Em 2025, assistimos a novos episódios de enchentes no Rio Grande do Sul, aproximadamente um ano após a maior tragédia climática da história do estado. Longe de se tratar de um caso isolado, o Brasil vem testemunhando um crescimento exponencial de desastres climáticos. Segundo dados divulgados na série de estudos “Brasil em Transformação”, do programa Maré de Ciência, da Universidade Federal de São Paulo, 83% dos municípios brasileiros sofreram com desastres provocados por chuvas entre 2020 e 2023 (contra apenas 27% na década de 1990).

Esses dados – aterradores – acendem um alerta sobre a urgência de se atualizar suas práticas de gestão de riscos corporativos, inclusive aqueles relacionados à segurança da informação e à continuidade de negócios.

Chuvas prolongadas e enchentes como as registradas no sul do país podem levar à interrupção das atividades empresariais, já que tornam as dependências físicas do negócio inacessíveis, danificam ou destroem equipamentos e impossibilitam que funcionários exerçam suas atividades. E, para lidar com situações como essas, a implementação de um sistema de gestão adequado se revela prática recomendada para aumentar a resiliência empresarial e preservar a existência da empresa frente aos desastres climáticos.

A norma ISO/IEC 27.001:2022, que estabelece os requisitos para o Sistema de Gestão de Segurança da Informação, recebeu uma emenda em 2023 que passou a exigir que as organizações considerem se as mudanças climáticas são relevantes para seus respectivos sistemas de gestão e para seus stakeholders.

Por meio de um diagnóstico organizacional adequado, é possível mapear riscos relacionados a desastres climáticos que muitas vezes são negligenciados, como por exemplo: a organização utiliza servidores on-premise ou em nuvem? E, sendo em nuvem, onde está fisicamente localizado o data center? Os backups realizados com regularidade adequada? A empresa conta com sites alternativos para os colaboradores em regime de trabalho presencial? Existe contrato para substituição emergencial e temporária de computadores e outros dispositivos corporativos? Ainda são utilizados documentos em formato físico? Os locais em que são armazenados são seguros, ou poderão ser danificados em caso de alagamentos?

São riscos que impactam diretamente na disponibilidade das informações (um dos pilares da segurança da informação), e que, uma vez materializados, podem representar prejuízos operacionais, financeiros e reputacionais muitas vezes irrecuperáveis.

Outra ferramenta importante de gestão a ser utilizada é a business impact analysis (BIA), por meio da qual são mapeados os processos críticos, avaliados os riscos sobre cada um deles e definidas ações para a continuidade dos negócios em casos de interrupção das atividades da empresa. Com base no BIA, a empresa definirá metas e objetivos temporais para o retorno das atividades essenciais, podendo determinar qual o tempo máximo de interrupção das atividades que a empresa é capaz de suportar.

A atuação preventiva (e proativa) é a medida mais importante para aumentar a probabilidade de sobrevivência do negócio frente a situações complexas e excepcionais, como mudanças climáticas ou mesmo pandemias. E é claro que serão necessários investimentos em consultorias, aquisição e atualização de sistemas e equipamentos, treinamentos e contratação de seguros, por exemplo; contudo, esses investimentos devem ser sopesados com os possíveis prejuízos da inércia, já que o não-agir pode significar o fim do negócio.

Já passa da hora, portanto, de se compreender que as ameaças à segurança da informação são variadíssimas, e que priorizá-la não é mais opcional: é condição essencial para garantir a sobrevivência da empresa.