Cibersegurança nos frameworks de ESG passa mensagem clara: proteção de dados é relevante para empresas serem consideradas sustentáveis
A crescente interdisciplinaridade entre os temas ESG e cibersegurança fez as empresas direcionarem sua atenção para os principais aspectos de Segurança da Informação que podem torná-las mais sustentáveis. O Índice Dow Jones de Sustentabilidade (DJSI – Dow Jones Sustainabilty Index) é um indicador global de desempenho financeiro que já considera esse fator em sua análise anual de empresas potencialmente sustentáveis.
Os últimos anos foram desafiadores para todas as empresas. A pandemia criou um ambiente altamente promissor para ataques cibernéticos, dos mais simples aos mais sofisticados. Dados da última pesquisa global de Segurança da Informação da EY (GISS) apontam que 58% das empresas identificaram um aumento de mais de 10% em ataques no último ano.
A Segurança da Informação, que já se firmava como um tema de atenção que extrapola a indústria de tecnologia, passou a ser ainda mais relevante e um tópico de interesse de todas as indústrias e investidores.
Nesse contexto, os frameworks de ESG tornam-se meios mais objetivos de avaliar os riscos e comportamentos de uma organização como um todo. Ao incorporar um domínio específico de cibersegurança em seus questionários, a mensagem para o mercado é clara: além do compromisso com os investimentos na dimensão ambiental, a segurança das informações e dados da sociedade também são relevantes para uma empresa ser considerada, de fato, sustentável.
Entre os indicadores globais de desempenho financeiro, cujos questionários de avaliação incorporam aspectos de Segurança da Informação, é possível destacar o Índice de Sustentabilidade Dow Jones (DJSI), criado em 1999 e composto por cerca de 300 empresas de diversos setores e países. O Corporate Sustainability Assessment (CSA), um dos principais questionários de ESG do mercado, é utilizado para pontuar e classificar as empresas líderes de sustentabilidade. As mais pontuadas a cada ano são escolhidas para compor o índice.
Em 2021, 54 empresas brasileiras – de um universo de 3.583 – foram convidadas para responder ao questionário de avaliação, e nove foram selecionadas para compor o índice nesse ano: Banco Bradesco, Banco do Brasil, Itaú Unibanco, Itaúsa, Petrobras, Lojas Americanas, Lojas Renner, Companhia Energética de Minas Gerais e Klabin.
O questionário do DJSI não deve ser entendido como um formulário único. As perguntas englobam questões específicas para a indústria da organização e até 50% de questões comuns a todas as indústrias. Elas são divididas em três grandes dimensões: Environmental (E), Social (S) e Governance & Economic (G). Cada tema abordado dentro das dimensões possui um peso na avaliação, que é variável de acordo com a indústria.
Cibersegurança, por exemplo, corresponde a 3% de peso na pontuação final para o setor financeiro, enquanto no setor de Utilities esse mesmo critério tem peso 2%. É importante reforçar que o questionário é composto de uma variedade de temas cujos pesos variam, em média, de 2% a 7%. O escopo de cibersegurança está incluso dentro da dimensão “Governance & Economic”, com alguns critérios de privacidade e proteção de dados dentro da dimensão “Social”.
Os seguintes temas são avaliados:
Governança de Cibersegurança – Avalia se a empresa possui a governança adequada para evitar falhas nos sistemas de TI e incidentes de segurança relevantes. Critério avaliado: Estrutura de Governança de Segurança da Informação (CISO, CTO, CSO, CIO etc).
Medidas de Cibersegurança – Avalia quais medidas de segurança estão em vigor para garantir que os funcionários estejam cientes das principais potenciais ameaças e da importância da Segurança da Informação na organização. Critérios avaliados: Políticas e Procedimentos formalizados, treinamento e conscientização, reporte de incidentes e possíveis sanções para os funcionários.
Processos e infraestrutura de cibersegurança – Avalia o quão bem as empresas estão preparadas para evitar grandes incidentes de infraestrutura de TI e Segurança da Informação e se elas podem reagir adequadamente quando eles ocorrem. Critérios avaliados: plano de continuidade dos negócios, certificações (Ex: ISO 27001, NIST) e testes de vulnerabilidade externos.
Além dos critérios objetivos para a avaliação de cada pergunta, as respostas são avaliadas em termos de aderência à questão, completude da resposta e evidências que suportam o que foi relatado.
Embora a metodologia de pontuação do CSA seja complexa e variável de acordo com a indústria e evidências apresentadas, entre outros fatores, é possível destacar algumas recomendações específicas para as perguntas de segurança da informação.
Informações Públicas: Pontuações adicionais são fornecidas se algumas informações relevantes sobre Segurança da Informação forem disponibilizadas publicamente e de fácil acesso.
Evidências: Quando fornecidas, elas devem ser contextualizadas e relacionadas às respostas dadas, se possíveis datadas. É possível anexar relatórios, materiais de reporte aos executivos, dashboards de monitoramento de ameaças, incidentes e demais KPIs de segurança.
Certificações Internas: Ainda que a empresa não possua uma certificação externa, como a ISO 27001, pode ser interessante evidenciar quaisquer assessments internos realizados baseados em frameworks de mercado, como o NIST, evidenciando que há um monitoramento dos principais controles de segurança na organização.
Certificações de Fornecedores: Se a infraestrutura de segurança da organização for fornecida por terceiros, é fundamental levantar quais certificações eles possuem e fornecer essas evidências como anexo do questionário.
* Gustavo Sampaio e Gisele Aparecida são gerentes de cibersegurança da EY Brasil
