc inclou ransomware o esborrat maliciós.
La pregunta no és si la teva empresa té backup. La pregunta correcta és aquesta: el teu backup et permetria tornar a operar en el temps i amb la pèrdua de dades que el teu negoci realment pot assumir?
Si la resposta no està clara, és el moment de revisar-ho.
Vols definir una estratègia realista de continuïtat i backup empresarial per al teu entorn? A Inmove IT t’ajudem a revisar riscos, prioritats de recuperació i arquitectura de còpies perquè la protecció no sigui només teòrica, sinó útil quan de veritat faci falta.
Preguntes freqüents sobre continuïtat, backup 3-2-1 i còpies immutables
La regla 3-2-1 continua sent vàlida el 2026?
Sí. Continua sent una referència molt útil perquè redueix la dependència d’una sola còpia o d’un únic entorn. Tot i així, avui convé complementar-la amb aïllament real, control d’accessos, proves de restauració i immutabilitat.
Quina diferència hi ha entre backup i continuïtat de negoci?
El backup protegeix la informació i permet recuperar-la. La continuïtat de negoci va més enllà: busca que l’empresa pugui seguir operant o tornar a fer-ho en un temps assumible després d’una incidència.
Què és més important, l’RPO o l’RTO?
Depèn del procés. Si la teva prioritat és no perdre dades, l’RPO pesa més. Si el que és crític és reduir l’aturada operativa, l’RTO és la mètrica més sensible. A la pràctica, cal definir tots dos.
Una còpia al núvol ja em protegeix davant del ransomware?
No necessàriament. Depèn de com estigui dissenyada, aïllada i gestionada. Si l’atacant pot arribar a la còpia o a les credencials associades, el risc continua existint. Per això es recomanen repositoris aïllats, proves periòdiques i, en molts casos, còpies immutables.
Cada quant s’ha de provar una restauració?
No hi ha una única freqüència vàlida per a tothom, però no s’hauria de deixar “per quan passi alguna cosa”. La restauració s’ha de provar periòdicament i també quan canvien sistemes, aplicacions o polítiques de backup. Les guies de CISA insisteixen a mantenir i provar tant el backup com la restauració de manera regular.
Les còpies immutables substitueixen un pla de recuperació?
No. Són una capa de protecció molt valuosa, però per si soles no defineixen prioritats, temps, procediments ni dependències. Formen part de la solució, no la substitueixen.
