Por Sylvio Sobreira
Estar preparado para uma crise é tão importante quanto focar no crescimento da empresa. Em um cenário onde acompanhamos diariamente uma série de casos de ataques cibernéticos, falhas de segurança e vazamento de dados, fica evidente que essas empresas ainda precisam evoluir não só na resolução de situações críticas, mas na construção de um Plano de Continuidade de Negócios – PCN.
A continuidade dos negócios e a recuperação de desastres estão totalmente ligadas e as empresas que não se apressarem nesse processo, que exige cautela e antecedência, colocarão em risco a sua própria sobrevivência no mercado.
Em minha experiência com o varejo, eu diria que 85% do setor não tem um PCN efetivo, apesar de estar entre os que mais sofreu com ataques cibernéticos no ano passado, com casos de grande repercussão, como o da Renner e da Americanas.
Mais dados confirmam isso: estudo realizado pela KPMG, ao avaliar e classificar o nível de maturidade do PCN de 17 setores, constatou que o segmento de varejo está ainda no estágio 2 de maturidade (são três níveis), onde o plano de continuidade de negócios existente não identifica nem direciona todos os eventos que podem afetar a continuidade das operações. Nesse caso, existe um processo de gerenciamento de crises, mas ainda não estruturado com todas as respostas e nem atualizado regularmente, o que limita as estratégias de recuperação para eventos adversos e disruptivos.
Ainda segundo a pesquisa, 73% das empresas brasileiras não contam com um nível adequado de maturidade com relação aos planos de continuidade de negócios. Ainda é preciso conscientização, o que faz parte do amadurecimento corporativo, embora exista a preocupação constante dos executivos, principalmente com ataques cibernéticos que comprometam a operação.
Os investimentos têm sido direcionados para a aquisição de um ERP (sistema integrado de gestão) grande de mercado, digitalização, e-commerce, dados de CRM e outras frentes, mas esquecem de projetar a continuidade do próprio negócio. E se tudo que foi investido na empresa não puder ser utilizado por conta de uma interrupção? Esse é o valor do PCN.
Um bom PCN compreende a junção de habilidades focadas em resiliência operacional e estratégias de trabalho, sempre pensando em um cenário de interrupção no serviço normal do negócio e envolvendo Processos, Pessoas e Tecnologias. O plano funcional inclui a Continuidade Operacional e uma Análise de Impacto aos Negócios sobre as atividades e funções da empresa, além de um plano de continuidade de serviços de TI – ou DRP – Disaster Recovery Planning. Inclusive, é importante definir todos os fatores que implicam o negócio, os stakeholders e as atividades críticas.
Ainda tomando o varejo como exemplo são vários os pontos críticos de negócios, sendo os de maior atenção o controle de estoque, controle de perdas, logística de entrega e, ainda, o desafio da omnicanalidade. Todos os pontos dependem de tecnologia e contingência. No âmbito da governança, compliance e segurança/proteção de dados, as ocorrências de maior incidência em empresas varejistas que não têm PCN, em especial do setor supermercadista e de farmácias, são:
1) Casos de ataques cibernéticos;
2) Falta de planejamento e organização tecnológica sobre a ótica de segurança;
3) Procedimentos falhos de recuperação e segurança;
4) Vazamento de dados pessoais;
5) Processos e multas de entidades ou autoridades;
6) Perda de imagem e reputação no mercado;
7) Impacto negativo no resultado.
O impacto é sempre desastroso, pois o varejo depende da relação com o cliente, que precisa se sentir seguro, e da sua reputação, já que a concorrência dita as regras desse mercado. Indiscutivelmente, o varejo sempre será atraente para ataques cibernéticos devido à complexidade dos seus ambientes e distribuição em vários pontos de vendas conectados, que aumentam ainda mais a exposição dos dados. Os setores do varejo com grande força digital são mais vulneráveis pelo grande volume de informações que trafegam online, o que dificulta a gestão e é um prato cheio para os ataques de ransomware.
Embora seja possível prever o impacto de ameaças identificadas, isso não é suficiente para determinar estratégias de continuidade de negócios capazes de responder a incidentes disruptivos identificados e inesperados. Os requisitos definidos somente por ameaças identificadas podem não ser abrangentes, em um cenário que exige respostas rápidas e recuperação efetiva em um incidente.
Portanto, o PCN deve envolver todas as áreas, sendo que no decorrer do trabalho existe um foco maior nas áreas responsáveis pelo fluxo de 80% do faturamento. Contudo, durante todo o processo deve-se assegurar que todas as áreas façam parte ou estejam cientes do PCN. Vale lembrar que, depois que a empresa faz um plano de continuidade de negócios, deve ser auditada semestralmente para dar segurança e celeridade ao processo.
*Sylvio Sobreira é fundador e CEO da SVX Corporate e especialista em governança, gerenciamento, privacidade e proteção de dados, contribuindo com esses fatores para processos de Inovação, Transformação Digital, Governança e Conformidade, além de adequar e melhorar serviços e produtos de seus clientes.
