O ESG transformou o mercado na última década, colocando na agenda dos executivos a responsabilidade pelos temas de meio ambiente, social e governança corporativa. As empresas que desenvolvem projetos dentro destes pilares recebem mais investimentos, elevando seu valor de mercado. Consequentemente atraem mais talentos, mais atenção da mídia e elevam o posicionamento da sua marca.
Recentemente, o WEF (World Economic Forum), assim como publicações como S&P Global e outras, mencionaram a importância de adicionar um 'T' para a tecnologia – definindo ESGT para o selo – incluindo, assim, a vasta e crescente gama dos riscos e oportunidades atreladas à tecnologia e às questões digitais. Ao adicionar o 'T', as organizações ampliam o conceito ESG para uma governança mais robusta: Governança Ambiental, Social, Corporativa e Tecnológica (ESGT).
Dentro da tecnologia, encontramos cibersegurança. As falhas da segurança cibernética são a quarta ameaça crítica mais provável para o mundo nos próximos dois anos, de acordo com o Relatório de Riscos Globais 2021 do World Economic Forum. Cibersegurança está se tornando um tópico vital para a gestão de empresas.
Algumas pessoas mencionam que cibersegurança sempre esteve em ESG, dentro do pilar de governança e é lá que deve ficar. Está claro que a cibersegurança se tornou um risco de continuidade dos negócios, impactando a perpetuidade da empresa. Não se trata de um vazamento de dados com danos à imagem ou uma multa, estou falando de ataques ransomware, que além de criptografar seu ambiente por completo, dados e aplicações, até mesmo criptografam o seu backup.
Agora a pergunta é: Quanto tempo seu negócio suporta parado, sem produzir, sem faturar ou atender seu cliente? Um mês? Algumas semanas talvez e para alguns somente poucos dias. Ataques como sequestro de dados são complexos e levam tempo para que seu negócio volte a operar como antes, levando semanas ou até meses. Há cenários em que simplesmente não há volta.
Quando decidimos ser intencionais em algo, cada ação conta. Deixar a cibersegurança encoberta pela governança não trará luz ao tema da maneira devida, não chega nem perto do tamanho do desafio que enfrentamos hoje ou que virá pela frente. Alguns dados sobre o mercado de segurança são importantes:
- Existem dois tipos de empresas: As que foram atacadas e as que não sabem que foram atacadas. Sim, todas já sofreram ataques, em maior ou menor escala, com maior ou menor impacto.
- Em média, o atacante permanece mais de 200 dias dentro da empresa até disparar o ataque efetivo. Mapeia a rede, entende os sistemas rotinas e processos, locais da cópia de segurança, e assim garantir maior eficácia do ataque e o retorno do investimento.
- O cibercrime até 2025 terá uma receita anual aproximada de US$ 10 trilhões, é um negócio muito rentável. Poderia ser considerado o terceiro maior PIB do mundo, somente atrás de China e Estados Unidos.
- As empresas não chegaram a investir US$ 500 bilhões em cibersegurança em 2022. Entenderam o tamanho do gap?
Hoje nos Estados Unidos ao menos um dos conselheiros administrativos deve ter conhecimentos em cibersegurança. O objetivo é garantir os investimentos devidos e priorizações do tema, acompanhar os indicadores de risco e validar a maturidade dos processos e governança, para com isso reduzir o risco de que o cibercrime se torne um impacto real na continuidade dos seus negócios.
Muito se fala em estado da arte em cibersegurança, o que pode ser utópico e financeiramente impossível de alcançar. Mas estamos muito atrás neste jogo. É preciso tomar as medidas necessárias para tornar o ataque caro para o cibercriminoso, incentivá-lo a buscar outro alvo, porque o custo operacional para ele será tão alto e o ROI tão baixo que não valerá o esforço.
Nycholas Szucko, diretor regional de vendas da Nozomi Networks no Brasil.
