Mudanças climáticas, produtos e serviços com pegada de carbono reduzida ou neutra, uso responsável de recursos naturais, combate à corrupção, relacionamento com as comunidades e foco em diversidade e inclusão são algumas das temáticas que estão no topo dos debates sobre ESG, e sob olhar atento de investidores e Conselhos de Administração de grandes empresas. Mas outra frente vem ganhando relevância e, como deve ser, prioridade no cerne dessa agenda: segurança cibernética.
O próprio Fórum Econômico Mundial coloca claramente cybersecutity como uma questão ambiental, social e de governança, e afirma que as empresas precisam começar a olhar para este tema como parte do ESG. Segundo divulgação feita pela organização, em março deste ano, o “risco cibernético é o risco de sustentabilidade mais imediato e financeiramente material que as organizações enfrentam hoje. Aqueles que não implementarem uma boa governança em segurança cibernética, usando ferramentas e métricas apropriadas, serão menos resilientes e menos sustentáveis”
Em janeiro de 2022, o próprio Fórum, inclusive, publicou seu primeiro relatório sobre o tema, o “Global Cybersecurity Outlook”, que reforça que é preciso alinhar cibersegurança e negócios. Mas é fato que ainda estamos numa jornada: um dos achados do relatório é o desalinhamento entre as áreas responsáveis pela Gestão de Riscos e a área de Cyber. Enquanto cerca de 92% dos executivos de negócios afirmam que a resiliência cibernética faz parte das estratégias de gestão de riscos corporativos, apenas 55% dos líderes de cibersegurança concordam com isso. Percepções “divergentes” que podem ser, sim, reflexo de conflitos de prioridades e inconsistência de políticas nas organizações.
É importante olharmos para a posição tática e estratégica da área e da liderança de segurança cibernética na estrutura organizacional das empresas. E a boa notícia é que, cada vez mais, temos observado discussões sobre a posição da segurança da informação e cibernética nas corporações, considerando um escopo que vai além de Tecnologia da Informação (TI) e com mais foco em riscos junto aos negócios.
O ponto é: priorizar a segurança e investir em proteção, detecção e medidas de respostas precisa ser uma realidade. Um levantamento realizado pela Ernst & Young no ano passado (“How Covid-19 is impacting future investment in security and privacy”) e que ouviu mais de 130 companhias no mundo todo mostra que os ataques ilícitos em sistemas tecnológicos corporativos aumentaram em cerca de 300% durante a pandemia da Covid-19. E isso deve continuar, se a gestão não for adequada. Afinal, paralela à busca por inovação e digitalização crescente pelas empresas – que traz diversas mudanças positivas –, há também uma maior exposição a riscos e ameaças.
De nada adianta evoluir com tecnologia e inovação se a cultura de cibersegurança não caminhar lado a lado: riscos cibernéticos precisam estar integrados à agenda ESG das empresas, aos objetivos críticos, e fazer parte da agenda nos Conselhos de Administração das companhias. Se negligenciados, eles podem gerar impactos profundos para o negócio. Não estamos falando apenas sobre Tecnologia da Informação (TI), sobre afetar interesses diretos das organizações, com impactos em resultados financeiros, em expor segredos dos negócios e de reputação com os clientes – o que, por si só, já seria o suficiente para ser prioridade.
Mas também de como podem abranger a sociedade de uma forma mais ampla, seja em razão de um vazamento de dados, ou mesmo por impactar na infraestrutura básica de um país. Foi o que aconteceu há quase cerca de um ano com a Colonial Pipeline, empresa de oleodutos responsável por cerca de 45% do transporte de combustível na Costa Leste americana, que teve todas as suas operações interrompidas em razão de um ataque cibernético. Um “incidente” que fez o governo americano declarar estado de emergência e, de fato, extrapolou o impacto financeiro e operacional para a própria empresa. Uma das consequências diretas foi o aumento nos preços da gasolina e longas filas em muitos postos na Costa Leste dos EUA.
É essencial entender que, hoje, não existe perenidade do negócio, não existe uma empresa ESG sem proteção de dados e segurança da informação. Segurança cibernética é mais do que um diferencial competitivo, é uma realidade e uma necessidade no mundo corporativo e, também, para a sociedade.
Por: Fernando Madureira