PCN ainda é incipiente
Estar
preparado para uma crise é tão importante quanto focar no crescimento da
empresa. Em um cenário onde acompanhamos diariamente uma série de casos de
ataques cibernéticos, falhas de segurança e vazamento de dados, fica evidente
que essas empresas ainda precisam evoluir não só na resolução de situações
críticas, mas na construção de um Plano de Continuidade de Negócios - PCN.
A continuidade dos negócios e a recuperação de desastres estão
totalmente ligadas e as empresas que não se apressarem nesse processo, que
exige cautela e antecedência, colocarão em risco a sua própria sobrevivência no
mercado.
Em minha
experiência com o varejo, eu diria que 85% do setor não tem um PCN efetivo,
apesar de estar entre os que mais sofreu com ataques cibernéticos no ano
passado, com casos de grande repercussão, como o da Renner e da Americanas.
Mais dados confirmam isso: estudo realizado pela KPMG, ao avaliar
e classificar o nível de maturidade do PCN de 17 setores, constatou que o
segmento de varejo está ainda no estágio 2 de maturidade (são três níveis),
onde o plano de continuidade de negócios existente
não identifica nem direciona todos os eventos que podem afetar a continuidade
das operações. Nesse caso, existe um processo de gerenciamento de crises, mas
ainda não estruturado com todas as respostas e nem atualizado regularmente, o
que limita as estratégias de recuperação para eventos adversos e disruptivos.
Ainda segundo a pesquisa, 73% das empresas brasileiras não contam
com um nível adequado de maturidade com relação aos planos de continuidade de
negócios. Ainda é preciso conscientização, o que faz parte do amadurecimento
corporativo, embora exista a preocupação constante dos executivos,
principalmente com ataques cibernéticos que comprometam a operação.
Os
investimentos têm sido direcionados para a aquisição de um ERP (sistema
integrado de gestão) grande de mercado, digitalização, e-commerce, dados de CRM
e outras frentes, mas esquecem de projetar a continuidade do próprio negócio. E
se tudo que foi investido na empresa não puder ser utilizado por conta de uma
interrupção? Esse é o valor do PCN.
Um bom
PCN compreende a junção de habilidades focadas em resiliência operacional e
estratégias de trabalho, sempre pensando em um cenário de interrupção no serviço
normal do negócio e envolvendo Processos, Pessoas e Tecnologias. O plano
funcional inclui a Continuidade Operacional e uma Análise de Impacto aos
Negócios sobre as atividades e funções da empresa, além de um plano de
continuidade de serviços de TI - ou DRP - Disaster Recovery Planning.
Inclusive, é importante definir todos os fatores que implicam o negócio, os
stakeholders e as atividades críticas.
Ainda
tomando o varejo como exemplo são vários os pontos críticos de negócios, sendo
os de maior atenção o controle de estoque, controle de perdas, logística de
entrega e, ainda, o desafio da omnicanalidade. Todos os pontos dependem de
tecnologia e contingência. No âmbito da governança,
compliance e segurança/proteção de dados, as ocorrências de maior incidência em
empresas varejistas que não têm PCN, em especial do setor supermercadista e de
farmácias, são:
1-
Casos de ataques cibernéticos;
2 - Falta
de planejamento e organização tecnológica sobre a ótica de segurança;
3 -
Procedimentos falhos de recuperação e segurança;
4 -
Vazamento de dados pessoais;
5 -
Processos e multas de entidades ou autoridades;
6 - Perda
de imagem e reputação no mercado;
7 -
Impacto negativo no resultado.
O impacto
é sempre desastroso, pois o varejo depende da relação
com o cliente, que precisa se sentir seguro, e da sua reputação, já que a
concorrência dita as regras desse mercado. Indiscutivelmente, o varejo
sempre será atraente para ataques cibernéticos devido à complexidade dos seus
ambientes e distribuição em vários pontos de vendas conectados, que aumentam
ainda mais a exposição dos dados. Os setores do varejo com grande força digital
são mais vulneráveis pelo grande volume de informações que trafegam online, o
que dificulta a gestão e é um prato cheio para os ataques de ransomware.
Embora seja possível prever o impacto de ameaças identificadas, isso não é suficiente para determinar estratégias de continuidade de negócios capazes de responder a incidentes disruptivos identificados e inesperados. Os requisitos definidos somente por ameaças identificadas podem não ser abrangentes, em um cenário que exige respostas rápidas e recuperação efetiva em um incidente.
Portanto, o PCN deve envolver todas as áreas,
sendo que no decorrer do trabalho existe um foco maior nas áreas responsáveis
pelo fluxo de 80% do faturamento. Contudo, durante todo o processo deve-se
assegurar que todas as áreas façam parte ou estejam cientes do PCN. Vale
lembrar que, depois que a empresa faz um plano
de continuidade de negócios, deve ser auditada semestralmente para dar
segurança e celeridade ao processo.
Sylvio Sobreira - fundador e CEO da SVX Corporate
Nenhum comentário:
Postar um comentário