Vamos começar entendendo o que é afinal ESG?
A sigla vem do inglês Environmental (Ambiental, E), Social (Social, S) e Governance (Governança, G).
Em resumo bem resumido (sem ser pleonasmo) são três pautas essenciais para entender o universo corporativo e o mercado nos dias atuais.
Divido uma pequena explicação de um artigo:
Environmental ou Ambiental: refere-se às práticas da empresa ou entidade voltadas ao meio ambiente. Entram aqui temas como aquecimento global; emissão de gases poluentes, como o carbono e metano; poluição do ar e da água; desmatamento; gestão de resíduos; eficiência energética; biodiversidade; entre outros.
Social: relaciona-se à responsabilidade social e ao impacto das empresas e entidades em prol da comunidade e sociedade. Majoritariamente se refere a temas como respeito aos direitos humanos e às leis trabalhistas; segurança no trabalho; salário justo; diversidade de gênero, raça, etnia, credo etc.; proteção de dados e privacidade; satisfação dos clientes; investimento social; e relacionamento com a comunidade local.
Governance ou Governança: está ligado às políticas, processos, estratégias e orientações de administração das empresas e entidades. Entram no tema, por exemplo, conduta corporativa; composição do conselho e sua independência; práticas anticorrupção; existência de canais dedenúncias sobre casos de discriminação, assédio e corrupção; auditorias internas e externas; respeito a direitos de consumidores, fornecedores e investidores; transparência de dados; remuneração dos executivos; entre outros. Está intimamente ligado aos dois outros termos (Social e Ambiental), por ser quem dita, orienta, fiscaliza e reporta as práticas sustentáveis (ou não).
Não é novidade os ataques cibernéticos em crescente no mundo todo, e as empresas como alvos primários, preocupadas em cada vez mais se defender, investir em tecnologia e segurança.
Por falar em investimento, segurança e pauta ESG andam em sintonia, temos um índice financeiro que avalia todos estes elementos em conjunto: Índice Dow Jones de Sustentabilidade (DJSI Dow Jones Sustainabilty Index.
E isto é relevante?
Para discorrer sobre o tema, colaciono um artigo de Gustavo Sampaio e Gisele Aparecida:
O índice DJSI
Entre os indicadores globais de desempenho financeiro, cujos questionários de avaliação incorporam aspectos de Segurança da Informação, é possível destacar o Índice de Sustentabilidade Dow Jones (DJSI), criado em 1999 e composto por cerca de 300 empresas de diversos setores e países. O Corporate Sustainability Assessment (CSA), um dos principais questionários de ESG do mercado, é utilizado para pontuar e classificar as empresas líderes de sustentabilidade. As mais pontuadas a cada ano são escolhidas para compor o índice.
Em 2021, 54 empresas brasileiras de um universo de 3.583 foram convidadas para responder ao questionário de avaliação, e nove foram selecionadas para compor o índice nesse ano: Banco Bradesco, Banco do Brasil, Itaú Unibanco, Itaúsa, Petrobras, Lojas Americanas, Lojas Renner, Companhia Energética de Minas Gerais e Klabin.
Escopo de cibersegurança
O questionário do DJSI não deve ser entendido como um formulário único. As perguntas englobam questões específicas para a indústria da organização e até 50% de questões comuns a todas as indústrias. Elas são divididas em três grandes dimensões: Environmental (E), Social (S) e Governance & Economic (G). Cada tema abordado dentro das dimensões possui um peso na avaliação, que é variável de acordo com a indústria.
Cibersegurança, por exemplo, corresponde a 3% de peso na pontuação final para o setor financeiro, enquanto no setor de Utilities esse mesmo critério tem peso 2%. É importante reforçar que o questionário é composto de uma variedade de temas cujos pesos variam, em média, de 2% a 7%. O escopo de cibersegurança está incluso dentro da dimensão Governance & Economic, com alguns critérios de privacidade e proteção de dados dentro da dimensão Social.
Os seguintes temas são avaliados:
Governança de Cibersegurança Avalia se a empresa possui a governança adequada para evitar falhas nos sistemas de TI e incidentes de segurança relevantes. Critério avaliado: Estrutura de Governança de Segurança da Informação (CISO, CTO, CSO, CIO etc).
Medidas de Cibersegurança Avalia quais medidas de segurança estão em vigor para garantir que os funcionários estejam cientes das principais potenciais ameaças e da importância da Segurança da Informação na organização. Critérios avaliados: Políticas e Procedimentos formalizados, treinamento e conscientização, reporte de incidentes e possíveis sanções para os funcionários.
Processos e infraestrutura de cibersegurança Avalia o quão bem as empresas estão preparadas para evitar grandes incidentes de infraestrutura de TI e Segurança da Informação e se elas podem reagir adequadamente quando eles ocorrem. Critérios avaliados: plano de continuidade dos negócios, certificações (Ex: ISO 27001, NIST) e testes de vulnerabilidade externos.
Além dos critérios objetivos para a avaliação de cada pergunta, as respostas são avaliadas em termos de aderência à questão, completude da resposta e evidências que suportam o que foi relatado.
Recomendações
Embora a metodologia de pontuação do CSA seja complexa e variável de acordo com a indústria e evidências apresentadas, entre outros fatores, é possível destacar algumas recomendações específicas para as perguntas de segurança da informação.
Informações Públicas: Pontuações adicionais são fornecidas se algumas informações relevantes sobre Segurança da Informação forem disponibilizadas publicamente e de fácil acesso.
Evidências: Quando fornecidas, elas devem ser contextualizadas e relacionadas às respostas dadas, se possíveis datadas. É possível anexar relatórios, materiais de reporte aos executivos, dashboards de monitoramento de ameaças, incidentes e demais KPIs de segurança.
Certificações Internas: Ainda que a empresa não possua uma certificação externa, como a ISO 27001, pode ser interessante evidenciar quaisquer assessments internos realizados baseados em frameworks de mercado, como o NIST, evidenciando que há um monitoramento dos principais controles de segurança na organização.
Certificações de Fornecedores: Se a infraestrutura de segurança da organização for fornecida por terceiros, é fundamental levantar quais certificações eles possuem e fornecer essas evidências como anexo do questionário.
FONTE DO ARTIGO HTTPS://ITFORUM.COM.BR/NOTICIAS/QUAL-A-RELEVANCIA-DA-SEGURANCA-DA-INFORMACAO-NO-INDICE-DOW-JONES-DE-SUSTENTABILIDADE/
Interessante, não?
Um índice nada novo, num mercado que o Brasil começa a aparecer.
E o seu negócio, pensa na pauta ESG? Pensa na pauta de segurança?
Pois, tudo isto cai dentro da privacidade, dentro dos dados, dentro da cultura do negócio.
Fazer marketing com ESG, segurança e LGPD é lindo. Na prática, exercer tudo isto é um longo caminho a ser percorrido.