Se você está em busca de segurança e privacidade para o seu escritório, em primeiro lugar, precisa entender o que é ESG.

A sigla vem do inglês Environmental (Ambiental, E), Social (Social, S) e Governance (Governança, G). Em um resumo bem resumido (com o perdão do pleonasmo) essas são três pautas essenciais para entendermos o mercado e o universo corporativo atualmente.

Para entendermos melhor os temas, compartilho uma pequena explicação de um artigo* com vocês:

Environmental ou Ambiental: refere-se às práticas da empresa ou entidade voltadas ao meio ambiente. Entram aqui temas como aquecimento global; emissão de gases poluentes, como o carbono e metano; poluição do ar e da água; desmatamento; gestão de resíduos; eficiência energética; biodiversidade; entre outros.

Social: relaciona-se à responsabilidade social e ao impacto das empresas e entidades em prol da comunidade e sociedade. Majoritariamente se refere a temas como respeito aos direitos humanos e às leis trabalhistas; segurança no trabalho; salário justo; diversidade de gênero, raça, etnia, credo etc.; proteção de dados e privacidade; satisfação dos clientes; investimento social; e relacionamento com a comunidade local.

Governance ou Governança: está ligado às políticas, processos, estratégias e orientações de administração das empresas e entidades. Entram no tema, por exemplo, conduta corporativa; composição do conselho e sua independência; práticas anticorrupção; existência de canais de denúncias sobre casos de discriminação, assédio e corrupção; auditorias internas e externas; respeito a direitos de consumidores, fornecedores e investidores; transparência de dados; remuneração dos executivos; entre outros.
Está intimamente ligado aos dois outros termos (Social e Ambiental), por ser quem dita, orienta, fiscaliza e reporta as práticas sustentáveis (ou não).

*Fonte: Valor Econômico – Globo.

Não é novidade que os ataques cibernéticos seguem em uma crescente no mundo todo. Os alvos primários são as grandes empresas que, cada vez mais preocupadas, investem em tecnologia e segurança.

Por falar em investimento, a segurança e a pauta ESG caminham em sintonia. Temos um índice financeiro que avalia todos estes elementos em conjunto: Índice Dow Jones de Sustentabilidade (DJSI – Dow Jones Sustainabilty Index).

O Dow Jones Sustainability Index, foi criado em 1999 com o objetivo de reconhecer as melhores práticas de sustentabilidade das empresas cotadas na bolsa de valores. E isto é relevante? Para discorrer sobre o tema, colaciono um artigo* de Gustavo Sampaio e Gisele Aparecida, gerentes de cibersegurança da EY Brasil.

O índice DJSI.

Entre os indicadores globais de desempenho financeiro, cujos questionários de avaliação incorporam aspectos de Segurança da Informação, é possível destacar o Índice de Sustentabilidade Dow Jones (DJSI), criado em 1999 e composto por cerca de 300 empresas de diversos setores e países. O Corporate Sustainability Assessment (CSA), um dos principais questionários de ESG do mercado, é utilizado para pontuar e classificar as empresas líderes de sustentabilidade. As mais pontuadas a cada ano são escolhidas para compor o índice.

Em 2021, 54 empresas brasileiras – de um universo de 3.583 – foram convidadas para responder ao questionário de avaliação, e nove foram selecionadas para compor o índice nesse ano: Banco Bradesco, Banco do Brasil, Itaú Unibanco, Itaúsa, Petrobras, Lojas Americanas, Lojas Renner, Companhia Energética de Minas Gerais e Klabin.

Escopo de cibersegurança.

O questionário do DJSI não deve ser entendido como um formulário único. As perguntas englobam questões específicas para a indústria da organização e até 50% de questões comuns a todas as indústrias. Elas são divididas em três grandes dimensões: Environmental (E), Social (S) e Governance & Economic (G). Cada tema abordado dentro das dimensões possui um peso na avaliação, que é variável de acordo com a indústria.

Cibersegurança, por exemplo, corresponde a 3% de peso na pontuação final para o setor financeiro, enquanto no setor de Utilities esse mesmo critério tem peso 2%. É importante reforçar que o questionário é composto de uma variedade de temas cujos pesos variam, em média, de 2% a 7%. O escopo de cibersegurança está incluso dentro da dimensão “Governance & Economic“, com alguns critérios de privacidade e proteção de dados dentro da dimensão “Social”. Os seguintes temas são avaliados:

Governança de Cibersegurança: avalia se a empresa possui a governança adequada para evitar falhas nos sistemas de TI e incidentes de segurança relevantes. Critério avaliado: Estrutura de Governança de Segurança da Informação (CISO, CTO, CSO, CIO etc.).

Medidas de Cibersegurança: avalia quais medidas de segurança estão em vigor para garantir que os funcionários estejam cientes das principais potenciais ameaças e da importância da Segurança da Informação na organização. Critérios avaliados: Políticas e Procedimentos formalizados, treinamento e conscientização, reporte de incidentes e possíveis sanções para os funcionários.

Processos e infraestrutura de cibersegurança: avalia o quão bem as empresas estão preparadas para evitar grandes incidentes de infraestrutura de TI e Segurança da Informação e se elas podem reagir adequadamente quando eles ocorrem. Critérios avaliados: plano de continuidade dos negócios, certificações (Ex: ISO 27001, NIST) e testes de vulnerabilidade externos.

Além dos critérios objetivos para a avaliação de cada pergunta, as respostas são avaliadas em termos de aderência à questão, completude da resposta e evidências que suportam o que foi relatado.

Recomendações: embora a metodologia de pontuação do CSA seja complexa e variável de acordo com a indústria e evidências apresentadas, entre outros fatores, é possível destacar algumas recomendações específicas para as perguntas de segurança da informação.

Informações Públicas: pontuações adicionais são fornecidas se algumas informações relevantes sobre Segurança da Informação forem disponibilizadas publicamente e de fácil acesso.

Evidências: quando fornecidas, elas devem ser contextualizadas e relacionadas às respostas dadas, se possíveis datadas. É possível anexar relatórios, materiais de reporte aos executivos, dashboards de monitoramento de ameaças, incidentes e demais KPIs de segurança.

Certificações Internas: ainda que a empresa não possua uma certificação externa, como a ISO 27001, pode ser interessante evidenciar quaisquer assessments internos realizados baseados em frameworks de mercado, como o NIST, evidenciando que há um monitoramento dos principais controles de segurança na organização.

Certificações de Fornecedores: se a infraestrutura de segurança da organização for fornecida por terceiros, é fundamental levantar quais certificações eles possuem e fornecer essas evidências como anexo do questionário.

*Fonte: It Forum.

Interessante, não? Um índice nada novo, num mercado onde o Brasil começa a aparecer.

E o seu negócio, está atento às pautas de ESG e Segurança? Tudo isto cai dentro da privacidade, dentro dos dados, dentro da cultura do negócio.

Fazer marketing com ESG, segurança e LGPD é uma decisão estratégica. Mas, na prática, para colocar tudo isso em prática, você tem um longo caminho para percorrer. Então, não demore muito para iniciar essa jornada.