*Por Sylvio Sobreira

Estar preparado para uma crise é tão importante quanto focar no crescimento da empresa. Em um cenário onde acompanhamos diariamente uma série de casos de ataques cibernéticos, falhas de segurança e vazamento de dados, fica evidente que essas empresas ainda precisam evoluir não só na resolução de situações críticas, mas na construção de um Plano de Continuidade de Negócios - PCN.

A continuidade dos negócios e a recuperação de desastres estão totalmente ligadas e as empresas que não se apressarem nesse processo, que exige cautela e antecedência, colocarão em risco a sua própria sobrevivência no mercado.

Em minha experiência com o varejo, eu diria que 85% do setor não tem um PCN efetivo, apesar de estar entre os que mais sofreu com ataques cibernéticos no ano passado, com casos de grande repercussão, como o da Renner e da Americanas.

Mais dados confirmam isso: estudo realizado pela KPMG, ao avaliar e classificar o nível de maturidade do PCN de 17 setores, constatou que o segmento de varejo está ainda no estágio 2 de maturidade (são três níveis), onde o plano de continuidade de negócios existente não identifica nem direciona todos os eventos que podem afetar a continuidade das operações. Nesse caso, existe um processo de gerenciamento de crises, mas ainda não estruturado com todas as respostas e nem atualizado regularmente, o que limita as estratégias de recuperação para eventos adversos e disruptivos.

Ainda segundo a pesquisa, 73% das empresas brasileiras não contam com um nível adequado de maturidade com relação aos planos de continuidade de negócios. Ainda é preciso conscientização, o que faz parte do amadurecimento corporativo, embora exista a preocupação constante dos executivos, principalmente com ataques cibernéticos que comprometam a operação.

Os investimentos têm sido direcionados para a aquisição de um ERP (sistema integrado de gestão) grande de mercado, digitalização, e-commerce, dados de CRM e outras frentes, mas esquecem de projetar a continuidade do próprio negócio. E se tudo que foi investido na empresa não puder ser utilizado por conta de uma interrupção? Esse é o valor do PCN.

Um bom PCN compreende a junção de habilidades focadas em resiliência operacional e estratégias de trabalho, sempre pensando em um cenário de interrupção no serviço normal do negócio e envolvendo Processos, Pessoas e Tecnologias. O plano funcional inclui a Continuidade Operacional e uma Análise de Impacto aos Negócios sobre as atividades e funções da empresa, além de um plano de continuidade de serviços de TI - ou DRP - Disaster Recovery Planning. Inclusive, é importante definir todos os fatores que implicam o negócio, os stakeholders e as atividades críticas.

Ainda tomando o varejo como exemplo são vários os pontos críticos de negócios, sendo os de maior atenção o controle de estoque, controle de perdas, logística de entrega e, ainda, o desafio da omnicanalidade. Todos os pontos dependem de tecnologia e contingência. No âmbito da governança, compliance e segurança/proteção de dados, as ocorrências de maior incidência em empresas varejistas que não têm PCN, em especial do setor supermercadista e de farmácias, são:

1- Casos de ataques cibernéticos;

2 - Falta de planejamento e organização tecnológica sobre a ótica de segurança;

3 - Procedimentos falhos de recuperação e segurança;

4 - Vazamento de dados pessoais;

5 - Processos e multas de entidades ou autoridades;

6 - Perda de imagem e reputação no mercado;

7 - Impacto negativo no resultado.

O impacto é sempre desastroso, pois o varejo depende da relação com o cliente, que precisa se sentir seguro, e da sua reputação, já que a concorrência dita as regras desse mercado. Indiscutivelmente, o varejo sempre será atraente para ataques cibernéticos devido à complexidade dos seus ambientes e distribuição em vários pontos de vendas conectados, que aumentam ainda mais a exposição dos dados. Os setores do varejo com grande força digital são mais vulneráveis pelo grande volume de informações que trafegam online, o que dificulta a gestão e é um prato cheio para os ataques de ransomware.

Embora seja possível prever o impacto de ameaças identificadas, isso não é suficiente para determinar estratégias de continuidade de negócios capazes de responder a incidentes disruptivos identificados e inesperados. Os requisitos definidos somente por ameaças identificadas podem não ser abrangentes, em um cenário que exige respostas rápidas e recuperação efetiva em um incidente.

Portanto, o PCN deve envolver todas as áreas, sendo que no decorrer do trabalho existe um foco maior nas áreas responsáveis pelo fluxo de 80% do faturamento. Contudo, durante todo o processo deve-se assegurar que todas as áreas façam parte ou estejam cientes do PCN. Vale lembrar que, depois que a empresa faz um plano de continuidade de negócios, deve ser auditada semestralmente para dar segurança e celeridade ao processo.

Sylvio Sobreira é fundador e CEO da SVX Corporate