No atual cenário de economia digital, as empresas enfrentam desafios ao buscar alcançar metas ambientais, sociais e de governança (ESG) ao mesmo tempo em que se empenham para garantir medidas robustas de segurança cibernética e privacidade. Preocupações relacionadas a essas áreas estão se tornando ainda mais prioridade de no centro dos mapas globais de riscos. Já a ligação entre esses dois fatores – ESG e segurança cibernética – não parece óbvia, mas está se tornando um ponto de atenção nas empresas mundiais e, no Brasil, não seria diferente.

A economia digital levou a um aumento no processamento de dados, resultando na construção de gerenciamento de informações em todo o mundo. Do ponto de vista de energia, os ataques virtuais tentam atingir infraestruturas críticas, como usinas e instalações de processamento de água, e podem causar mau funcionamento de equipamentos, danos ambientais e riscos. Os criminosos encontram oportunidades para explorar vulnerabilidades na segurança dessas infraestruturas e de serviços em nuvem para roubar recursos de computação. Infelizmente, o uso desses sistemas tem um impacto negativo no consumo de energia e na pegada de carbono. Por exemplo, implementar as melhores práticas cibernéticas necessárias ou ter um centro de dados secundário pode levar a um maior uso de recursos e de energia.

Contudo, a segurança cibernética é relevante para as três dimensões do ESG. Uma das mais prioritárias refere-se ao fato de que as organizações em qualquer estágio dessa jornada devem considerar a divulgação do posicionamento cibernético como parte dos relatórios de meio ambiente, social e de governança que são apresentados ao mercado e à sociedade. Isso contribui para desenvolver e manter a confiança de todos os públicos de interesse que se relacionam com a empresa.

Os relatórios ESG exigem precisão e eles provêm de quatro principais fontes que são as seguintes: dados de terceiros; reportados; derivados e funcionais; e brutos de propriedade. Esforços significativos vêm sendo feitos em prol da elaboração e asseguração desse documento e a segurança cibernética é um fator crítico que visa proteger essas fontes enquanto estão sendo coletadas, em trânsito e após terem sido analisadas e relatadas. Esse processo é vital para que as informações sejam apresentadas de forma fidedignas, os dados a serem publicados não sejam manipulados ou enviesados e garantam relatórios precisos. Além disso, as normas que definem os indicadores que irão constar nos relatórios de sustentabilidade e financeiros buscam aumentar a transparência e a comparabilidade nos relatórios corporativos, o que pode ajudar os investidores a tomar decisões com mais respaldo.

Um dos fatores de sustentabilidade abordados pelo Conselho de Normas Internacionais de Contabilidade (International Accounting Standards Board – Iasb) é o risco cibernético, que se enquadra, principalmente, em tecnologia e comunicações, sendo também mencionado em outros setores. O risco cibernético é um fator que as empresas devem considerar divulgar nos arquivos públicos e está incluído no tópico de divulgação de Segurança de Dados. Esse item abrange uma variedade de ameaças virtuais que poderiam comprometer informações sensíveis, além de oferecer orientações sobre o gerenciamento destes riscos.

Outra norma, a Iniciativa Global de Relatórios (Global Report Initiative – GRI), é amplamente usada para relatórios de sustentabilidade e incluem orientações sobre como as empresas devem divulgar a gestão de questões de segurança cibernética e privacidade de dados. Ao incluir o risco cibernético como um fator de sustentabilidade relevante, os dois padrões reconhecem que essas ameaças podem impactar, significativamente, o desempenho financeiro, a reputação e a sustentabilidade de longo prazo de uma organização. Ademais, aquelas que divulgam as práticas de gerenciamento de risco cibernético adotadas e que fornecem informações sobre as políticas e procedimentos de segurança de dados podem melhorar a transparência e responsabilidade perante investidores, clientes e reguladores.

Não podemos esquecer que os consumidores têm mais probabilidade de fazer negócios com uma companhia na qual confiem para proteger as informações pessoais e financeiras. Isso é, especialmente, verdadeiro para clientes corporativos, que valorizam a proteção de dados confidenciais e propriedade intelectual. Muitos setores dispõem de requisitos regulatórios para segurança cibernética e as organizações que estejam em compliance com essas normas normalmente são preferidas pelos investidores também.

Tanto clientes privados quanto corporativos querem ter certeza de que os serviços que contratam atendem às expectativas em termos de ESG e segurança cibernética. O compromisso de uma empresa com estas práticas pode ser um impulsionador de vendas, melhorando a reputação no mercado, estimulando a inovação, gerenciando riscos, garantindo conformidade e melhorando o acesso ao capital. Por isso, é importante levar em consideração a qualidade das práticas de privacidade e segurança cibernética de uma empresa ao fazer negócios.

As organizações podem se beneficiar enormemente entendendo a conexão entre ESG e riscos cibernéticos. Ambas as áreas têm foco na identificação e gestão de riscos e oportunidades, resultando em produtos e soluções aprimorados e na construção de uma sociedade que protege direitos individuais e coletivos. Essa conexão está sendo cada vez mais reconhecida pelos públicos que se relacionam com as empresas que buscam maior transparência sobre como as organizações protegem as informações que elas usam para operar. Por outro lado, vale considerar tanto os aspectos positivos quanto os negativos da resiliência cibernética, equilibrando segurança e metas ESG.

A boa notícia é que muitas empresas já o fazem, o que deve impactar de maneira positiva o desempenho, em geral e, também, em ESG. Ao abordar os riscos cibernéticos no contexto de meio ambiental, social e de governança, as empresas podem proteger as operações, clientes e reputação, ao mesmo tempo em que cumprem as obrigações sustentáveis mais amplas.

Artigo escrito por Nelmara Arbex, sócia líder de consultoria em ESG da KPMG e Leandro Antônio, sócio líder de segurança cibernética da KPMG.

por Viveiros