Passados exatos sete anos dos ataques às torres gêmeas em Nova York, completados nesta quinta-feira, 11, acontecimento que é considerado um divisor de águas em relação à importância de se estabelecer planos de contingência e gestão de risco, as empresas brasileiras ainda estão longe de um objetivo ideal.
Segundo pesquisa divulgada esta semana pela consultoria Daryus Strategic Risk Consulting, feita com 112 empresas entre as 500 maiores, 33% delas não possuem um plano de continuidade de negócios e apenas 3% investem mais de R$ 5 milhões nessa área.
Segundo Jeferson D'Addario, diretor da consultoria, apesar de as empresas estarem preocupadas com o assunto, poucas fazem o BIA (Business Impact Analisys), pois contingência não está limitada apenas aos contornos da área de TI, mas a toda a empresa, envolvendo negócios, processos, pessoas e tecnologia. "Mas estou otimista, pois os dados revelam que a formação de profissionais em ITIL cresce 14% ao ano, número que por si só revela o interesse das empresas em certificar seus profissionais nas melhores práticas."
A pesquisa mostra ainda que 22% das empresas possuem um CSRO (chief security/risk officer na organização) e que 25% dos profissionais têm certificação em disciplinas de segurança aprovada pelo DRII (Disaster Recovery Institute International); 15% pelo Isaca, 7% em auditoria; 6% em PMP pelo PMI (Project Management Institute); 4% pelo BCI e 4% pelo ISC, organismos de certificação mais conhecidos para a área de segurança.
As empresas normalmente correm para recuperar o prejuízo depois do desastre. Na opinião de D'Addario, o executivo principal é quem deveria liderar as iniciativas de contingência e risco, pois não é só o prejuízo financeiro que está em jogo, mas em muitos casos a responsabilidade civil e criminal do board diretivo. "Um bom exemplo acontece na Visanet, onde o próprio presidente lidera o projeto", acrescenta.
Outro bom exemplo mencionado pelo diretor é a Mineradora Samarco que investe em certificação, possuindo normas ISO 9001 (produção), 27000 (segurança) 14001 (gestão ambiental) e ISO 20000, que define as melhores práticas de gerenciamento de TI. "Elas são importantes também para as empresas que exportam", enfatiza.
As empresas deveriam estabelecer uma governança de risco, na opinião de D'Addario, pois exemplos de desastres não faltam, como o emblemático "11 de setembro", e casos de grande repercussão como Enron, Worldcom e do petroleiro Rio Valdez, que fez com que as ações das Exxon Mobil encolhessem US 3 bilhões em bolsa norte-americana.