Conforme os ataques cibernéticos vão crescendo, a sociedade vai percebendo que a cibersegurança é algo muito mais relacionado às questões de ESG (Environmental, Social and Governance) do que se pensava.
À medida que os riscos se tornam mais evidentes e o número de ataques se tornam mais recorrentes, tem se percebido que a responsabilidade não pode, simplesmente, ser delegada ao estado e ao seguro.
É necessário que as empresas e organizações estejam cientes da sua parcela de responsabilidade pelos dados que tratam, se utilizando desde já, das boas práticas de ESG para buscar um maior nível de segurança, pois como temos percebido, cibersegurança também é uma questão de responsabilidade e boa governança.
O Fórum Econômico Mundial (World Economic Forum) publicou recentemente um artigo que salienta bem o quanto, muitas vezes, a cibersegurança é tratada como uma questão somente de órgãos reguladores, porém deve, na realidade, deve ser um trabalho conjunto.
Fórum Econômico Mundial alerta sobre riscos e propõe atenção ao ESG
De acordo com relatório publicado, três questões se destacam: ataques cibernéticos e os riscos que eles representam para a sociedade como um todo, a necessidade de que as empresas e organizações se responsabilizem também pelo gerenciamento e segurança cibernética como parte de sua estratégia ao invés de depender de outros fatores, e por fim como a criação de uma estrutura padrão pode ajudar as organizações a mensurar e gerenciar os riscos.
A partir disto se pode enumerar 3 razões pelas quais é necessário que as boas práticas de ESG sejam devidamente incluídas na estratégia de todas as empresas.
O risco cibernético representa uma ameaça aos ativos de uma empresa
Estima-se que os valores intangíveis representem em média 90% dos ativos de uma organização, tendo inclusive triplicado no índice Standard and Poor’s 500 (S&P 500) nos últimos 35 anos, fato esse, que muito se deve à migração acelerada rumo à digitalização dos ativos, durante a pandemia.
Os dados hoje são considerados os ativos intangíveis mais determinantes no valor de uma empresa, pois conforme as empresas vão crescendo, seu valor intangível também cresce, aumentando o impacto que uma violação de segurança teria sobre a empresa caso fosse realizado.
O crime cibernético é projetado para aumentar, pois com o aumento de ativos intangíveis de uma empresa, os lucros também aumentam para os criminosos.
A segurança cibernética precisa ser pensada de uma forma mais macro, pois não é tanto sobre como correr contra o tempo para proteger cada computador dentro de uma empresa, e sim, como criar uma estratégia que minimize os prejuízos caso essa invasão ocorra.
Existem ativos sem os quais uma empresa não pode operar: eles devem ser o foco.
O risco cibernético representa um risco à sociedade
As transações digitais foram adotadas com pressa pelas empresas, de forma aumentar a conveniência do consumidor. E esse tipo de transação está em toda parte: desde serviços públicos essenciais até bens de consumo.
O problema é que essa informatização aumentou os riscos.
Só em 2021 houve recordes em roubos de identidade, representando um aumento de 23% em comparação ao recorde anterior.
Só que isso tem um efeito muito maior para as pessoas, pois as violações aos sistemas entregam aos criminosos a possibilidade de acesso a dados de instituições, afetando a qualidade do atendimento à comunidade.
Um exemplo desse potencial nocivo foi o caso do ataque à operadora de oleodutos norte-americana Colonial Pipeline, cuja consequência foi a interrupção do fornecimento de combustível para o sudeste dos Estados Unidos, em maio.
O seguro não pode reduzir o risco
Que é trabalhoso implementar a governança em prol da segurança cibernética, todos sabemos. Porém, delegar a responsabilidade somente aos seguros, não reduz o risco, pois, conforme os tribunais foram decidindo em favor das empresas vitimadas, as seguradoras foram apertando o cerco e reduzindo as hipóteses de coberturas das apólices.
O fato é que é imprescindível ter um seguro, porém como suporte, pois o seguro não pode ser visto como um substituto à boa governança em uma empresa.
Uma estrutura padrão bem estabelecida, pode ajudar as empresas e os reguladores a entenderem e mensurar os riscos, e melhor, pode ajudar a incorporar estes riscos na estratégia de ESG, pois as regulamentações governamentais sozinhas não conseguem gerenciar todas as empresas de uma forma realista, visto que, cada uma possui uma particularidade em seu modelo de negócios.
Uma estrutura padronizada para realizar a análise destes riscos pode ser a solução para uma governança mais eficiente alinhada com os parâmetros do ESG, que quando bem aplicados, só podem gerar boas consequências para as empresas.