Preparar-se para situações de crises ou desastres não é comum para os brasileiros, pois é cultural termos uma visão otimista das coisas e da vida. Isso se reflete também no comportamento de muitas empresas brasileiras, que só entendem o valor e a importância de um Plano de Continuidade de Negócios quando já estão na situação de crise ou de desastre.

Para evoluirmos em relação a gestão empresarial e de riscos, é preciso mais que fé, otimismo ou sorte. Estar preparado é a primeira regra em uma boa gestão de riscos e pode minimizar perdas, abalo na imagem da empresa, desvalorização, desastres ambientais, desemprego, entre outros. Para isso, existe o Plano de Continuidade de Negócios (PCN). Mas, afinal, o que é isso?

O PCN é um produto da Gestão de Continuidade de Negócios, que é parte da Gestão de Riscos Empresariais, e consiste em um conjunto de planos, estratégias, acordos e arranjos com o objetivo de prevenir, preparar e responder adequadamente a situações de disrupção do negócio, que podem levar a crises ou desastres.

A interrupção de processos de negócios críticos em qualquer tipo de empresa pode ocasionar impactos de imagem, financeiros, operacionais, legais, ambientais e socioambientais, oferecendo uma oportunidade para a materialização de riscos e consequências prejudiciais aos stakeholders das organizações.

A gestão da continuidade de negócios é uma parte importante da governança corporativa e de riscos, e está ligada diretamente à capacidade de resiliência de uma organização. Isso pode representar maior ou menor risco para investimentos ou para seus clientes. Em uma boa análise de fornecedores, esse item pode ser o diferencial decisivo para um comprador.

De acordo com o levantamento The State of Cybersecurity 2023: The Business Impact of Adversaries on Defenders, da empresa Sophos, 52% das organizações avaliadas disseram que as ameaças cibernéticas estão muito avançadas para elas lidarem sozinhas. Além disso, 64% gostariam que a equipe de TI pudesse dedicar mais tempo a questões estratégicas e menos tempo no combate a incidentes.

A cada dia, acompanhamos ataques de ransomware (código malicioso que pode obter dados com o uso de criptografia, e em seguida exigir um resgate em criptomoedas). Isso acontece em diversos setores de varejo, financeiro, saúde, entre outros. O Relatório de Ameaças Cibernéticas SonicWall 2023 revelou que o Brasil é o quarto maior alvo de ransomware do mundo, atrás somente dos Estados Unidos, Reino Unido e Espanha.

Recentemente, o Hospital Universitário da USP sofreu uma ação de ransomware, que invadiu todos os sistemas e fez com que muitos processos fossem feitos em papel para não prejudicar o atendimento. A empresa de computação na nuvem Ativy Digital também sofreu um ataque do mesmo tipo em março.

Na ação, que afetou os sistemas de acesso aos hosts, os cibercriminosos pediram um resgate que logo foi interrompido quando eles perceberam as tentativas de restauração por parte da empresa. Felizmente, nesse caso, não houve indícios de vazamento de dados.

O Plano de Continuidade de Negócios é um importante investimento para empresas de todos os portes, e ajudará a sobrevivência frente a situações como ciberataques, ciberincidentes, danos de infraestrutura crítica, interrupção de processos ou problemas em parceiros.

Além disso, avaliar os riscos de processos, pessoas e tecnologias em uma organização, mapear potenciais cenários de crises e preparar toda a organização para enfrentar isso é um dos maiores valores agregados dessa prática.

3 passos para elaborar um PCN

Respeitando uma das melhores referencias no tema, o DRII (Disaster Recovery Institute International), fundado em 1998 nos EUA, recomendo de forma estratégica os seguintes passos:

1. Pré-Plano

1.1. Criar um programa corporativo de continuidade de negócios;

1.2. Identificar, classificar e tratar os riscos à continuidade;

1.3. Análise de impactos no negócio (quais partes do negócio merecem mais atenção?).

2. Plano

2.1. Definir estratégias para continuidade para processos, pessoas e tecnologias;

2.2. Preparar a resposta a incidentes (nem todo incidente é uma emergência e nem todo incidente é uma crise);

2.3. Elaborar o Plano de Continuidade de Negócios (tecnologia e processos precisam estar preparados);

3. Pós-Plano

3.1. Treinar e conscientizar equipes e liderança;

3.2. Auditar, medir e monitorar a continuidade;

3.3. Adequar a comunicação em crises (planos de comunicação para crise);

3.4. Coordenar com agências externas. Gerir riscos é estar preparado! E para isso, o ideal é compreender as suas capacidades, seus riscos e como enfrentá-los. Infelizmente, sendo proveniente de uma ameaça cibernética, de um ataque direcionado, de uma falha operacional ou de uma interrupção de tecnologias ou de parceiros, uma situação de disrupção pode ser o fator decisivo para a vida ou a morte de uma empresa.

Portanto, um plano de continuidade de negócios trata-se de uma boa preparação para minimizar perdas e impactos aos negócios, protegendo assim marcas, reputações, empregos e regiões.

Fonte: Administradores