Repensando o ESG

Passados mais de quatro anos do início da pandemia de Covid-19, período no qual as empresas no mundo inteiro aceleraram o processo de digitalização de todos os seus relacionamentos, com clientes, fornecedores e colaboradores, o que se observa, como consequência, é o aumento exponencial da vulnerabilidade aos ataques cibernéticos. Estimativas apontam que os custos com esse tipo de crime podem chegar a US$ 24 trilhões em 2027. O pior é que apenas 27% dos líderes de negócios se identificam como resilientes a esse tipo de risco.

Estudos indicam que os dados constituem 90% do valor dos ativos intangíveis de uma empresa. Estamos falando de dados pessoais, financeiros, de saúde, comportamentais e até daqueles que afetam o funcionamento de uma empresa.  Os mal-intencionados, que sintetizamos na figura do hacker, buscam todo tipo de falha na segurança tecnológica das empresas.

Assim, da mesma forma que questões ambientais, sociais e de governança impactam diretamente a sociedade, e, por isso mesmo, levaram as empresas – a partir de 2004, quando o então secretário-geral das Nações Unidas, Kofi Annan, desenvolveu diretrizes e recomendações em torno de ações ESG, no histórico relatório “Who care wins” –, a adotarem medidas para diminuir os impactos que suas operações podem provocar, a inclusão do risco cibernético na sigla ESG tem sido tema de debate por causa do efeito sistêmico que um vazamento de dados pode gerar na vida das pessoas.

Um caso bem conhecido aconteceu em 2021, na Flórida, nos Estados Unidos, quando um hacker acessou uma estação de tratamento de água, por meio de um sistema utilizado corriqueiramente em companhias, o TeamViewer. Uma vez logado no sistema da companhia, o malfeitor elevou, remotamente, os níveis de hidróxido de sódio. Não houve impacto na população local porque funcionários perceberam, a tempo, que havia algo errado e fizeram os procedimentos para mitigar os danos.

Um ano antes, a Alemanha registrou aquela que ficou conhecida como a primeira morte derivada de um ataque cibernético. Em Düsseldorf, um hospital sofreu um ataque de ransomware – ação na qual criminosos sequestram dados e os mantêm criptografados até receberem um valor de resgate para que a vítima volte a ter o acesso –, obrigando o fechamento do serviço de emergência.

No Brasil, casos mais recentes bem conhecidos foram o de um grupo de medicina diagnóstica, alvo de ataque cibernético que indisponibilizou o serviço por uma semana, o de uma varejista de roupas, que recebeu pedido de resgate bilionário e até o de um tribunal de justiça estadual, no qual funcionários tiveram acesso aos processos eletrônicos negados e, em alguns casos, nem os computadores puderam ser ligados.

Exemplos como esses refletem o porquê a discussão sobre a inclusão do “C” de cibernético na sigla ESG se torna tão necessária. Sequestro e vazamento de dados não são apenas dissabores consequentes de uma sociedade digitalizada. São crimes extremamente difíceis de serem combatidos e que têm o poder real de causar danos reais às pessoas, até mesmo àquelas que sequer têm um computador. Por isso, cabe às empresas criar a consciência de que, da mesma forma que planejam ações para evitar que suas atividades impactem o meio ambiente, que suas operações valorizem as questões humanas, incluindo as comunidades no seu entorno, e que assegurem as boas práticas corporativas com políticas atualizadas de compliance, é essencial incluir, no planejamento estratégico, ações concretas para a proteção da base de dados das empresas e dos clientes.

Dados não podem mais ser olhados pelo viés de bits e bytes. São informações valiosas sobre vidas ou que podem afetar essas vidas. Essa proteção não deve ser responsabilidade apenas de equipes técnicas das empresas e nem ser tratada apenas por meio de cursinhos virtuais entediantes para os funcionários. Precisa, sim, fazer parte de toda a cultura corporativa, assim como acontece com as pautas ambientais, sociais e de governança.

Escrito por Eduardo Rocha (foto), CEO da Bluecyber Seguros 

Tangará Comunicação