Qual a relevância da segurança da informação no Índice Dow Jones de Sustentabilidade?

A crescente interdisciplinaridade entre os temas ESG e cibersegurança fez as empresas direcionarem sua atenção para os principais aspectos de Segurança da Informação que podem torná-las mais sustentáveis. O Índice Dow Jones de Sustentabilidade (DJSI – Dow Jones Sustainabilty Index) é um indicador global de desempenho financeiro que já considera esse fator em sua análise anual de empresas potencialmente sustentáveis.

Os últimos anos foram desafiadores para todas as empresas. A pandemia criou um ambiente altamente promissor para ataques cibernéticos, dos mais simples aos mais sofisticados. Dados da última pesquisa global de Segurança da Informação da EY (GISS) apontam que 58% das empresas identificaram um aumento de mais de 10% em ataques no último ano.

A Segurança da Informação, que já se firmava como um tema de atenção que extrapola a indústria de tecnologia, passou a ser ainda mais relevante e um tópico de interesse de todas as indústrias e investidores.

Nesse contexto, os frameworks de ESG tornam-se meios mais objetivos de avaliar os riscos e comportamentos de uma organização como um todo. Ao incorporar um domínio específico de cibersegurança em seus questionários, a mensagem para o mercado é clara: além do compromisso com os investimentos na dimensão ambiental, a segurança das informações e dados da sociedade também são relevantes para uma empresa ser considerada, de fato, sustentável.

O índice DJSI

Entre os indicadores globais de desempenho financeiro, cujos questionários de avaliação incorporam aspectos de Segurança da Informação, é possível destacar o Índice de Sustentabilidade Dow Jones (DJSI), criado em 1999 e composto por cerca de 300 empresas de diversos setores e países. O Corporate Sustainability Assessment (CSA), um dos principais questionários de ESG do mercado, é utilizado para pontuar e classificar as empresas líderes de sustentabilidade. As mais pontuadas a cada ano são escolhidas para compor o índice.

Em 2021, 54 empresas brasileiras – de um universo de 3.583 – foram convidadas para responder ao questionário de avaliação, e nove foram selecionadas para compor o índice nesse ano: Banco Bradesco, Banco do Brasil, Itaú Unibanco, Itaúsa, Petrobras, Lojas Americanas, Lojas Renner, Companhia Energética de Minas Gerais e Klabin.

Escopo de cibersegurança

O questionário do DJSI não deve ser entendido como um formulário único. As perguntas englobam questões específicas para a indústria da organização e até 50% de questões comuns a todas as indústrias. Elas são divididas em três grandes dimensões: Environmental (E), Social (S) e Governance & Economic (G). Cada tema abordado dentro das dimensões possui um peso na avaliação, que é variável de acordo com a indústria.

Cibersegurança, por exemplo, corresponde a 3% de peso na pontuação final para o setor financeiro, enquanto no setor de Utilities esse mesmo critério tem peso 2%. É importante reforçar que o questionário é composto de uma variedade de temas cujos pesos variam, em média, de 2% a 7%. O escopo de cibersegurança está incluso dentro da dimensão “Governance & Economic”, com alguns critérios de privacidade e proteção de dados dentro da dimensão “Social”.

Os seguintes temas são avaliados:

Governança de Cibersegurança – Avalia se a empresa possui a governança adequada para evitar falhas nos sistemas de TI e incidentes de segurança relevantes. Critério avaliado: Estrutura de Governança de Segurança da Informação (CISO, CTO, CSO, CIO etc).

Medidas de Cibersegurança – Avalia quais medidas de segurança estão em vigor para garantir que os funcionários estejam cientes das principais potenciais ameaças e da importância da Segurança da Informação na organização. Critérios avaliados: Políticas e Procedimentos formalizados, treinamento e conscientização, reporte de incidentes e possíveis sanções para os funcionários.

Processos e infraestrutura de cibersegurança – Avalia o quão bem as empresas estão preparadas para evitar grandes incidentes de infraestrutura de TI e Segurança da Informação e se elas podem reagir adequadamente quando eles ocorrem. Critérios avaliados: plano de continuidade dos negócios, certificações (Ex: ISO 27001, NIST) e testes de vulnerabilidade externos.

Além dos critérios objetivos para a avaliação de cada pergunta, as respostas são avaliadas em termos de aderência à questão, completude da resposta e evidências que suportam o que foi relatado.

Recomendações

Embora a metodologia de pontuação do CSA seja complexa e variável de acordo com a indústria e evidências apresentadas, entre outros fatores, é possível destacar algumas recomendações específicas para as perguntas de segurança da informação.

Informações Públicas: Pontuações adicionais são fornecidas se algumas informações relevantes sobre Segurança da Informação forem disponibilizadas publicamente e de fácil acesso.

Evidências: Quando fornecidas, elas devem ser contextualizadas e relacionadas às respostas dadas, se possíveis datadas. É possível anexar relatórios, materiais de reporte aos executivos, dashboards de monitoramento de ameaças, incidentes e demais KPIs de segurança.

Certificações Internas: Ainda que a empresa não possua uma certificação externa, como a ISO 27001, pode ser interessante evidenciar quaisquer assessments internos realizados baseados em frameworks de mercado, como o NIST, evidenciando que há um monitoramento dos principais controles de segurança na organização.

Certificações de Fornecedores: Se a infraestrutura de segurança da organização for fornecida por terceiros, é fundamental levantar quais certificações eles possuem e fornecer essas evidências como anexo do questionário.

* Gustavo Sampaio e Gisele Aparecida são gerentes de cibersegurança da EY Brasil