La consigna en el mundo empresarial es ESG, acrónimo de la adopción de criterios ambientales, sociales y de gobernanza en la gestión. El concepto va ganando cada vez más adeptos, hasta el punto que hoy es 12 veces más buscado en el Google que hace un año.
Según una encuesta de Exame Research, ya hay más de $ 1 billón de recursos invertidos en fondos ESG en todo el mundo. En cuatro años, se estima que representarán el 57% del volumen invertido en fondos en Europa. Por lo tanto, no hay nada más natural que las empresas busquen integrar conceptos ASG, ya sea por convicción o por una cuestión de supervivencia en el entorno competitivo.
Las tres letras forman parte de la angustia de los responsables de los recursos humanos y el medio ambiente desde hace mucho tiempo. Después de todo, las responsabilidades sociales y ambientales han torpedeado a las empresas en todas las industrias, desde la moda hasta la minería.
Estos riesgos me vienen a la mente porque son los sospechosos habituales. Pero aquellos que observan de cerca las radiografías de la mayoría de las empresas encontrarán que los mayores riesgos de ESG no están en la fábrica, sino en sus servidores, circulando en los correos electrónicos de la empresa y viajando a través de Wi-Fi. .
“Los datos son el nuevo aceite”, como lo definió el matemático inglés Clive Humby. La frase siempre se usa cuando alguien quiere mostrar cómo los datos son el combustible de la nueva economía, de la gestión y de la toma de decisiones. Pero esta comparación también tiene sentido en otro contexto. Al igual que el petróleo, los datos también se filtran y, en ambos casos, las consecuencias son catastróficas.
Desde principios de mes hasta LGPD comenzó a autorizar multas para empresas en incumplimiento. Los montos de las sanciones pueden llegar a los 50 millones de reales, y la LGPD también autoriza sanciones que pueden incluir la interrupción del funcionamiento de la empresa. A medida que la sociedad se informa más sobre la vida digital, el manejo inadecuado de los datos se toma más en serio. En poco tiempo, sus impactos en las empresas serán tan negativos como lo fueron los derrames de petróleo para Exxon y British Petroleum hace años.
Las filtraciones pueden poner en peligro el resultado final y la credibilidad de cualquier negocio. Pero son solo uno de los riesgos que deben abordarse mediante una buena gobernanza de datos. Mucho más visibles, en los últimos tiempos, han sido ataques de ransomware, que ocurren a razón de uno cada 11 segundos en todo el mundo.
El daño total de ataques como los sufridos recientemente por JBS o el Colonial Pipeline en los Estados Unidos se estima en $ 20 mil millones por año. Los rescates pagados por datos oscilan, en promedio, entre $ 350.000 y $ 1,4 millones. Peor: solo el 8% de los que pagan logró recuperar todos los datos. Alrededor del 29% ni siquiera recupera la mitad de lo cifrado por los ciberdelincuentes.
Nadie duda de que las intrusiones y violaciones de datos representan un gran riesgo. Lo que lo convierte en un problema de ESG es que la gran mayoría de ellos se evitarían con una buena gobernanza digital. Lo que llevaría a la adopción de defensas efectivas y al establecimiento de normas y procedimientos, pero, sobre todo, a que sean realmente respetados por empleados y proveedores.
En las grandes empresas, es habitual que los equipos reciban formación en materia de lucha contra la corrupción, el acoso sexual y el acoso sexual. Pero la capacitación sobre los riesgos de retrasar las actualizaciones del sistema operativo, colocar unidades USB sospechosas en las computadoras de la empresa o contestar el teléfono si la persona que llama es un ciberdelincuente de ingeniería social, no es tan común. El factor humano es uno de los puntos más vulnerables de la ciberseguridad. Está lejos de ser el único.
Al analizar el historial de episodios de ciberseguridad, aparecen otras fallas de gobernanza: el 59% de las vulnerabilidades de infraestructura explotadas por delincuentes se han corregido durante más de un año, según el Informe de Amenazas Infosec de GAT. A menudo, se solucionarían con una simple actualización del sistema. Por cierto, es bastante común encontrar casos de empresas donde las vulnerabilidades conocidas desde 2004 aún no se han solucionado.
A fines del año pasado, el Foro Económico Mundial, en asociación con las cuatro principales firmas de auditoría y contabilidad (Deloitte, EY, KPMG, PWC) propuso un estándar global para los informes ESG. Enumeró como prioridades los temas relacionados con el cambio climático y … la gestión de datos.
Entre los temas más relevantes que deben abordarse, enumeró «la ciberseguridad, el uso y la gobernanza de la inteligencia artificial y el aprendizaje automático, la privacidad y todos los asuntos relacionados con la propiedad, el almacenamiento y la seguridad. ‘Uso de datos’. sugirió que el consejos empresariales para participar activamente en esta gobernanza, porque las consecuencias de la pérdida de datos o fallas del sistema pueden ser fatales para la empresa.
El tema empezó a ganar peso. En un informe del administrador de activos Architas, los minoristas de 11 países citaron la protección de datos y la ciberseguridad como algunos de los problemas ESG más urgentes. Otra encuesta, realizada por la división de activos del Royal Bank of Canada, mostró que, para los inversores institucionales, la ciberseguridad era la principal preocupación de ESG al analizar una empresa.
Las alarmas han sonado en serio con el ataque de ransomware en Colonial Pipeline, el principal oleoducto de Estados Unidos, que distribuye el 45% del combustible consumido en la costa este. Tras el incidente, S&P Global emitió un boletín en el que afirmaba que «los ataques cibernéticos, con sus pérdidas e interrupciones asociadas, están aumentando en gravedad y frecuencia, lo que refuerza la ciberseguridad como una de las principales preocupaciones de ESG». También ha guiado a las empresas para que vayan más allá de la simple seguridad de TI y “evalúen los riesgos cibernéticos desde una perspectiva de ingeniería informada”.
Mark Schwartz, estratega comercial de Amazon Web Services, escribió en su blog que garantizar la seguridad y la privacidad son obligaciones de cualquier empresa socialmente responsable y componentes clave de ESG. Pero las implicaciones cibernéticas de las tres letras van mucho más allá y llegan a requerir un código desarrollado por programadores para reducir la huella de carbono de las empresas y sus productos. De hecho, en un mundo donde los datos son el nuevo petróleo, solo podemos esperar que la gobernanza de los datos evolucione cada vez más, por el bien de todos.
* Leonardo Militelli es CEO de GAT InfoSec, empresa de soluciones de gestión y gobierno de riesgos cibernéticos
«Aspirante a especialista en café. Solucionador de problemas. Fanático de los viajes. Creador. Apasionado aficionado a la televisión».