Voltar às atividades depois de um incidente crítico não costuma ser fácil. Se a empresa não tiver um plano de continuidade, o desafio pode ser ainda maior, podendo significar o fim da instituição

Desde o início da pandemia da covid-19, muitas empresas têm enfrentado uma série de obstáculos para manter suas operações. Algumas foram obrigadas a interromper as atividades, enquanto outras tiveram de adaptar seus modelos de negócios para sobreviverem. No entanto, um dos principais desafios enfrentados pelas organizações tem sido o gerenciamento de incidentes críticos. 

Um incidente crítico pode ser definido como qualquer evento que possa causar interrupção nas operações da empresa. Segundo Ivan Paiva, Líder da Plataforma de Segurança e Continuidade da Flowti, trata-se de um evento repentino e não planejado, que causa grandes danos e perdas a uma instituição, principalmente quando impede o negócio de funcionar e não pode ser corrigido dentro de um período de tempo aceitável para os clientes. O tempo, no entanto, vai determinar se a interrupção é um incidente ou desastre. 

“A pandemia, por exemplo, foi um evento de desastre para muitas organizações. Mas há outra pandemia em curso, que é a de cibersegurança. Diversas organizações estão sendo atacadas, mas de alguma maneira, elas não estão sendo levadas à mídia. A gente já atendeu hospital que, num ataque de ransomware, perdeu o backup e precisou começar tudo do zero”, ilustra Ivan. 

Além dos ataques cibernéticos, que colocam em risco não só a infraestrutura de TI, como também a produção, o backup, o site da empresa, dispositivos médicos, dados pessoais, entre outras ameaças, existem outros tipos de incidentes tão críticos quanto. Ivan aponta alguns exemplos mais comuns de problemas que podem interromper os negócios: 

* Eventos naturais: incêndios, inundações externas/internas, terremotos, entre outros, podem causar colapso na estrutura do prédio e danificar equipamentos. 

* Pandemia: uma crise sanitária mundial, como a da covid-19, traz incertezas para a economia global, provoca parada de trabalhadores afastados por questões de saúde, entre outros problemas. 

* Falha na cadeia de suprimentos: podendo atingir o provedor de cloud, rede, energia e equipamentos.  

* Erros na gestão de compliance: não estar em conformidade com a LGPD pode causar interrupção da cadeia de suprimentos, o que impacta os clientes e o negócio. “Se a minha empresa tiver, por exemplo, associada à corrupção, outras empresas que têm compliance não vão fazer negócio comigo”, exemplifica Ivan.  

* Erro humano: ninguém está livre disso. “Por exemplo, o fornecedor que cuida das bases de dados de uma empresa pode, acidentalmente, apagar essa base de dados. Eu já vi isso acontecer com um profissional recém-contratado, de uma empresa que cuidava da base de dados de vários clientes”, conta o especialista. 

* Escândalos: podem ser causados por fraude financeira, danos morais, entre outros.  

Efeitos colaterais  

Ser forçada a parar as atividades, como é de se esperar, a empresa pode enfrentar diversos prejuízos. O tamanho da repercussão, contudo, depende da capacidade e agilidade em responder à situação. 

O real impacto de uma interrupção das operações causada por um incidente crítico pode ser dividido em três grandes aspectos: operacional, financeiro e de reputação.  

A parte operacional é influenciada de imediato quando acontecem interrupções, com atrasos na entrega do serviço ou produto. Além disso, a piora na produtividade e uma eventual queda na qualidade de serviço pode levar à perda de clientes. A partir daí, outras áreas começam a ser afetadas em maior ou menor grau, a depender do gerenciamento da crise.  

Quanto ao reflexo financeiro, é importante levar em consideração o custo direto do incidente, como gastos com reparações, manutenção ou, até mesmo, substituição de equipamentos, além dos custos indiretos, que podem incluir perda de receita, de market share, entre outras. “O dano financeiro pode quebrar uma empresa rapidamente”, lembra Ivan. 

Já o impacto na reputação da instituição é inestimável, pois uma vez que a confiança dos clientes é abalada, pode ser muito difícil (quando não impossível) recuperá-la. Além disso, os danos à reputação podem ter um efeito cascata, afetando negativamente outros aspectos, como as relações com fornecedores e parceiros. “Tudo o que é serviço ao cliente é crítico. Se o cliente não tem uma informação ou um serviço, começa a arruinar a reputação da empresa, a atacar pela internet, mover ações. Isso impacta na cadeia de valor”, diz Ivan. 

Plano de continuidade 

Minimizar os impactos que um incidente crítico causa nas operações é uma preocupação que, idealmente, deve-se ter antes de algo acontecer. Vale lembrar que um evento desastroso pode se tornar um problema escalável se não for devidamente tratado.  

A continuidade das operações é a garantia de que uma organização pode sustentar funções e processos críticos, qualquer que seja a causa da interrupção. Por isso, é importante ter um plano de continuidade de negócios, com medidas para reduzir as consequências negativas, bem como ações para restaurar rapidamente as operações normais da empresa. Mas Ivan Paiva alerta: “A prevenção é, antes de tudo, um tema de alta direção. Não é da TI ou do jurídico. As empresas que foram mais bem-sucedidas em continuidade do negócio e gerenciamento de risco durante a pandemia são aquelas em que a alta direção esteve totalmente envolvida”.