ESG e a cibersegurança: alinhamento, implicações e desafios

O ESG (Environmental, Social e Governance) pode ser entendido como um conjunto de critérios ou princípios de avaliação usados para medir o desempenho e as práticas organizacionais, rumo ao futuro sustentável. Estamos a falar, sobretudo, de 17 Objetivos de Desenvolvimento Sustentável (ODS) criados pela ONU em 2015 no âmbito da Agenda 2030, tendo a Sustentabilidade como o desígnio e o ESG como a framework operativa desta visão com indicadores, métricas e relatórios não financeiros das organizações.

	Bruno Marques, Presidente da CIIWA

Uma nota sobre o que é a Sustentabilidade. Numa síntese, é a capacidade de utilizar os recursos naturais sem comprometer o bem-estar das gerações futuras. O objetivo principal é encontrar o equilíbrio entre o desenvolvimento económico-social e a preservação do ambiente.

Neste artigo procuraremos identificar as áreas em que a Cibersegurança será instrumental para o ESG, como prática indispensável no presente e estratégica para o futuro (sustentável) das organizações. Esta é ainda uma área pouca explorada, mas que valoriza a Cibersegurança igualmente nesta dimensão.

Mas em que pilares do ESG estará presente a Cibersegurança? Como é que poderemos valorizar o seu contributo para o ESG?

Contexto

O debate em torno da Cibersegurança tem-se situado, em geral, no domínio da segurança e defesa - incluindo a ameaça interna e o ataque externo - em que a organização é olhada como um castelo, se possível inexpugnável, com o foco na segurança daquele que era (e ainda é) o perímetro da segurança.

Idalécio Lourenço, Analista e Consultor

Esta realidade, num mundo cada vez mais digital, têm vindo a esbater-se e a ser substituída por organizações em que o castelo é o resultado de um conjunto de stakeholders internos, e também externos, que participam na definição da estratégia e nas operações, numa lógica de ecossistemas colaborativos de negócio.

Com a digitalização crescente da economia e das organizações, num quadro de globalização num mundo multipolar, de novos teatros de operações e de tecnologias emergentes como a IA Generativa, iniciou-se um processo de transição para uma nova ordem estratégica e competitiva. Neste novo quadro, o perímetro de segurança passou a estar mais difuso e a superfície de ataque mais dinâmico, maior, complexa e mutável (ex. Third Parties e Supply Chain). A Cibersegurança é assim um desafio do presente, em que a prevenção está em alerta permanente e as respostas e a recuperação estão sob pressão perante atacantes mais sofisticados.

Os desafios do ESG e/na cibersegurança

A resposta pode parecer ambígua, mas a verdade é a Cibersegurança e o ESG estão destinados a trabalhar em conjunto. Porquê? Porque ambos têm uma visão 360º da organização (interna e externa), objetivos estratégicos comuns e complementam-se.

	Fernando Gomes de Amorim, Presidente da Comissão Executiva da Melior S.A. e Membro da Direção da CIIWA - Núcleo Norte

A Cibersegurança é, pois, parte integrante da estratégia ESG e o ESG, por seu lado, deve “apresentar-se” à Cibersegurança como um parceiro estratégico.

A Cibersegurança está presente nos três pilares ESG. Neste artigo iremos destacar alguns dos principais impactos no pilar Social e no pilar do Governo. Porém, importa salientar que a Cibersegurança, via sustentação do teletrabalho, também impacta positivamente o pilar do Ambiente.

O pilar Social é fundamental para assegurar a continuidade da oferta, pela proteção dos ativos e por acompanhar a gestão dos riscos (tecnológicos) na perspetiva de seleção, validação e acompanhamento dos parceiros de negócio. Aqui, a Cibersegurança está presente na validação da operacionalidade da Supply Chain e onde emerge o tema TPRM (Third Party Risk Management).

A J.P. Morgan Global formulou que as estruturas ESG são como um meio tangível de avaliar o comportamento corporativo, proporcionando informações sobre este comportamento e os riscos de Cibersegurança. Indicou como exemplos os efeitos e consequências da pandemia em 2020 (trabalho remoto e maiores custos associados), o aumento das medidas de regulação para a proteção e segurança, e a Cibersegurança como uma métrica de proteção social.

O pilar Governance , cujo modelo é indissociável da cultura organizacional, está assente numa estrutura jurídica que permita oferecer confiança aos stakeholders. Enquanto sistema, operacionaliza-se na definição de objetivos, no processo de tomada de decisão, na monitorização adequada do cumprimento das políticas e procedimentos (ex. Risco e Compliance), bem como na avaliação do desempenho. O comportamento ético e a integridade da gestão são os “subprodutos” da cultura organizacional, que encerra normas éticas e comportamentais, assim como a forma como são comunicadas, aplicadas e reforçadas.

A este nível, incorporar a Cibersegurança na gestão estratégica dos riscos é essencial. Ao mesmo tempo, os modelos de governo modernos (vide as indicações do IPCG – Instituto Português de Corporate Governance) posicionam o tema da Segurança das Organizações enquanto tema estratégico, exigindo o alinhamento dos investimentos em Segurança com os objetivos de negócio, responsabilização ao mais alto nível e boas práticas na gestão de programas de Cibersegurança.

Porque deve o ciber risco ser integrado na estratégia ESG?

O conceito de ESG nasceu em 2005. No entanto, só no início de 2022 é que o ESG “convocou” a Cibersegurança para o seu território, quando o World Economic Forum (WEF) recomendou, no anual Global Cybersecurity Outlook de 2022, que a Ciberesegurança fizesse parte da estratégia ESG, uma vez que os seus riscos, do ponto de vista da Sustentabilidade, correspondem aos riscos mais imediatos que as organizações enfrentam na atualidade. Ou seja, em termos da Resiliência atual, a Cibersegurança (ainda) não é uma opção e, visando o seu desenvolvimento futuro, é ainda um tema Estratégico. Na ocasião, para pressionar esta visão, o WEF passou a mensagem aos gestores, presentes em Davos, que, se não trabalharem no sentido da implementação de um “Modelo de Governo de Cibersegurança”, as suas organizações serão menos sustentáveis, logo menos resilientes, além de serem- -lhes vedado o acesso a determinados negócios e mercados.

O WEF aponta três razões pelas quais o Ciber Risco deve ser incluído nas estratégias de ESG.

1. Pode significar uma ameaça ao valor da organização. O valor intangível, isto é, o valor dos ativos que não são de natureza física, representa cerca de 90% do valor dos ativos nas organizações. Talvez o ativo intangível mais crítico na determinação do valor de uma organização, na atualidade, sejam os dados: pessoais, informações financeiras, de segurança e de comportamentos. E, à medida que as organizações crescem, o seu valor intangível também aumenta, salientando o valor conferido à informação, o que resulta num maior impacto de uma eventual violação de segurança. O WEF recomenda que as organizações mudem a forma de pensar e agir, adotando uma gestão holística e concentrando-se na proteção dos ativos mais críticos.
2. Pode representar uma ameaça à sociedade. Com base no princípio da conveniência do consumidor, os vários setores e organizações, públicas e não públicas, apostaram na transação digital, migrando processos e formas de prestar serviços assentes em infraestruturas/plataformas tecnológicas. Atualmente, serviços governamentais, financeiros, seguros, cuidados de saúde, bens de consumo, comunicação social estão omnipresentes no ciberespaço. Ora, esta (nova) realidade potencia o aumento dos riscos em Cibersegurança. Por outro lado, as violações de dados podem ter um enorme impacto nas pessoas. A título de exemplo, na área saúde, em fevereiro último, um ataque de ramsonware quase que paralisou na totalidade, o processo dos pagamentos clínicos da Change Healthcare (EUA). Outro exemplo relevante foi o ataque ao Colonial Pipeline (maio de 2021). Ambos afetaram fortemente a atividade e os rendimentos das comunidades afetadas, bem como alteraram um conjunto de relações económicos e formas de trabalhar.
3. O seguro não pode mitigar o risco indefinidamente. Em Portugal, esta parece ser ainda uma realidade algo distante, apesar de um terço dos empresários identificaram o risco cibernético com um dos principais riscos e “menos de 1% não terem seguros contra estes riscos” (MDS Research, 2022). Nos EUA, em vez de apostarem na governance em cibersegurança, as organizações confiaram nos seguros para gerir o risco. É claro que esta é uma visão limitadora e errada na Gestão do Risco. O seguro é apenas um mecanismo de transferência do risco, sendo necessário um processo de gestão integrada de mitigação dos riscos mais severos e um plano (ativo) de prevenção desses riscos. Por outro lado, à medida que os tribunais decidem a favor dos segurados, as seguradoras continuarão a estreitar o âmbito da cobertura, limitando até um ponto em que as organizações podem contar com o seguro para mitigar o risco.

Para o WEF, a criação de uma estrutura padrão para medir o risco em Cibersegurança ajudaria as organizações e os reguladores a compreendê-lo e a geri-lo como parte da sua estratégia ESG. E alerta de que as regulamentações por si só não substituem uma capacidade de gestão integrada, orientada ao risco, adequando controlos e colocando o tema da Cibersegurança como uma prioridade do presente e estratégica para o futuro.

Em síntese, a Cibersegurança e o ESG estão destinados a ser parceiros estratégicos, caminhando juntos neste novo ciclo global, de maiores interdependências onde se joga o nosso futuro comum.

E, sobretudo, são dois dos principais pilares essenciais numa lógica de ética prospetiva, de valorização de práticas empresariais responsáveis e sustentáveis que visam o bem-estar da nossa sociedade atual e das gerações vindouras.

Fontes / Bibliografia

WE | https://www.media.mit.edu/articles/cybersecurity-is-an-environmental- social-and-governance-issue-here-s-why/, Mar 1, 2022

KPMG | Cybersecurity in ESG. It’s time to view ESG and cybersecurity through the same lens. | KPMG International, 2023

KPMG ESG and cyber security are two sides of thesame coin, 2024

PwC | https://www.pwc.com/us/en/tech-effect/cybersecurity/building- -trust-with-esg-cybersecurity-and-privacy.html, 2022

JP Morgan | Why is cybersecurity important to ESG frameworks?, August 19, 2021

Nomura | Why Cybersecurity Is the BiggestHidden ESG Risk, March 2023

If P&C Insurance | Integrating cybersecurity and ESG, 1/12/2022

Jornal ECO | https://eco.sapo.pt/2022/06/06/ quatro-em-cada-10-empresas-nao-compram-seguro-cibernetico/

Jornal Expresso | https://expresso.pt/economia/2022-02-11-ataques-ciberneticos- menos-de-1-das-empresas-tem-seguros-de-protecao-diz-mds