La frase más cara que un gerente puede decir es: "Ah, yo creía que teníamos backup". La realidad es que la mayoría de empresas en Colombia tiene "algo parecido a un backup" — un disco externo en una gaveta, una carpeta en Google Drive, copias manuales que alguien hace cuando se acuerda. Eso no es backup empresarial.
Backup empresarial es una estrategia documentada, automatizada y probada para que cuando llegue el momento de recuperar — y siempre llega — tu empresa lo haga en horas, no en días, sin perder más datos de los que ya están en tu política de tolerancia. Esta guía te va a dar el framework completo para entender, diseñar y mantener una estrategia de backup que realmente funcione.
Qué cuenta como backup empresarial (y qué no)
Siete criterios mínimos. Si tu "backup" no cumple los siete, es backup hogareño: (1) automatizado sin intervención humana, (2) cronograma documentado por sistema, (3) monitoreado 24/7 con alertas de fallo, (4) probado al menos mensualmente con restauración real, (5) inmutable o air-gapped contra ransomware, (6) con retención documentada por requisito legal o de negocio, (7) con RTO y RPO documentados y medidos.
Los 3 conceptos que cambian la conversación
RPO (Recovery Point Objective) — ¿Cuántos datos puedes permitirte perder? Si tu RPO es 24 horas, tu última copia es de ayer y todo lo que pasó hoy se pierde si hay desastre ahora. Para sistemas transaccionales, RPO suele ser de horas o minutos.
RTO (Recovery Time Objective) — ¿Cuánto tiempo puede estar sin operar? Un RTO de 8 horas significa que en 8 horas tu empresa debe estar operando, no que el backup tarda 8 horas en correr. Restauración masiva incluye preparar entorno, restaurar datos, validar, dar de nuevo acceso.
Retención — ¿Cuánto tiempo necesita conservar copias? Legal o regulatorio puede exigir 7 años o más para temas tributarios y de datos personales. Operacionalmente, 30-90 días suelen bastar para errores humanos (alguien borró un archivo).
La regla 3-2-1 (y por qué hoy se queda corta)
La regla clásica: 3 copias de los datos, en 2 medios diferentes, con 1 copia offsite. La evolución moderna es 3-2-1-1-0: agregue 1 copia inmutable y 0 errores en pruebas de restauración. Sin la inmutabilidad, tus backups son vulnerables al mismo ransomware que arrasó con producción.
Backups inmutables vs ransomware
Por defecto, tus backups están conectados a la red. Si la red se compromete, el ransomware moderno busca y destruye backups antes de cifrar producción. La inmutabilidad rompe ese vector: una vez escrito el backup, no se puede modificar ni borrar — ni siquiera con credenciales de administrador comprometidas. Tecnologías: WORM (Write Once Read Many), air-gap lógico, cloud immutability (S3 Object Lock, Azure Blob immutable, Wasabi).
Qué backupear: la matriz por sistema
| Sistema | Frecuencia | Retención | RTO objetivo |
|---|---|---|---|
| Bases de datos productivas | Diario | 30 días | 2 h |
| NAS / archivos compartidos | Diario | 90 días | 4 h |
| M365 (Exchange/OneDrive/SharePoint) | Diario | 7 años (legal) | 4 h |
| VMs producción | Completo semanal + incremental diario | 90 días | 8 h |
| Endpoints ejecutivos | Semanal | 30 días | Best-effort |
Cómo elegir entre on-prem, cloud o híbrido
On-prem es óptimo cuando tiene grandes volúmenes (>10 TB), conectividad limitada, o requisito regulatorio de mantener datos en sitio. Cloud es óptimo cuando quiere previsibilidad de costo operativo, no quiere mantener hardware, y necesita resistencia a desastres geográficos. Híbrido combina lo mejor: copia local para RTO rápido + cloud offsite para resiliencia. Es el modelo más común para PYMEs en Colombia.
Cuánto cuesta realmente
Rangos honestos en COP: setup inicial 4-12 millones según complejidad. Mensualidad típica para una PYME de 500 GB de datos + M365 30 usuarios: entre 800.000 y 1.800.000 COP/mes según RTO y retención. Si alguien le cotiza "backup empresarial" por debajo de eso, pregunte qué hay incluido — muy probablemente le falta inmutabilidad o testeo.
Cómo se prueba un backup correctamente
DR test mensual mínimo. Restauración real (no simulada) a un entorno aislado de producción. Medir tiempo real de recuperación vs RTO objetivo. Validar integridad de datos. Documentar el resultado en un reporte ejecutivo. Si nunca lo ha probado, no tiene backup — tiene un archivo que cree que es backup.
Errores comunes que invalidan toda la estrategia
- "Tengo el respaldo, pero nunca lo probé." Cuando lo necesite, descubrirá que estaba roto hace meses.
- "El backup está en la misma red que producción." Ransomware lo elimina como primer paso.
- "Lo configuré una vez hace 3 años." Las cosas cambiaron — usuarios, sistemas, volúmenes. Tu backup probablemente ya no cubre lo que crees.
- "Solo backupeo archivos, no bases de datos." Las bases de datos en uso requieren backup transaccional, no copia de archivo.
- "El responsable se fue de la empresa." Si nadie sabe cómo restaurar, el backup no existe.