ESG

Seu maior problema de ESG está bem na sua tela

O principal risco de ESG na maioria das empresas hoje é a segurança de dados e sua governança

Segurança digital: boa governança corporativa poderia ajudar a conter problemas como vazamentos de dados ou ataques ramsonware (Busakorn Pongparnit/Getty Images)

Segurança digital: boa governança corporativa poderia ajudar a conter problemas como vazamentos de dados ou ataques ramsonware (Busakorn Pongparnit/Getty Images)

TL

Thiago Lavado

Publicado em 6 de agosto de 2021 às 07h00.

A palavra de ordem no mundo dos negócios é ESG, a sigla para a adoção de critérios ambientais, sociais e de governança na gestão. O conceito vem ganhando cada vez mais tração, a ponto de hoje ser 12 vezes mais procurado no Google do que era um ano atrás.

Segundo levantamento da Exame Research já existem mais de 1 trilhão de dólares em recursos investidos em fundos ESG no mundo. Em quatro anos calcula-se que representarão 57% do volume investido em fundos na Europa. Nada mais natural, portanto, do que as empresas buscarem incorporar os conceitos de ESG – seja por convicção, seja por uma questão de sobrevivência no ambiente competitivo.

As três letras fazem parte das angústias dos gestores de recursos humanos e de meio ambiente há um bom tempo. Afinal, passivos trabalhistas e ambientais têm torpedeado empresas de todos os setores, da moda à mineração.

Esses riscos vêm à mente porque são os suspeitos de sempre. Mas quem olhar com atenção para o raio-x da maioria das empresas irá perceber que os maiores riscos de ESG não estão no chão da fábrica, e sim rodando em seus servidores, circulando nos e-mails corporativos e viajando no Wi-Fi das salas de reunião.

“Dados são o novo petróleo”, na definição do matemático inglês Clive Humby. A frase sempre é citada quando alguém quer mostrar o quanto os dados são o combustível da nova economia, da gestão e da tomada de decisões. Só que essa comparação também faz sentido em outro contexto. Assim como o petróleo, dados também vazam, e nos dois casos as consequências são catastróficas.

Desde o início do mês a LGPD passou a permitir multas às empresas que não estiverem em conformidade. Os valores das penalidades podem chegar a 50 milhões de reais, e a LGPD também autoriza punições que podem incluir a interrupção do funcionamento do negócio. À medida em que a sociedade vai se tornando mais informada sobre a vida digital, o tratamento inadequado dos dados é visto com mais gravidade. Em pouco tempo seus impactos sobre as empresas serão tão negativos quanto os derramamentos de óleo foram para a Exxon e a British Petroleum, anos atrás.

Vazamentos podem comprometer os resultados e a credibilidade de qualquer empresa. Mas eles são apenas um dos riscos que precisam ser endereçados por uma governança de dados adequada. Muito mais visíveis, nos últimos tempos, têm sido os ataques de ransomware, que acontecem ao ritmo de um a cada 11 segundos em todo o mundo.

Estima-se que o prejuízo global por ataques como os sofridos recentemente pela JBS ou pela Colonial Pipeline, nos Estados Unidos, chegue a 20 bilhões de dólares no ano. Os resgates pagos pelos dados variam, em média, entre 350.000 e 1,4 milhão de dólares. Pior: somente 8% dos que pagam conseguiram reaver a totalidade dos dados. Cerca de 29% não recuperam sequer a metade do que foi encriptado pelos cibercriminosos.

Ninguém duvida que as invasões e vazamentos de dados são um risco enorme. O que as transforma num problema de ESG é que a imensa maioria deles seria prevenida com uma boa governança digital. Uma que levasse a adotar defesas eficientes e estabelecer regras e procedimentos, mas, principalmente, a garantir que sejam seguidos de verdade pelos funcionários e fornecedores.

Nas grandes empresas é comum que as equipes recebam treinamentos anticorrupção e anti-assédio moral e sexual. Mas não são tão comuns treinamentos sobre os riscos de adiar a atualização do sistema operacional, de espetar pen drives suspeitos nos computadores corporativos, nem sobre como atender o telefone se o chamador pode ser um cibercriminoso fazendo engenharia social. O fator humano é um dos pontos mais vulneráveis da segurança cibernética. Está longe de ser o único.

Quando se analisa o histórico de episódios de cibersegurança, outras falhas de governança saltam aos olhos: 59% das vulnerabilidades de infraestrutura exploradas por criminosos possuem correção disponível há mais de um ano, de acordo com o relatório de ameaças da GAT Infosec. Frequentemente, seriam corrigidas com uma simples atualização de sistema. Que se diga, é um tanto comum encontrar casos de empresas onde vulnerabilidades conhecidas desde 2004 ainda não foram remediadas.

No final do ano passado o Fórum Econômico Mundial, em parceria com as quatro grandes empresas de auditoria e contabilidade (Deloitte, EY, KPMG, PWC) propôs um padrão global para as informações sobre ESG. Elencou como prioritários os temas envolvendo mudanças climáticas e... gestão de dados.

Entre as questões mais relevantes a serem abordadas, listou “cibersegurança, o uso e a governança da inteligência artificial e do machine learning, a privacidade, e todas as questões ligadas à propriedade, armazenamento e utilização de dados“. Sugeriu que os conselhos das empresas se envolvessem ativamente nessa governança, já que as consequências da perda de dados ou falhas dos sistemas podem fatais para os negócios.

O tema começou a ganhar peso. Em relatório da gestora de recursos Architas, varejistas de 11 países citaram proteção de dados e cibersegurança entre as questões de ESG mais urgentes. Outra pesquisa, do braço de asset do Royal Bank of Canada, mostrou que, para investidores institucionais, cibersegurança era a principal preocupação de ESG ao se analisar uma companhia.

O alarme tocou de vez com o ataque de ransomware à Colonial Pipeline, o principal oleoduto dos EUA, que distribui 45% do combustível consumido na costa Leste. Após o incidente, a S&P Global divulgou um boletim considerando que “ciberataques, com as perdas e disrupções a eles associados, estão aumentando em severidade e frequência, o que solidifica a cibersegurança entre as principais preocupações de ESG”. Orientou também as companhias a irem além da simples segurança de TI e “avaliar o risco cibernético a partir de perspectivas informadas de engenharia”.

Mark Schwartz, estrategista empresarial da Amazon Web Services, escreveu em seu blog que a garantia da segurança e da privacidade são obrigações de qualquer negócio socialmente responsável, e elementos chave do ESG. Mas as implicações cibernéticas das três letras vão muito além disso, e chegam ao ponto de demandar que o código que os programadores desenvolvem reduza a pegada de carbono das empresas e de seus produtos. Realmente, em um mundo onde os dados são o novo petróleo, só podemos esperar que a governança sobre eles evolua cada vez mais, para o bem de todos.

*Leonardo Militelli é CEO da GAT InfoSec, empresa de soluções de governança e gestão para riscos cibernéticos

Acompanhe tudo sobre:Ciência de DadosLGPD – Lei Geral de Proteção de Dados

Mais de ESG

COP29: ONU esperava mais ambição. Leia reações de países ao acordo final

COP29 aprova US$ 300 bi para financiamento climático após muito impasse

COP29: Regras de mercado de carbono internacional são aprovadas

Países menores abandonam negociações na COP29