Apesar de não parecer, os líderes de Cibersegurança possuem um papel crucial na jornada ESG na empresa; considernado os impactos ambientais das atividades Cyber, a garantia de privacidade e proteção de dados sensíveis e conformidade com os códigos legais
*Por Leonardo Carissimi
Qual é a relação entre segurança cibernética e ESG? Esses temas podem parecer distantes para muitos profissionais de tecnologia, mas têm uma conexão cada vez mais forte em função do avanço da digitalização, da valorização dos dados como o ativo mais importante das organizações e do crescimento de ataques cibernéticos. Até o Fórum Econômico Mundial, recentemente, chamou a atenção das empresas para que a cibersegurança faça parte de sua estratégia ESG.
É nesse contexto que o CISO (Chief Information Security Officer) tem a oportunidade de entender essas discussões e auxiliar as empresas a incluírem a segurança cibernética no ESG. O risco cibernético é o risco de sustentabilidade mais imediato e financeiro que as organizações enfrentam hoje. Aqueles que não conseguirem implementar uma boa governança em segurança cibernética, usando ferramentas e métricas apropriadas, serão menos resilientes e menos sustentáveis. Isso, por sua vez, tem impacto nas outras organizações das quais eles dependem e, em última análise, na estabilidade de empresas, comunidades e governos.
Estudo recente do Capgemini Research Institute chamado “A World in Balance” (“Um mundo em equilíbrio”, em tradução livre), aponta que 64% dos executivos C-Level dizem que a sustentabilidade faz parte de sua agenda, porém, menos da metade (49%) tem uma lista definida de iniciativas para os próximos três anos. Apenas 21% das organizações veem a sustentabilidade como um investimento, sendo que a maioria enxerga como um custo. O estudo conclui que a sustentabilidade é uma ambição atual das organizações, mas, em muitos casos, elas enfrentam dificuldades para transformá-la em ações efetivas. Com o CISO não é diferente – conectar pontos e tangibilizar estratégias ainda é algo complexo.
Vale destacar, como referência, que a sigla ESG (Environmental, Social, Governance – Meio Ambiente, Social, Governança) indica os critérios usados por investidores, empresas e agentes públicos para avaliar as práticas ambientais, sociais e de governança de uma organização – incluindo riscos, impactos e oportunidades. Ou seja, é uma abordagem mais específica do que o termo sustentabilidade, que se refere à capacidade de satisfazermos as necessidades do presente sem comprometer as das futuras gerações e que, portanto, pode se aplicar em diferentes áreas. São temas relacionados, mas ESG e sustentabilidade são distintos.
Diante desse cenário, qual é o papel do CISO e demais profissionais de segurança cibernética nesta importante jornada? Na questão ambiental (o “E” de Environment) o foco está nos impactos potenciais ou reais das organizações no meio ambiente. Trazendo para o universo do CISO, podemos ressaltar ao menos dois aspectos.
Primeiro, a segurança cibernética é um habilitador dos projetos de TI Verde que reduzem a pegada de carbono. A digitalização de serviços, a migração para nuvem, a adoção de trabalho remoto e a redução de deslocamentos e viagens são exemplos de projetos que reduzem o consumo de energia elétrica e combustíveis, bem como da poluição atmosférica. Contudo, eles aumentam a dependência da tecnologia. Portanto, a sobrevivência do negócio a eventos adversos na arena tecnológica, como, por exemplo, um ataque ransomware, passa pela sua resiliência cibernética e capacidade de prevenir, detectar e responder a esses incidentes da forma mais efetiva possível.
O segundo aspecto é também um fator crítico de sucesso para projetos de energia limpa, que precisam ser sustentáveis operacionalmente. Em nível estratégico, a Guerra da Ucrânia evidenciou a falta de resiliência de projetos dessa natureza na Europa ao destacar a dependência de alguns países ao gás russo. Em nível tático e operacional, a dependência crescente das infraestruturas críticas às tecnologias de TI integradas ao mundo de automação e controle de plantas energéticas. Assim, pensar em um ataque cibernético que deixe uma cidade às escuras não é mais um cenário futurista. Novamente, a Ucrânia é um exemplo real disso com repetidos ataques sendo reportados desde 2015.
Tampouco é futurista um cyber ataque gerar o caos em termos de desabastecimento de combustível em um país. Neste caso um exemplo atual é o da companhia de oleoduto Colonial Pipeline, nos EUA, que teve seus computadores e gasodutos afetados durante seis dias, o que gerou filas e aumento dos preços nos postos de combustíveis. Por essas razões é necessário que os projetos de energia limpa adotem o conceito de Security by Design em todas as suas fases e nos diferentes níveis (estratégico, tático e operacional).
Já o pilar social (o “S” de Social) refere-se aos impactos das instituições nas relações humanas, como respeito aos direitos humanos e mudanças potenciais ou reais em comunidades no entorno. Com a ótica do CISO, podemos ressaltar também dois ângulos:
– O Respeito à Privacidade: tema cada vez mais caro à sociedade e já transformado em direito fundamental. As organizações precisam encarar os dados pessoais coletados de seus consumidores, funcionários, cidadãos, etc. como o que são: dados cuja propriedade é da pessoa física em questão. Os dados não são da organização, que é apenas uma custodiante, e, por isso, deve assegurar aos seus donos os direitos previstos em leis, como a LGPD (Lei Geral de Proteção de Dados Pessoais). Quando a organização abraça a Responsabilidade de Dados, ela respeita as pessoas melhorando suas relações e imagem junto ao mercado.
– Os impactos da implementação de controles de segurança: ao proteger a privacidade das pessoas, é possível reduzir o crime cibernético, aumentar a resiliência operacional de negócios, proteger propriedade intelectual, entre outros benefícios. Os projetos de segurança geram impactos positivos importantes na sociedade e na economia. Por outro lado, não se pode ignorar os riscos de impactos negativos diretos ou indiretos que causem restrições à liberdade, vigilância excessiva e intimidação, aumento de custo de produtos e serviços e da desigualdade digital etc. É importante, ainda, avaliar o impacto de falhas dos controles de segurança para organizações e indivíduos.
A governança (o “G” de Governança) refere-se à maneira como a organização é administrada, suas estruturas e processos e tomada de decisões. No âmbito dos CISOs, este tema é familiar, pois discussões ao redor de GRC – Governança, Risco e Conformidade – já fazem parte da sua agenda há anos. Sabe-se que a segurança da informação é uma parte importante da governança corporativa, e um CISO pode ajudar a garantir que as políticas e controles de segurança sejam implementados em conformidade com as normas e regulamentos. Vale destacar que um dos principais objetivos da Governança nas organizações é proteger o valor do negócio. Em um mundo onde os dados representam a maior parte do valor de muitas delas, não pode haver Governança sem proteção de dados.
Considerando todos esses aspectos, vemos a integração da segurança cibernética com ESG cada vez mais importante para as organizações e para os próprios profissionais. Certamente, trata-se de um desafio que requer um compromisso significativo das duas partes. Mas toda jornada tem um primeiro passo, e neste caso entendemos que isso significa fomentar a discussão do papel do CISO, que é crucial. Não haverá sustentabilidade sem resiliência nos negócios, e a resiliência vem, cada vez mais, da agenda do CISO.
Leonardo Carissimi é diretor de Cybersecurity & Privacy da Capgemini Brasil.
