Como assegurar a continuidade do negócio na organização em caso de incidente disruptivo

Cristina Leon Vera | 27/12/2025

Diante do aumento de incidentes disruptivos que podem prejudicar seriamente as organizações, a gestão da continuidade do negócio está ganhando importância crescente dentro dos planos estratégicos empresariais.

A gestão da continuidade do negócio é um processo que auxilia as organizações a reconhecer as ameaças potenciais e o impacto que podem ter nas funções chave do negócio, e define uma estrutura para garantir que essas operações possam prosseguir ou se restabelecer rapidamente durante e após um incidente disruptivo.

Na segunda-feira, 28 de abril de 2025, houve na Espanha um corte de energia sem precedentes, que gerou uma crise nacional e afetou milhões de pessoas e empresas em todo o país. Horas após o corte de energia, constatou-se que inúmeras empresas, incluindo algumas consideradas “essenciais”, foram obrigadas a fechar suas portas diante da impossibilidade de continuar com suas operações e manter seus serviços. Em contraste, outras, como hospitais públicos e privados, certos grupos hoteleiros, supermercados, shopping centers, e algumas indústrias, conseguiram manter pelo menos os serviços mínimos, evidenciando diferenças relevantes em sua capacidade de resposta diante da emergência.

A pronta resposta e a minimização das interrupções foram alcançadas graças à disponibilidade de geradores e sistemas SAI em múltiplos lugares, à certificação ISO 22301, por exemplo, em inúmeros hospitais, à migração de informações críticas à nuvem com acesso remoto garantido, e à implementação e revisão periódica de simulações e planos de crise que asseguraram uma preparação eficaz para as contingências.

Um sistema e um plano de “Continuidade do Negócio (CN)” possibilitam que as empresas se antecipem e respondam de maneira eficaz a situações não esperadas, como uma interrupção prolongada da eletricidade, garantindo a continuidade das operações e serviços fundamentais nesses momentos críticos.

O que se compreende por “Continuidade do Negócio”, “Sistema de Gestão de Continuidade do Negócio (SGCN)” e “Plano de Continuidade do Negócio (PCN)”?

Segundo a ISO 22301:2020 (o padrão internacional que estabelece os requisitos para um Sistema de Gestão de Continuidade do Negócio (SGCN)):

• “Continuidade do Negócio” (Business Continuity, BC): É a capacidade de uma organização para continuar oferecendo produtos e serviços dentro de prazos aceitáveis, com capacidade predefinida durante uma disrupção.
• “Sistema de Gestão de Continuidade do Negócio” (Business Continuity Management System, BCMS): É a estrutura de trabalho que auxilia uma organização a reconhecer potenciais ameaças, gerenciar seu impacto e assegurar que possa operar continuamente, ou se restabelecer rapidamente, após um incidente disruptivo.
• Um “Plano de Continuidade do Negócio” (Business Continuity Plan, BCP): Consiste em uma série de procedimentos documentados e estratégias orientadas a assegurar que uma organização possa manter suas operações fundamentais durante uma contingência e se recuperar o mais rápido possível, reduzindo os prejuízos que possam surgir por essa disrupção.

Como as empresas são atingidas por um incidente?

As organizações podem ser prejudicadas, entre outros fatores, por:

• Danos diretos ou indiretos aos ativos.
• Redução ou paralisação das atividades e consequente prejuízo financeiro.
• Dificuldade para a recuperação, podendo inclusive levar ao fim das atividades.
• Dano à reputação e perda de confiança de prestadores e clientes.
• Descumprimento de regulamentações e, como resultado, possíveis sanções.

Por que implementar um Sistema e um Plano de Continuidade do Negócio? Objetivo do Plano de Continuidade do Negócio

Entre o objetivo e os benefícios de implementar um “Sistema de Gestão de Continuidade do Negócio” estão a maior resiliência da organização, por meio da elaboração e manutenção de planos que assegurem a continuidade das operações críticas, a redução dos prejuízos financeiros e os custos associados às interrupções, a proteção da reputação, mantendo a confiança dos clientes e das partes interessadas, vantagens competitivas, porque permite que a organização se destaque da concorrência ao demonstrar sua capacidade de gerenciar crises, e cumprimento normativo que auxilia a atender aos requisitos e contratos, evitando penalizações.

O “Plano de Continuidade do Negócio” não visa restaurar imediatamente 100% da capacidade produtiva e financeira da empresa. Seu objetivo principal é assegurar a sobrevivência do negócio em “condições mínimas aceitáveis”, garantindo que as operações críticas prossigam e impedindo que a organização seja seriamente afetada, enquanto se encontra em fase de recuperação de maneira progressiva.

Componentes chave na implementação do Sistema e do Plano de Gestão de Continuidade do Negócio.

Ao implementar um sistema de gestão de continuidade do negócio, são sugeridas 5 fases principais:

• Integração dentro da organização. Levar em conta a cultura empresarial, definir a política da empresa, alcances, funções associadas ao processo e responsabilidades, autoridades/governança, objetivos, etc.
• Análise e avaliação dos riscos próprios aos processos e organizações. Reconhecimento de possíveis ameaças potenciais que podem interromper as atividades da organização e os possíveis efeitos
• Elaboração de soluções de acordo com os riscos identificados e priorizados. Planejamento da resposta/Resposta a incidentes/Recuperação diante de desastres.
• Implementação dos planos para diminuição dos prejuízos. Formação e conscientização.
• Validação e manutenção do sistema e do plano de continuidade do negócio Testes, validação e manutenção.

Existem diferentes abordagens na hora de introduzir o sistema de gestão de continuidade do negócio, entre as quais se encontram a UNE-EN ISO 22313:2020 “Segurança e resiliência. Sistemas de gestão da continuidade do negócio. Diretrizes para a aplicação da norma ISO 22301 (Padrão Internacional que define os requisitos para um Sistema de Gestão de Continuidade do Negócio) e orientações de melhores práticas como, por exemplo, o guia elaborado pelo Instituto de Continuidade do Negócio (Business Continuity Institute (BCI) de Londres).

A seguir, é exibida uma tabela geral que apresenta, a título de exemplo, os procedimentos e estratégias que integram um sistema e plano de gestão de continuidade do negócio:

Tipos de ameaças dentro de uma organização e seus possíveis efeitos

Os tipos de incidentes que podem afetar uma organização são variados e devem ser examinados individualmente. Esta análise estará sujeita, entre outros fatores, ao tipo de atividade, à área de negócio/mercado, ao porte da empresa, à localização geográfica, bem como às características de seus prestadores e clientes.

Em geral, entre os incidentes que podem atingir uma empresa estão os seguintes:

• Incêndios/explosões/raios/danos em máquinas.
• Desastres naturais, como terremotos, enchentes por fortes chuvas torrenciais ou escoamentos, áreas propensas a alagamentos ou próximas a rios ou ao mar, granizo, etc.
• Instabilidade geopolítica (conflitos armados, tensões diplomáticas, mudanças súbitas em políticas externas, sanções econômicas ou agitação social).
• Crises financeiras mundiais.
• Interrupções no fornecimento de energia elétrica durante um ou vários dias.
• Incidentes na cadeia de suprimentos: falhas na cadeia de suprimentos
• Incidentes Tecnológicos e Cibernéticos
• Acidente de trabalho, surto infeccioso ou intoxicação alimentar de uma pessoa ou de múltiplas pessoas com tarefas vitais.
• Derivados de riscos sociais, como interrupção organizada ou intencional (greves, motins), sabotagens, terrorismo, etc.

Do ponto de vista do “negócio”, uma vez identificados os incidentes, é conveniente classificá-los em diferentes níveis segundo seu impacto: aqueles que causam paradas ou prejuízos menores, os que ocasionam efeitos disruptivos relevantes, os que colocam em risco a continuidade operacional e os que provocam danos de caráter destrutivo”.

Para isso, são utilizadas duas técnicas de análise: a “Análise de Impacto no Negócio” (BIA Business Impact Analysis) e a “Avaliação de Risco” (RA Risk Assesment).

• A “Análise de Impacto no Negócio” estima os efeitos da interrupção ao longo do tempo para determinar a resposta da organização, as prioridades de recuperação e os requisitos de recursos.
• A “Avaliação de Risco” identifica o nível de risco de interrupção das atividades prioritárias da organização.

O resultado da BIA e da RA é empregado como input para a fase de criação de soluções do BCMS. Portanto, a qualidade e os resultados do processo de BIA e RA e seus resultados são extremamente relevantes.

“Planos de Atuação” diante de uma ameaça que possa comprometer a continuidade do negócio

Os planos de atuação, para o caso de ocorrência de um evento disruptivo (ameaça) que prejudique a continuidade do negócio de uma empresa ou organização, são documentos estratégicos que definem procedimentos, recursos e responsáveis para reagir diante de eventos imprevistos (danos aos ativos, desastres naturais, ciberataques, falhas de tecnologia, crises de reputação). Focam na resposta imediata e na recuperação rápida para mitigar o impacto no negócio. Estes planos de atuação fornecem uma resposta estruturada e evitam a improvisação em momentos críticos em que se manifesta um evento disruptivo.

Entre os planos de atuação, em caso de um incidente disruptivo que possa afetar a continuidade do negócio, encontram-se:

Às vezes, emprega-se indistintamente os termos plano de emergência (PE), plano de contingência (PC) e plano de continuidade do negócio (PCN), embora apresentem distinções. A seguir, apresentamos um exemplo geral e simples sobre a diferença entre eles.

• “Plano de Emergência”: série de ações contempladas para reduzir ou eliminar o incidente.
  Por exemplo: Em caso de incêndio do transformador principal de uma fábrica; atuação na extinção por meio de recursos manuais e/ou automáticos para limitar os danos.
• “Plano de Contingência”: ações específicas para minimizar o impacto de um incidente desfavorável. Concentra-se em “o que fazer se X ocorrer”.
  Por exemplo: Em caso de incêndio do transformador principal da fábrica, com os danos totais deste e a consequente parada parcial ou total das atividades; substituição do transformador por um novo e em bom estado. Assim, seria possível ganhar pelo menos algumas horas e, no máximo, vários dias.
• O “Plano de Continuidade do Negócio” assegura que a organização possa continuar operando (mesmo de forma parcial) durante e após uma ocorrência grave. Define como manter os serviços fundamentais, inclui estratégias como trabalho à distância, prestadores alternativos, redundância tecnológica, é acionado diante de eventos prolongados (desastres naturais, ciberataques, falhas em grande escala);

Por exemplo: Em caso de incêndio do transformador principal da fábrica, com os danos totais desta e a consequente parada parcial ou total das atividades; Plano de continuidade do negócio que preveja a existência de um transformador de substituição (plano de contingência) em bom estado e com manutenção, que possa substituir o existente, e não afetar a perda de lucros da planta.

Conclusão

Contar com um sistema e um plano de continuidade do negócio é essencial para garantir a resiliência e a estabilidade operacional de uma organização. Ambos permitem antever riscos, mitigar o impacto de interrupções, proteger ativos fundamentais e garantir a rápida recuperação de serviços essenciais. Esta combinação reforça a confiança de clientes e parceiros, assegura o cumprimento de normativas e garante a competitividade diante de qualquer adversidade.

Autoria do texto: 

María Teresa Queralt

Engenheira sênior de riscos na MAPFRE Global Risks