ESG e cibersegurança: entenda essa relação
Os debates sobre ESG estão incluindo a temática da cibersegurança, já que ela também é uma questão ambiental, social e de governança.
O Fórum Econômico Mundial, inclusive, recomenda que as empresas coloquem a segurança cibernética como parte da estratégia ESG.
Para a organização, os riscos cibernéticos, do ponto de vista da sustentabilidade, correspondem aos riscos mais imediatos que elas enfrentam na atualidade.
Sendo assim, os gestores que não trabalharem no sentido de implementar a governança em segurança cibernética com o respaldo das técnicas, ferramentas e métricas adequadas, deixarão suas empresas menos sustentáveis e menos resilientes.
Este artigo é dedicado à relação entre ESG e cibersegurança. Ao ler os próximos tópicos, você irá entender por que é fundamental incorporá-los à estrutura do seu negócio.
Sobre a necessidade de priorização da cibersegurança em empresas ESG
Em janeiro de 2022, o Fórum Econômico Mundial divulgou o relatório Global Cybersecurity Outlook, reforçando a necessidade de alinhamento entre a cibersegurança e os negócios.
Chamam a atenção no relatório as informações sobre o desalinhamento dentro das empresas entre os setores de gestão de riscos e de tecnologia.
Aproximadamente, 92% dos gestores acreditam que estão englobando a resiliência cibernética em suas estratégias de gestão de riscos.
Porém, do ponto de vista dos especialistas em segurança cibernética, apenas 55% das empresas realmente consideram essa questão em suas estratégias.
Essa incompatibilidade demonstra a existência de conflitos de prioridades e a falta de consistência das políticas de segurança e gestão de riscos dentro das organizações.
A estrutura de um negócio, para acompanhar as demandas de manutenção da sustentabilidade, deve colocar a cibersegurança em uma posição tática e estratégica.
Ainda que a realidade atual possa parecer alarmante, é possível identificar um crescimento das discussões sobre o posicionamento da cibersegurança e da segurança da informação nas organizações.
E o rumo dessas discussões vai em direção ao entendimento do escopo da cibersegurança para muito além da área de tecnologia da informação, ganhando foco no que concerne à gestão de riscos do negócio.
Acontece que essa visão não pode permanecer no campo teórico. É preciso avançar para que a sustentabilidade dos negócios seja garantida.
A priorização da cibersegurança e os investimentos em identificação de vulnerabilidades, proteção contra o cibercrime e planos estruturados de respostas a incidentes precisam ser implementados na prática.
E isso precisa ser feito com urgência, pois os ataques cibernéticos têm crescido vertiginosamente tanto em número quanto em recursos e técnicas, sobretudo após a pandemia da Covid-19.
Muitos gestores já compreenderam que a transformação digital e a implementação de recursos inovadores trazem diversas mudanças promissoras, mas também aumentam a superfície de atuação dos cibercriminosos.
Ou seja, é preciso evoluir em termos tecnológicos, mas isso deve ser feito paralelamente à priorização de uma cultura de cibersegurança.
Por isso é tão importante integrar os riscos cibernéticos à agenda ESG nas empresas. Negligenciar essa necessidade pode gerar impactos irreversíveis para o negócio.
Sim, esses impactos envolvem o negócio como um todo. Devem ser pensados do ponto de vista comercial e não como uma questão concernente à TI.
Eles podem representar, por exemplo, perdas financeiras e exposição de segredos de negócio e dos dados sensíveis dos clientes. Esses já são argumentos suficientes para priorizar a questão.
Porém a preocupação com a cibersegurança organizacional também pode ser abordada de um ponto de vista macro quando se pensa nos impactos do cibercrime para a sociedade como um todo.
Um problema de vazamento de dados pode impactar inclusive a infraestrutura de um país. Isso ocorreu nos Estados Unidos quando uma empresa de oleodutos, a Colonial Pipeline, interrompeu suas operações por conta de um ataque cibernético, fazendo o governo decretar estado de emergência, pois o empreendimento era responsável por quase metade de todo o transporte de combustível na costa leste do país.
A consequência natural foi o aumento do preço da gasolina para toda a população e as enormes filas nos postos de combustíveis.
Então, é preciso pensar o conceito de ESG para além das questões climáticas, do uso responsável dos recursos naturais, do foco na diversidade e do combate à corrupção.
Normalmente, quando o assunto é ESG, são essas as ideias associadas ao conceito. Mas hoje não existe empresa ESG que não inclua entre suas prioridades a proteção de dados e a cibersegurança.
Esse foco é muito mais que um diferencial competitivo, é uma necessidade latente e urgente no mundo corporativo e nas sociedades.
Por isso, para que você entenda melhor o assunto e inclua a cibersegurança na agenda ESG do seu negócio, vamos esmiuçar esses dois conceitos nos próximos tópicos.
Continue a leitura!
O que é ESG?
Para desenvolver uma agenda e uma mentalidade ESG dentro de uma empresa, como o Fórum Econômico Mundial recomenda, é preciso entender o real significado desta sigla.
As letras E, S e G, dizem respeito, respectivamente, às palavras environmental, social e governance, cujas traduções são: ambiental, social e governança.
Essas três vertentes são pautas essenciais no contexto das organizações e do mercado na atualidade.
Tomando cada uma delas individualmente para entender tudo o que a sigla engloba, podemos começar pelo que diz respeito às questões ambientais dentro das práticas de um negócio.
Essa pauta engloba questões como o aquecimento global, a poluição do ar e da água, o desmatamento, a eficácia energética, a preservação da biodiversidade, a gestão de resíduos, entre outros assuntos de grande relevância.
É claro que não são apenas as empresas que lidam diretamente com a questão ambiental que devem incluir essas preocupações em suas pautas.
Ainda que o seu negócio não precise, por exemplo, emitir gases poluentes para manter suas atividades, ela pode incluir em suas rotinas, em seus valores e em seu posicionamento ações que favoreçam o desenvolvimento sustentável.
Já a questão social dentro da ideia de ESG diz respeito ao impacto e à contribuição das empresas para as comunidades em que se inserem e para a sociedade.
Todo negócio precisa atuar com responsabilidade social, valorizando temas como os direitos humanos e respeitando a legislação trabalhista.
Não podem ser deixadas de lado questões como a segurança do trabalho, a diversidade de etnia e de gênero, a pluralidade de credos e a remuneração justa dos colaboradores.
Também compõem a lista de questões sociais a serem pensadas no contexto organizacional a proteção de dados, a privacidade, a satisfação dos clientes e o estabelecimento de um relacionamento com a comunidade em que a empresa se insere
Para fechar os três pilares que correspondem ao ESG, a governança diz respeito a estratégias, processos, políticas e orientações que compõem a administração das empresas.
O tema é bastante abrangente e engloba, por exemplo, a conduta corporativa, a eficiência das ouvidorias, a criação de canais de denúncias para situações de assédio e discriminação, as auditorias, o respeito aos direitos do consumidor, dos fornecedores e dos investidores, a remuneração dos executivos e a transparência no tratamento de dados.
Assim, é a governança que orienta, reporta e fiscaliza as práticas sustentáveis, possibilitando a consolidação do negócio.
Como é possível perceber, os três assuntos que compõem uma mentalidade ESG estão intimamente ligados.
Ainda que a questão da cibersegurança inicialmente seja mais enquadrada como assunto concernente à governança, ela também perpassa os outros dois pilares.
Quando pensamos na cibersegurança como uma preocupação que vai além do setor de tecnologia da informação sendo tomada como uma prioridade corporativa, entendemos tudo o que ela envolve.
Vamos ver, no tópico seguinte, a conceituação de cibersegurança para entender sua inserção dentro das estratégias ESG.
O que é cibersegurança?
A cibersegurança ou segurança cibernética é um conjunto de práticas com vistas à proteção de ativos como sistemas, computadores, redes, programas e servidores contra ataques e ameaças cibernéticas em geral.
Esses ataques podem ter como objetivos o acesso, a alteração ou a destruição de informações confidenciais, além da extorsão de dinheiro das pessoas ou empresas envolvidas, além da interrupção de processos de negócios.
Para ser bem-sucedida no contexto organizacional, a cibersegurança precisa ser trabalhada em vários níveis, englobando a segurança das redes físicas e das aplicações e também a orientação dos usuários.
Ela engloba uma gama de boas práticas de proteção e busca identificar os principais focos de interesse dos cibercriminosos e de possíveis vulnerabilidades.
Segundo pesquisa desenvolvida pela empresa Fortinet, somente em 2021 ocorreram mais de 88,5 bilhões de tentativas de ataques cibernéticos no Brasil. Isso representa um aumento de 950% em relação a 2020, quando aconteceram “apenas” 8,4 bilhões de tentativas.
A situação foi impulsionada pela aceleração do estabelecimento de processos digitais durante a pandemia da Covid-19.
Hoje, mais de 20% das tentativas de ataques que ocorrem na América Latina dizem respeito a empresas brasileiras.
A cibersegurança já era uma questão importante antes da pandemia, já que o mundo expandia as possibilidades de conexão para pessoas e empresas.
Porém, é inegável o salto digital que aconteceu entre 2020 e 2021, que acelerou significativamente a produção e troca de dados no ambiente digital.
As práticas de trabalho à distância como o home office e o teletrabalho, com a ascensão de espaços colaborativos e compartilhados, trouxeram diversos benefícios para as empresas.
Porém, quando elas são implementadas sem os cuidados pertinentes à cibersegurança, elas aumentam as superfícies de atuação dos cibercriminosos.
Eles têm se aproveitado das vulnerabilidades que surgiram a partir da mudança rápida das empresas relativas à digitalização dos processos para realizar ataques que podem causar problemas irreparáveis.
Daí o crescimento da importância e da relevância da cibersegurança no contexto da transformação digital nas empresas.
Ela já é um dos temas prioritários na agenda de executivos de empreendimentos de todos os portes e segmentos mundo afora.
Isso porque é impossível se inserir no mercado 4.0 sem utilizar e aprimorar constantemente mecanismos de eliminação e redução de riscos e falhas para evitar e responder com sucesso ao cibercrime.
Ou seja, a cibersegurança é uma necessidade básica de todo negócio, já que não é apenas o setor de TI que sofre o impacto de um ataque.
O bloqueio de um sistema interno, por exemplo, pode interromper o trabalho de todos os colaboradores e também dos gestores.
Isso sem falar na possibilidade de vazamento de dados confidenciais, como informações pessoais e segredos de propriedade intelectual.
Assim, além dos prejuízos financeiros, quando sofre um ataque cibernético e não reage satisfatoriamente no sentido de se recuperar dele, a empresa também tem sua credibilidade prejudicada.
Essa realidade nos leva a compreender a associação estreita entre ESG e cibersegurança, pois sem contar com ações preventivas e planos de respostas contra ataques cibernéticos, nenhum negócio pode ser classificado como sustentável.
Falaremos mais sobre este aspecto no próximo tópico.
A cibersegurança nas estratégias ESG
Como vimos, as pautas ESG estão ligadas à sustentabilidade promovida nas e pelas empresas. Em diversas situações, a sigla é utilizada, inclusive, como sinônimo de sustentabilidade.
Nesse sentido, uma empresa ESG é aquela que promove ações e desenvolve boas práticas que a tornam responsável socialmente e sustentável ambientalmente, além de bem administrada do ponto de vista da governança.
Contudo, ficou claro, com avanço recente dos crimes cibernéticos que a cibersegurança subiu ao topo da lista de prioridades das organizações, considerando inclusive os riscos que uma interrupção das atividades ou um vazamento de dados pode causar para as comunidades em que elas se inserem.
Ou seja, a governança de tecnologia passou a ser tão importante quanto as preocupações relativas à governança social, ambiental e corporativa.
Como vimos no início do artigo, os especialistas do Fórum Econômico Mundial já recomendaram, inclusive, a associação da cibersegurança dentro das pautas ESG nas empresas.
Assim, podemos pensar em ações e estratégias ESG que sejam implementadas no sentido de evitar fraudes online, apagões de dados e apropriações de identidades digitais, por exemplo.
Portanto, temos a incorporação progressiva da cibersegurança às pautas ESG, considerando a necessidade do gerenciamento eficaz de riscos e da privacidade de dados cibernéticos.
Essa nova mentalidade ainda está no campo teórico dentro da maioria das empresas brasileiras devido ao fato da associação da cibersegurança apenas ao setor de tecnologia.
Isso não significa que não existe uma preocupação com o avanço vertiginoso dos ataques cibernéticos.
O que ocorre é a dificuldade de colocar as ações relacionadas à cibersegurança dentro de uma perspectiva mais ampla.
O descompasso entre transformação digital e cibersegurança cria situações de risco para as organizações e prejudica sua gestão como um todo.
Por isso, não há como adiar as decisões que possibilitem a visualização de resultados práticos e urgentes quanto à cibersegurança.
Plataformas como a EcoTrust possibilitam a implementação de uma nova visão sobre cibersegurança, favorecendo as estratégias ESG no âmbito organizacional.
A EcoTrust utiliza uma abordagem da Inteligência em Riscos Cibernéticos (Cyber Risk Intelligence) para dar visibilidade aos riscos e possibilitar uma tomada de decisão rápida e assertiva na prevenção de ameaças internas e externas às empresas.
O objetivo é conhecer os riscos cibernéticos que impactam o negócio e reforçar a responsabilidade compartilhada dos executivos.
A plataforma oferece uma visão consolidada do ecossistema de prevenção em segurança e permite decisões mais rápidas e eficazes, reduzindo drasticamente os riscos de vazamentos de dados e ciberataques. Com todos os recursos que ela oferece, você dá um primeiro passo determinante rumo ao estabelecimento da sua estratégia ESG. E o melhor é que você pode fazer um teste gratuito e verificar na prática todos os benefícios da EcoTrust. Comece agora a priorizar a cibersegurança em seu negócio.