25.6 C
São Paulo
terça-feira, abril 16, 2024
InícioLiderança de TIContinuidade dos negócios não é só um problema “tecnológico”

Continuidade dos negócios não é só um problema “tecnológico”

No último artigo, eu escrevi sobre a necessidade de estar preparado para responder e se recuperar de um grande incidente cibernético que impacte e indisponibilize a sua infraestrutura computacional, e consequentemente paralise a operação de seus negócios.

Porém, será que somente esse aspecto da continuidade de negócio, o lado interno da empresa, é o único aspecto do tema que precisamos entender e endereçar? Neste artigo, vou explorar dois outros aspectos que também estão relacionados à continuidade dos negócios da empresa: a disponibilidade de seus prestadores de serviço e a dependência de pessoas-chave.

Começaremos pela questão da disponibilidade dos prestadores de serviço, empresas parceiras, fornecedores ou qualquer outro nome que possa ser dado para aquelas companhias que atuam de alguma forma, suportando os negócios de nossas empresas. 

Hoje, acredito que é impossível afirmar que uma empresa seja 100% autônoma para executar seus negócios, citando o exemplo mais banal para ilustrar esse caso: todos dependem do fornecimento de energia elétrica para operar suas empresas, portanto, se houver uma indisponibilidade nesse serviço (sei que é algo aparentemente simples e que todos devem ter passado por essa situação), espero que tenham se preparado para não sofrer grandes impactos.

Existem diversos outros casos que são comuns à todas as empresas, como paralisações do transporte público e fornecimento de água, porém, quando paramos para analisar os nossos processos internos, é muito natural que encontremos diversos fornecedores ou empresas prestadoras de serviço suportando processos críticos de nosso negócio e/ou de nossa operação interna. 

Em alguns setores, como no financeiro, existe até obrigação de tratamento deste tema pelo órgão regulador, no caso a circular normativa nº 85 do Banco Central, mas esse é um tema que já é tratado há muito tempo, dado a sua criticidade.

Tivemos exemplos recentes onde a indisponibilidade de algumas empresas acabou gerando impactos muito grandes em diversas empresas que tinham seus serviços 100% terceirizados, e, com a especialização e foco das empresas em seus negócios principais, é um movimento cada vez mais natural que haja essa interdependência entre empresas. É aí que nasce ou que precisa ser identificado o risco na gestão de terceiros, normalmente chamado de Third Party Risk Management.

Precisamos olhar para nossos processos. Podemos começar com aqueles que consideramos críticos para o negócio e mapear a dependência de empresas terceiras nele. Lembrando que não estou me referindo somente a dependência tecnológica, mas qualquer dependência que possa gerar impacto em nosso processo. Essa é a visão mais ampla e não estritamente focada em tecnologia que o pilar da gestão de disponibilidade na segurança da informação tem que abordar.

negócios
Imagem gerada por Inteligência Artificial (IA)

Não será surpresa que uma grande quantidade de empresas apareça nesta lista, mas esse risco precisa ser devidamente mapeado, entendido e endereçado. Claro que existem diversos aspectos que fazem com que a terceirização de serviços seja o melhor caminho a ser adotado pelas empresas, incluindo aqui talvez o mais comum dele, que é o menor custo. 

Porém, imagine o cenário de ficar sem seu operador logístico disponível para entregar suas vendas, e não estou dizendo que essa situação acontecerá em decorrência de um incidente cibernético, ela pode acontecer por um grave problema financeiro em seu parceiro ou por diversos outros fatores que podem fazer com que uma empresa tenha suas operações interrompidas repentinamente.

O mapeamento dessas dependências é muito importante para que os responsáveis possam pensar, desenhar e propor alternativas para esses cenários. Pode-se propor a divisão do processo em duas ou mais empresas, internalizar parte da operação, a contratação de uma empresa backup que esteja pronta para atuar em caso de necessidade ou periodicamente acessar o mercado para que se tenha uma visão das alternativas e uma estimativa de tempo para que a substituição do parceiro seja implementada. 

Estou citando aqui algumas alternativas, mas, a depender do processo e da estrutura de sua empresa, podem existir outras e, até mesmo, chegar à conclusão que as alternativas apresentadas são inviáveis para a empresa e o risco terá que ser aceito.

Não estou falando que essa definição tem que ser feita para todos os prestadores de serviço, mas minimamente para aqueles que são críticos e podem paralisar parte de seu negócio. 

Mapear quanto tempo cada processo suporta ficar com aquele parceiro indisponível, qual é o nível de esforço para substituição (se houver essa alternativa, pois, dependendo do caso, pode ser praticamente inviável), qual o custo de ter uma contingência ou backup, enfim, são algumas das informações que precisarão ser levantadas para que a decisão do gerenciamento deste risco seja tomada pelos executivos da empresa.

O outro ponto da continuidade dos negócios que quero discorrer está relacionado ao contingenciamento de pessoas-chave. Quem nunca ouviu no ambiente corporativo aquela frase “somente determinada pessoa sabe sobre ou consegue fazer isso”? Essa situação acontece, e muito, na verdade. 

As causas podem ser diversas e, muitas vezes, acontece por conta de uma pessoa que está há muito tempo na empresa e sabe como funcionam as coisas, mas é um tipo de situação que pode se tornar crítica para a empresa, olhando num prisma mais amplo.

negócios
Imagem gerada por Inteligência Artificial (IA)

Processos ou operações críticas para o negócio não podem ser dependentes do conhecimento de uma pessoa para serem executados, afinal de contas, as pessoas “estão” na empresa temporariamente ou podem se afastar por simples motivos de férias. Os gestores precisam ficar atentos a esse tipo de situação e endereçar planos para que essas dependências acabem ou sejam muito mitigadas.

Isso é um outro aspecto importante da continuidade de negócios: endereçar um plano de contingência de pessoas-chave, onde, uma vez que os principais processos de negócio sejam mapeados, também seja feito o levantamento de quem são os responsáveis pela sua execução. 

Se o resultado do levantamento for “responsáveis”, no plural, já é um ótimo sinal. Agora, se a resposta vier no singular, a empresa tem um problema de continuidade que precisa ser endereçado.

É responsabilidade do gestor do processo atuar nessa frente, montar um plano de capacitação de outro profissional ou a contratação de outra pessoa para que esse processo crítico tenha sua contingência de pessoas estabelecida.

Apesar de parecer uma questão simples, é um ponto que pode causar sérios impactos às empresas e precisa de alguém que gerencie essa questão de forma organizada, contando, inclusive, com a participação efetiva dos times de recursos humanos para que qualquer movimentação em pessoas-chave seja feita de acordo com critérios específicos, e situações imprevistas possam ser mitigadas da melhor forma possível.

Esse plano de contingenciamento de pessoas-chave também precisa passar por revisões periódicas, pois, além do papel do gestor do processo ser estar atento a essa necessidade, uma área de controle tem que provocar essa discussão devido ao dinamismo com que as empresas se movimentam e mudam atualmente. Portanto, numa mudança dessas, uma função crítica pode ficar descoberta de seu contingenciamento e, na ocorrência de um problema, trazer sérios impactos para a empresa.

Também é papel desse tipo de gestão de continuidade garantir que um plano de teste dessas contingências esteja sendo executado com a maior frequência possível, visando o menor impacto na ocorrência de situações de indisponibilidade.

Enfim, tratei aqui de dois pontos relacionados à continuidade dos negócios das empresas que vejo pouco sendo falados, mas que podem trazer sérios impactos. Espero que contribua com aqueles que já tem essa tratativa em suas empresas ou que sirva de insight para aqueles que ainda não começaram a trabalhar essas questões.

Glauco Sampaio
Glauco Sampaio
Profissional da área de Segurança da Informação, Gestão de Riscos e Prevenção a Fraudes atuando desde 1999 em empresas de grande porte do mercado financeiro nacional (Bancos: Santander, Votorantim e Original, e Cielo) e também em empresa de mídia (iG e Editora Abril). Gestor desde 2005 sendo responsável pela estratégia, operação e gestão de áreas de segurança da informação.
Postagens recomendadas
Outras postagens