A segurança cibernética está se tornando o principal risco global, por impacto e probabilidade. Sendo comparado com ameaças como as mudanças climáticas e os conflitos geopolíticos. O resultado? Está emergindo como um importante fator ESG (Environmental, Social and Governance) para os investidores, com forte alinhamento ao risco financeiro e de investimento. E, portanto, reflete a estrutura geral de governança de uma empresa.
Não há dúvida de que o foco na sustentabilidade teve um grande impacto na redefinição dos objetivos de milhões de investidores. E segurança cibernética está nessa agenda porque o tema tem relação com a expectativa de um futuro positivo, o que conversa com participantes do mercado.
Os critérios ESG são um conjunto de princípios utilizados pelos investidores para avaliar o desempenho de uma empresa ao considerar potenciais investimentos. Por exemplo: considera-se o envolvimento da empresa na proteção do meio ambiente, o impacto do negócio na comunidade local e a governança, com revisão de controles internos.
Em 2021, houve entradas recordes de ESG em investimentos passivos, com US$ 391 bilhões sendo investidos em ativos de ETF ESG, um aumento de quase 100% em relação a 2020 e dez vezes mais do que em 2017, de acordo com a pesquisa da Statista. Em 2023, os ativos alocados atingiram US$ 480 bilhões. Não há dúvida de que o foco na sustentabilidade teve um grande impacto na redefinição dos objetivos de milhões de investidores.
Alguns anos atrás, a segurança cibernética costumava ser tratada nas empresas de forma limitada, restrita à esfera de tecnologia. Hoje, seu impacto econômico já é visto em uma escala semelhante ao das mudanças climáticas. Da mesma forma que, agora, é prática comum para os investidores integrar as divulgações de emissões de gases de efeito estufa nos processos de investimento, os participantes do mercado estão cada vez mais conscientes dos crescentes custos diretos e indiretos de uma fraca segurança cibernética corporativa. E começam a trazer informações sobre o desempenho da proteção digital para análise no investimento nas empresas.
Essa nova realidade foi comprovada no Fórum Econômico Mundial, no qual líderes globais mencionaram a importância de adicionar à sigla ESG um ‘T’, definindo assim ESGT como Governança Ambiental, Social, Corporativa e Tecnológica, adicionando, com isso, os cuidados exigidos das empresas em relação aos riscos e oportunidades vinculados às questões digitais.
Cibersegurança nas pautas corporativas de ESG: como ter clareza e consistência em dados e métricas
As regulamentações de proteção de dados pessoais estão mais rígidas. Além da Lei Geral de Proteção de Dados (LGPD), as agências reguladoras já determinam diretrizes de segurança cibernética às empresas reguladas, por meio da publicação de normativos regulatórios. Como por exemplo a Resolução 4.893 do Banco Central e a Circular 638 da SUSEP (Setor Securitário).
Por isso, incorporar a cibersegurança em processos de gestão de riscos, junto a um desenvolvimento sustentável, é um caminho sem volta para empresas que desejam proteger seu ambiente e agregar valor aos seus resultados. Considerando exemplos de ataques já vistos em vários pontos do mundo, é possível enxergar a cibersegurança apoiando também o pilar ambiental. Casos na guerra entre Rússia e Ucrânia, em que parques eólicos na Europa foram afetados e o ataque sofrido pela operadora do maior duto de transferência de combustível da costa leste dos Estados Unidos, a Colonial Pipeline.
Embora o interesse em ESG tenha ganhado força, ainda há falta de clareza, consistência e comparabilidade no que diz respeito aos dados, classificações e métricas quando falamos de cibersegurança. O primeiro passo pode ser um assessment de segurança da informação, para que a empresa tenha um diagnóstico detalhado sobre o nível de proteção e compliance de seu ambiente. A partir daí, é possível propor medidas para um ambiente monitorado e gerenciado, com capacitação da equipe, estruturação de processos, controles tecnológicos eficazes e relatórios periódicos.
Avaliação de riscos cibernéticos também contribui na identificação e resolução de vulnerabilidades nos ambientes físicos e digitais, e na análise das ameaças que expõem a empresa a riscos cibernéticos. E Compliance em Cibersegurança permite a análise da maturidade em compliance e os riscos existentes, considerando a conformidade em relação a normativos como Circular SUSEP 638, Resolução BACEN 4893, Resolução Normativa ANEEL 964 e Resolução ANATEL 740.
O resultado é um guia de evolução de maturidade em segurança da informação, para orientar a empresa na tomada de decisão sobre ações na jornada ESG.
Mas, é importante escolher uma consultoria especializada, com metodologia própria, criada com base nas melhores práticas de mercado e nos requisitos do negócio (ITIL, COBIT, ISO e NIST).
No caso de um ransomware para ter mais eficiência é fundamental identificar a maturidade da companhia no que se refere à prevenção e resposta a ataques deste tipo.
O resultado precisa ser customizado ao ambiente da empresa e condizente com as melhores práticas de segurança cibernética reconhecidas no mercado. A partir deste projeto, fica mais fácil criar um plano com as ações necessárias para que a maturidade da companhia evolua na capacidade de responder a ataques de ransomware.
Plano de Continuidade de Negócios
Em cenários de contingência, o tempo se torna escasso. Por isso, é crucial planejar, de maneira antecipada, as ações necessárias para manter a continuidade das operações em situações críticas, que causem impacto ao negócio. O Plano de Continuidade de Negócios (PCN) é desenhado para atuar em favor da organização, fortalecendo a estratégia e garantindo que a continuidade das operações não será interrompida em cenários de contingência.
O PCN elaborado pela Redbelt parte do contexto único de cada empresa para identificar os processos e ativos críticos cruciais para assegurar a continuidade do negócio. Usamos uma metodologia própria, criada com base em frameworks e normativas internacionais e melhores práticas de mercado.
