Edgar Pimenta , Visão online
A pandemia trouxe desafios únicos e inesperados, como todos os eventos do tipo “cisnes negros”. Mas nem todas as organizações sofreram os impactos da mesma forma, não só decorrentes obviamente do seu sector de atividade, mas também da forma como estavam preparadas (ou não) para lidar com situações limites e inesperadas. Empresas com algum tipo de gestão de risco terão lidado com o tema de uma forma diferente daquelas cujo termo ainda é algo desconhecido.
Não pretendendo começar de forma pretensioso, diria que existe uma fórmula para nos garantir uma gestão com sucesso (seja de um projeto ou iniciativa específica, seja de uma empresa ou qualquer outro tema): termos os recursos que queremos, saber quais as dificuldades que vamos encontrar de antemão e sabermos como lidar com essas mesmas dificuldades. Ou seja, de forma simples, dominar e controlar todas as variáveis.
Obviamente, este cenário está longe de ser real. Ninguém tem todos os recursos que quer e precisa (e aqui entenda-se humanos, financeiros, tecnológicos e outros) e ninguém é capaz de antecipar todas as dificuldades e definir de antemão as respetivas soluções. Pensar de outra forma é cair numa utopia.
Então como lidar com essa situação?
Não existe uma fórmula simples nem um processo chave na mão. No entanto, existe uma ferramenta que nos pode ajudar: a gestão de risco.
Intuitivamente a gestão de risco é uma ferramenta que usamos frequentemente no nosso dia a dia, embora muitas vezes sem sequer nos apercebermos. Quantas vezes fazemos algo que podemos considerar mais arriscado ou “fora da caixa” e pensamos no benefício de tal ação face ao que pode correr mal? Na prática, estamos a fazer uma gestão de risco. Curiosamente, algo que com a pandemia e neste período de férias se tornou um pouco mais frequente. Pensamentos como “será que devo ir de férias para aquele sítio?” tornou-se uma gestão de risco pessoal/familiar entre os benefícios da ida e os potenciais problemas que daí podem advir.
Gerir riscos, e de uma forma simplicista, é tentar antecipar o que pode correr mal para, ou evitar que tal aconteça, ou ter um plano B caso corra mesmo mal. E vamos criando cenários diferentes de coisas distintas que podem correr mal, usando a probabilidade de ocorrência e possíveis impacto como variáveis que ajudam na decisão dos cenários mais possíveis e dos cenários mais remotos. E assim ajudar a definir onde devemos aplicar os nossos recursos (e quais).
Quem trabalha na área de segurança de informação sabe que uma gestão de riscos é fundamental para permitir definir prioridades face à impossibilidade de ter todos os recursos desejados disponíveis e de prever todas as situações adversas que podem impedir, por exemplo, uma organização de cumprir com os seus objetivos de negócio (as chamadas ameaças).
Para isso, é fundamental conhecer os objetivos da organização, mas também conhecer e acompanhar o contexto onde a organização se insere. Só dessa forma é possível perceber as mudanças desse mesmo contexto e qual o impacto que essas mudanças podem trazer.
Obviamente, ninguém e nenhuma ferramenta nos pode preparar de forma definitiva para os chamados “cisnes negros” - eventos cuja probabilidade é muito reduzida (ou são totalmente surpreendentes) e tem um impacto enorme. E esta pandemia é o mais recente “cisne negro”.
Mas mesmo quando ocorrem “cisnes negros”, a gestão de riscos pode dar uma ajuda preciosa. E quando falamos de gestão de riscos de segurança, existe um outro tema que não será totalmente estranho a quem lida com estes temas: a continuidade de negócio.
A continuidade de negócio não é nada mais do que preparar a organização para eventos/cenários disruptivos de várias dimensões de forma a garantir a capacidade da empresa de operar. E esses cenários de falha podem ser tão simples como a falha de um software de processamento de salários no dia desse processamento, a cenários mais limite como um terramoto ou mesmo uma pandemia.
Assim, as organizações que no passado aprofundaram o tema de continuidade de negócio estarão de certeza a lidar com a situação da pandemia de forma mais estruturada do que as empresas que nunca antes pensaram no tema. Pela simples razão de já terem considerados vários cenários disruptivos, os impactos que os mesmos podem ter e como reduzir esses mesmos impactos. As empresas que nunca antes pensaram nesses temas vêem-se agora obrigadas a fazê-lo de forma mais ou menos sustentada. Mas fazendo-o, a verdade é que ficarão mais fortes para lidar com imprevistos no futuro.
Para os que estão a começar ou que ainda vão começar a pensar no tema, existe imensa literatura sobre o tema e uma das boas práticas de referência (e que é também certificável) é a ISO22301 – Sistema de Gestão de Continuidade de Negócios. Sempre um excelente ponto de partida.
E então? Está preparado para o próximo “cisne negro”?