Escolar Documentos
Profissional Documentos
Cultura Documentos
Introdução.......................................................................................... 03
Metodologia da Pesquisa................................................................. 04
Principais estatísticas....................................................................... 05
Perfil da amostra............................................................................... 06
Histórico de Incidente...................................................................... 08
a. Incidentes Operacionais............................................................................. 09
b. Incidentes de TI........................................................................................... 11
c. Incidentes de Crise (Imagem e Reputação)........................................... 13
d. Incidentes de Emergência (que atentam contra a vida)..................... 14
Estrutura e Governança................................................................... 15
Resultados observados..................................................................... 19
Consideracões Finais........................................................................ 23
2
Introdução
Em uma realidade em que os riscos de alto impacto são cada vez mais
frequentes para as organizações, é importante possuir mecanismos
para identificar incidentes que podem incorrer em rupturas e direcionar
os esforços de resposta e gestão deles. Foi identificada a necessidade
de mapear a estruturação das estratégias mais comuns em empresas
nacionais, através do mapeamento de estruturas, ocorrência de
incidentes e como foram geridos. Fortalecendo assim a cultura de
resiliência organizacional no Brasil.
3
Metodologia da Pesquisa
A primeira edição da Pesquisa Nacional sobre a Maturidade em Gestão
de Crises e Continuidade de Negócios foi conduzida através de um
questionário online, de forma primariamente anônima ou identificada,
por opção do respondente. O período de coleta de dados ocorreu entre
setembro e dezembro de 2023.
Perfil da amostra;
Histórico de Incidentes;
- Incidentes Operacionais;
- Incidentes de Crise;
- Incidentes de TI;
- Incidentes de Emergência;
Estrutura e Governança.
Nota: alguns dados estatísticos podem não apresentar uma soma exata
de 100%. Isso ocorre devido a arredondamentos de cálculos percentuais
– o que não descredibiliza nem desqualifica os dados obtidos e as análises
realizadas.
4
PRINCIPAIS ESTATÍSTICAS
· 15% dos respondentes afirmaram que sua empresa passou por pelo
menos uma situação de Crise de Imagem e Reputação nos últimos 12
meses.
5
PERFIL DA AMOSTRA
A pesquisa abrangeu, majoritariamente, empresas de médio a grande
porte, vez que as empresas com faturamento anual até R$4,8 milhões
representaram apenas 10% dos participantes. Por outro lado, as
empresas com faturamento anual acima de R$1 bilhão de reais
representaram quase metade dos participantes.
5%
5%
26%
21%
22%
21%
6
Em relação ao segmento das empresas participantes, a amostra é
diversificada. Porém, os segmentos a seguir representaram juntos
50% dos respondentes: Financeiro - Bancos (13,7%), Tecnologia,
Computação ou Telecomunicações (11,8%), Indústria (9,8%), Saúde e
Estética (7,2%) e Varejo, Atacado e E-commerce (7,2%).
QUANTIDADE DE COLABORADORES
12,4%
DE 101 A 500
7
HISTÓRICO DE INCIDENTES
Conforme mencionado, foi verificado que 45% das empresas sofreram
pelo menos um incidente de Continuidade ou Crise nos últimos 12
meses. Dentre essa amostra, a maior incidência foi identificada no
aspecto operacional, seguida por paralisações no aspecto de TI.
INCIDENTES X EMPRESAS
INCIDENTE DE TI 18%
EMERGÊNCIA 8%
DE 50.000,01 R$ A 100.000,00 R$ 7%
DE 200.000,01 R$ A 500.000,00 R$ 5%
DE 500.000,01 A R$ 1.000.000,00 R$ 3%
DE 2.000.00,01 R$ A 5.000.000,00 R$ 3%
DE 5.000.000,01 A 10.000.000,00 R$ 3%
ACIMA DE 10.000.000,01 R$ 2%
8
A. INCIDENTES OPERACIONAIS
ENCHENTES 3,4%
MANIFESTAÇÃO 3,4%
TECNOLOGIA, COMPUTAÇÃO
OU TELECOMUNICAÇÕES 14,3%
AGRONEGÓCIO 7,1%
OUTROS 14,3%
9
Também foi possível verificar que a grande maioria dessas empresas
não possui Comitês de Continuidade. Nos gráficos abaixo é possível
verificar informações sobre planos e governança para empresas
que sofreram esse tipo de ruptura operacional – tanto para planos/
governança operacional, quanto para aspectos de TI.
21%
COMITÊ DE CONTINUIDADE DE NEGÓCIOS
79%
43%
PLANO DE CONTINUIDADE DE NEGÓCIOS
57%
43%
PLANO DE CONTINUIDADE OPERACIONAL
57%
93%
43%
PLANO DE RESPOSTA A INCIDENTES
DE INFORMAÇÃO
57%
50%
PLANO DE RECUPERAÇÃO DE DISASTRES
50%
10
Já em questões de tempo de disponibilidade, mais de 50% dos
respondentes informaram que empresas que vivenciaram incidentes
operacionais (independente da causa) levaram mais de um dia para
retornarem à normalidade nas operações – com maior concentração
no período de 2 a 4 dias.
B. INCIDENTES DE TI
Das empresas que sofreram incidentes de continuidade relacionados
ao ambiente de Tecnologia da Informação, a principal causa apontada
foi Acessos indevidos (28,6%), seguida por ataques ransomware
(14,3%).
11
Dessas empresas, 57% delas demoraram mais de 24 horas para se
recuperar – o que pode ser crítico, dependendo do tipo de negócio.
Após análise dos dados dessas empresas que levaram mais de 1 dia
para a recuperação do incidente, é possível verificar que a maioria
não possui Comitês de Continuidade. Nos gráficos abaixo, é possível
verificar as informações sobre planos e governança para estas
empresas.
42%
COMITÊ DE CONTINUIDADE DE NEGÓCIOS
58%
42%
PLANO DE CONTINUIDADE DE NEGÓCIOS
58%
42%
PLANO DE CONTINUIDADE OPERACIONAL
58%
12
C. INCIDENTES DE CRISE (IMAGEM E REPUTAÇÃO)
Ao todo, 15% dos respondentes afirmaram que sua empresa
enfrentou ao menos um incidente de Crise nos últimos 12 meses. As
causas raízes mais citadas foram Informações contábeis em desacordo
com regras e legislações, Incidentes de emergência (que atentam
contra a vida), Ataques Cibernético e Conduta Antiética. As quatro
representam juntas mais de 50% das causas citadas, como é possível
observar no gráfico abaixo:
CAUSA RAIZ DA CRISE
INFORMAÇÕES CONTÁBEIS EM DESACORDO
COM REGRAS E...
13%
INCIDENTES DE EMERGÊNCIA
(QUE ATENTEM CONTRA A..
13%
ATAQUES CIBERNÉTICOS 13%
CONDUTA ANTIÉTICA 13%
ATOS DISCRIMINATÓRIOS 6%
VAZAMENTO DE DADOS PESSOAIS 6%
ASSOCIAÇÕES POLÍTICAS 6%
DESASTRE NATURAL 6%
FRAUDES 6%
INDISPONIBILIDADE DE SISTEMAS 6%
PRIVATIZAÇÃO DO SERVIÇO 6%
VUHERABIIDADE 6%
EXPLOSÃO 18,2%
INCÊNDIOS 18,2%
14
ESTRUTURA E GOVERNANÇA
Após análise das informações sobre a estrutura e a governança de
Continuidade de Negócios das empresas, foi possível verificar que
pelo menos 1/3 dos respondentes não possui planos ou comitês
implementados.
36%
SIM
NÃO
64%
35%
SIM
NÃO
65%
15
QUANDO IMPLEMENTOU O SISTEMA DE CONTINUIDADE
DE NÉGOCIOS
17%
ANTES DA PANDEMIA
28% APÓS A PANDEMIA
DURANTE A PANDEMIA
55%
70%
69%
62%
16
Quanto aos documentos implementados na estrutura das empresas, o
Plano de Continuidade de Negócios é o que mais empresas possuem,
com 52% dos respondentes afirmando existir documento formalizado
em suas instituições. Já o documento com uma menor taxa de
implementação é o Plano de Respostas a Emergência, com 65% dos
respondentes afirmando a não existência do documento em suas
respectivas empresas1.
52%
PLANO DE CONTINUIDADE
DE NEGÓCIOS
48%
48%
PLANO DE GESTÃO
DE CRISES
52%
46%
BIA
54%
42%
ÁNALISE DE RISCOS DE
CONTINUIDADE 58%
42%
PLANO DE RESPOSTA A
INCIDENTES DE INFORMAÇÃO
58%
41%
PLANO DE CONTINUIDADE
OPERACIONAL
59%
35%
PLANO DE RESPOSTA A
EMERGÊNCIAS 65%
1
Essa estatística contradiz a lógica comum, ao passo que grande maioria das empresas é obrigada a ter
minimamente um Plano de Abandono – muitas vezes entendido como Plano de Resposta a Emergência. Essa
informação induz à análise de que muitas empresas não dominam com exatidão sua estrutura de documentos.
Mais adiante será tratada essa questão ao analisar incongruências das respostas.
17
Já quanto à análise da Governança de Continuidade, para as empresas
respondentes, o Comitê de Gestão de Crises foi o mais citado como
implementado, com 51% dos respondentes afirmando que possuem
esse Comitê formalizado em suas instituições. O Comitê que apresentou
uma menor taxa de implementação foi o Comitê de Continuidade em
Tecnologia da Informação, com 76% dos respondentes afirmando a não
existência dessa estrutura de governança.
51%
COMITÊ DE GESTÃO DE CRISES
49%
27%
COMITÊ DE CONTINUIDADE
DE NEGÓCIOS 73%
24%
COMITÊ DE CONTINUIDADE DE TI
76%
20%
SIM
NÃO
80%
18
RESULTADOS OBSERVADOS
Após realização de análise consolidada dos dados obtidos pelos
respondentes, foi possível observar algumas estatísticas importantes
quanto às vantagens em possuir um Sistema de Continuidade de
Negócios coeso dentro das Instituições.
69%
ESTRUTURA DE GESTÃO DE CRISES
51%
ESTRUTURA DE MAPEAMENTO
68%
DE CONTINUIDADE DE NEGÓCIOS
54%
20
EMPRESAS QUE SOFRERAM INCIDENTES DE TI NOS ÚLTIMOS
12 MESES
COM ESTRUTURA DE
CONTINUIDADE CIBERNÉTICA 9% 91%
SEM ESTRUTURA DE
CONTINUIDADE CIBERNÉTICA 20% 80%
SIM NÃO
75% 25%
POSSUI
NÃO POSSUI
21
Das empresas que não tem toda a Estrutura de Continuidade de
Negócios formalizada que sofreram perdas financeiras devido a
incidentes nos últimos 12 meses, mais de 50% estão concentradas em
5 segmentos de atuação – como é possível ver no gráfico abaixo:
COM ESTRUTURA DE
GESTÃO DE CRISES 12% 88%
SIM NÃO
22
CONSIDERAÇÕES FINAIS
Diante das informações apresentadas até aqui, pode-se chegar a
algumas conclusões apresentadas abaixo:
24