Ir para o conteúdo principal

Investir na ligação entre cyber e ESG é a chave para empresas avançarem

Com a segurança cibernética permeando todas as áreas de uma organização, o desafio agora é unir os princípios de ESG às questões de cyber

Por Eder de Abreu, sócio da Deloitte Cyber, e Ticiana Chicourel, diretora da Deloitte Cyber

Deseja receber conteúdos da Mundo Corporativo e da Deloitte em primeira mão?

Há uma ligação forte no mundo dos negócios que ainda é pouco explorada pelas empresas: a intersecção entre os princípios ESG e cyber. Entender como as questões cibernéticas permeiam todas as operações de uma organização e como ela se fortalece com a ascensão do conceito ESG é uma das chaves para acelerar o crescimento de qualquer organização.

O potencial dessa sinergia é tanto que a Harvard Law School Forum on Corporate Governance publicou, no fim do ano passado, um artigo que questiona se não deveríamos mudar a sigla para ESG-C, de cyber. Para justificar a proposta, a publicação traz um exemplo que ilustra perfeitamente a importância dessa intersecção: o ataque cibernético a uma empresa norte-americana de oleodutos.

Ocorrido em 2021, a invasão hacker – mais especificamente, um “ransomware” (sequestro de dados) – trouxe prejuízos tanto para os cofres da organização, que pagou mais de US$ 4 milhões pelo resgate dos dados, quanto para a população em geral. Isso porque a distribuição de combustível foi interrompida, levando o governo a decretar estado de emergência em estados como a Flórida.

O caso evidencia os riscos ambientais e sociais e deixa claro como a priorização de cyber em ESG poderia ter mitigado os riscos, além de mostrar que os aspectos cibernéticos devem estar não apenas na área de tecnologia em si, mas na estratégia da empresa como um todo. Sua valorização amplia os mecanismos de controle das organizações, aumenta a transparência e, principalmente, alavanca a reputação dos negócios. Quem conta com uma boa gestão de cyber se diferencia no mercado, pois fica evidente o impacto positivo em seus resultados financeiros e na mitigação de riscos.

Com essa gestão mais conectada às tendências futuras, temos um ciclo virtuoso que impacta a governança de uma organização — o G da sigla. A empresa entende que cyber é pervasivo em todas as áreas, inclusive melhorando seus índices ESG. Isso porque, nesse ponto, o cyber funciona como um apoio fundamental para detecção e prevenção de vários tipos de fraudes, seja fazendo o monitoramento de transações ou utilizando inteligência artificial e machine learning para identificar ataques cibernéticos e fraudes com base em comportamentos anômalos. Sem uma segurança cibernética robusta, não é possível nem o levantamento de indicadores e a produção de relatórios tão importantes para acompanhar a governança de uma organização.

Organizações bem protegidas, com cyber no centro das estratégias corporativas, são mais inovadoras. Assim, com todos os impactos positivos decorrentes desse investimento, cyber acaba se tornando um habilitador de negócios, trazendo mais competitividade. Fora isso, também ajuda a proteger a reputação da empresa, que pode ser abalada quando sofre um ataque, especialmente com o vazamento de dados dos clientes.

Mas para além da segurança digital, a interação entre ESG e cyber também pode trazer benefícios como o uso mais eficiente de equipamentos, de energia e de recursos naturais, reduzindo custos operacionais e minimizando o impacto ambiental. Um exemplo é a substituição de equipamentos antigos por versões mais novas, que gastam menos energia.

Essa boa gestão inclui o que chamamos de ​​”cyber hygiene”, ou seja, quando se adota processos rotineiros para manter os dados organizados e seguros, justamente para que os sistemas funcionem com a máxima eficiência, detectando riscos e evitando problemas futuros, como ataques cibernéticos.

Outro risco recai sobre possíveis propriedades intelectuais das empresas, tais como identidades de acesso, patentes, marcas registradas, segredos comerciais. Sem entendimento e investimento para ampliar os cuidados voltados a segurança cibernética, o sistema pode ficar vulnerável a ameaças virtuais e hacker, fazendo com que essas informações valiosas – e muitas vezes sigilosas – sejam roubadas e usadas para fins ilegais.

Mais frequentes e mais sofisticados

Vale dizer que com os ataques cibernéticos cada vez mais frequentes e graves, crescem também as possibilidades de danos às empresas. Além de lesar diversos clientes e prejudicar a confiança de todos os stakeholders, um ataque cibernético também pode impactar no preço das ações e resultar em processos jurídicos ou punições – mais uma vez mostrando como isso afetaria diversos, se não todos, os aspectos do ESG.

Para ficar apenas nos casos de ransomware, podemos citar um levantamento feito pela Check Point Research, que mostrou que esse tipo de ataque cibernético aumentou 92% no Brasil. Já globalmente, o Fórum Econômico Mundial alertou para o risco de um ataque cibernético de proporções catastróficas nos próximos dois anos – 91% das organizações reportaram que tiveram no mínimo um incidente no último ano, comparado a 88% reportado na pesquisa Future of Cyber de 2021.

Esses dados podem levar à crença de que só estão sujeitos a esse tipo de ataque empresas de proporções internacionais ou que esse é um “tema da moda”. Longe disso! É um campo cada vez mais presente inclusive no nosso cotidiano. Quando você tem seu cartão clonado, por exemplo, fica claro que seu banco teve problemas cibernéticos.

O impacto ambiental é um aspecto importante da interseção do cyber e do ESG, ou no E de “environmental”. Um exemplo: a digitalização cada vez maior da indústria 4.0 permite a integração inteligente de equipamentos. No entanto, sem estratégias de proteção cibernéticas eficientes, há riscos de impacto ambiental, como vazamentos em uma planta química. O S da sigla também é preciso ser considerado, dado o potencial de impactos sociais em ataques a órgãos do governo, por exemplo, causando o vazamento de dados da população, em uma falha de privacidade.

Entre os desafios de se implementar estratégias de cyber está mostrar a urgência dessa área para boards e para C-levels. Para isso, é preciso investir na conscientização cibernética e alertar para os possíveis prejuízos em caso de ataques. Outro desafio é a falta de mão de obra qualificada, já que a formação de profissionais não vem acompanhando a intensificação dos ataques.

Assim, é preciso olhar para o futuro. O mercado brasileiro ainda precisa fazer uma discussão mais séria sobre a importância de se investir em cyber. Para as empresas de capital aberto, por exemplo, os benefícios são diretos, já que relatórios específicos sobre o tema podem mostrar a preocupação com transparência e segurança, aumentando sua valoração.

O uso de classificações de risco cibernético para identificar ameaças em toda a cadeia de suprimentos de uma empresa, nos moldes das classificações ambientais e sociais, é uma medida que também poderia ser aplicada no Brasil.

Did you find this useful?

Thanks for your feedback