Sua empresa está preparada para uma crise? PCN no varejo ainda é incipiente
*Por Sylvio Sobreira
Estar
preparado para uma crise é tão importante quanto focar no crescimento da
empresa. Em um cenário onde acompanhamos diariamente uma série de casos de
ataques cibernéticos, falhas de segurança e vazamento de dados, fica evidente
que essas empresas ainda precisam evoluir não só na resolução de situações
críticas, mas na construção de um Plano de Continuidade de Negócios - PCN.
A continuidade dos negócios e a recuperação de desastres
estão totalmente ligadas e as empresas que não se apressarem nesse processo,
que exige cautela e antecedência, colocarão em risco a sua própria
sobrevivência no mercado.
Em minha
experiência com o varejo, eu diria que 85% do setor não tem um PCN efetivo,
apesar de estar entre os que mais sofreu com ataques cibernéticos no ano
passado, com casos de grande repercussão, como o da Renner e da Americanas.
Mais dados confirmam isso: estudo realizado pela KPMG, ao
avaliar e classificar o nível de maturidade do PCN de 17 setores, constatou que
o segmento de varejo está ainda no estágio 2 de maturidade (são três níveis),
onde o plano de continuidade de
negócios existente não identifica nem direciona todos os eventos que podem
afetar a continuidade das operações. Nesse caso, existe um processo de
gerenciamento de crises, mas ainda não estruturado com todas as respostas e nem
atualizado regularmente, o que limita as estratégias de recuperação para
eventos adversos e disruptivos.
Ainda segundo a pesquisa, 73% das empresas brasileiras não
contam com um nível adequado de maturidade com relação aos planos de
continuidade de negócios. Ainda é preciso conscientização, o que
faz parte do amadurecimento corporativo, embora exista a preocupação constante
dos executivos, principalmente com ataques cibernéticos que comprometam a
operação.
Os
investimentos têm sido direcionados para a aquisição de um ERP (sistema
integrado de gestão) grande de mercado, digitalização, e-commerce, dados de CRM
e outras frentes, mas esquecem de projetar a continuidade do próprio negócio. E
se tudo que foi investido na empresa não puder ser utilizado por conta de uma
interrupção? Esse é o valor do PCN.
Um bom
PCN compreende a junção de habilidades focadas em resiliência operacional e
estratégias de trabalho, sempre pensando em um cenário de interrupção no
serviço normal do negócio e envolvendo Processos, Pessoas e Tecnologias. O
plano funcional inclui a Continuidade Operacional e uma Análise de Impacto aos
Negócios sobre as atividades e funções da empresa, além de um plano de
continuidade de serviços de TI - ou DRP - Disaster Recovery Planning.
Inclusive, é importante definir todos os fatores que implicam o negócio, os
stakeholders e as atividades críticas.
Ainda
tomando o varejo como exemplo são vários os pontos críticos de negócios, sendo
os de maior atenção o controle de estoque, controle de perdas, logística de
entrega e, ainda, o desafio da omnicanalidade. Todos os pontos dependem de
tecnologia e contingência. No âmbito da governança,
compliance e segurança/proteção de dados, as ocorrências de maior incidência em
empresas varejistas que não têm PCN, em especial do setor supermercadista e de
farmácias, são:
1-
Casos de ataques cibernéticos;
2 - Falta
de planejamento e organização tecnológica sobre a ótica de segurança;
3 -
Procedimentos falhos de recuperação e segurança;
4 -
Vazamento de dados pessoais;
5 -
Processos e multas de entidades ou autoridades;
6 - Perda
de imagem e reputação no mercado;
7 -
Impacto negativo no resultado.
O impacto
é sempre desastroso, pois o varejo depende da
relação com o cliente, que precisa se sentir seguro, e da sua reputação, já que
a concorrência dita as regras desse mercado. Indiscutivelmente, o varejo
sempre será atraente para ataques cibernéticos devido à complexidade dos seus
ambientes e distribuição em vários pontos de vendas conectados, que aumentam
ainda mais a exposição dos dados. Os setores do varejo com grande força digital
são mais vulneráveis pelo grande volume de informações que trafegam online, o
que dificulta a gestão e é um prato cheio para os ataques de ransomware.
Embora seja possível prever o impacto de ameaças
identificadas, isso não é suficiente para determinar estratégias de
continuidade de negócios capazes de responder a incidentes disruptivos
identificados e inesperados. Os requisitos definidos somente por ameaças
identificadas podem não ser abrangentes, em um cenário que exige respostas rápidas
e recuperação efetiva em um incidente.
Portanto, o PCN deve envolver todas as áreas,
sendo que no decorrer do trabalho existe um foco maior nas áreas responsáveis
pelo fluxo de 80% do faturamento. Contudo, durante todo o processo deve-se
assegurar que todas as áreas façam parte ou estejam cientes do PCN. Vale
lembrar que, depois que a
empresa faz um plano de continuidade de negócios, deve ser auditada
semestralmente para dar segurança e celeridade ao processo.
Sylvio Sobreira é fundador e CEO da
SVX Corporate
Nenhum comentário