No mundo dos investimentos sustentáveis, as pontuações ESG (Ambiental, Social e Governança) se tornaram o padrão de facto para medir a responsabilidade corporativa. Entre elas, a pontuação de Governança—ou G-Score—é frequentemente vista como um indicador de quão bem uma empresa é administrada. Mas para os profissionais de cibersegurança, confiar nessas pontuações é como usar um mapa dos anos 1990 para navegar em uma cidade moderna: ele perde as ameaças mais críticas.
O problema é estrutural. Os G-Scores geralmente medem a diversidade do conselho, a remuneração dos executivos, os direitos dos acionistas e as estruturas do comitê de auditoria. Embora importantes, raramente capturam a realidade operacional da governança de cibersegurança. Uma empresa pode obter uma pontuação alta em governança ESG enquanto sofre com uma cultura tóxica na sala do conselho, um CEO que ignora os protocolos de segurança ou uma equipe de compliance que aprova políticas sem aplicá-las.
Considere o caso da SpaceX. A empresa aeroespacial sempre ostentou uma estrutura de governança sólida, mas sua recente estratégia de IPO revela uma história diferente. O plano é projetado para reter o controle desmedido do CEO Elon Musk, neutralizando efetivamente a capacidade do conselho de desafiar a administração em decisões-chave, incluindo investimentos em cibersegurança. Um G-Score alto provavelmente ignoraria essa concentração de poder, que representa um risco direto para a governança de segurança. Quando uma única pessoa pode anular recomendações de segurança, toda a estrutura de gerenciamento de riscos se torna frágil.
Da mesma forma, a mudança repentina de diretor na AstraZeneca—onde Rene Haas renunciou ao conselho—levanta questões sobre a estabilidade da governança. Embora a empresa tenha apresentado isso como uma transição de rotina, mudanças tão abruptas podem indicar problemas mais profundos. Em cibersegurança, a continuidade do conselho é fundamental. Quando diretores saem inesperadamente, o conhecimento institucional sobre a supervisão de riscos pode ser perdido, deixando lacunas no planejamento de resposta a incidentes e na aplicação de políticas.
No outro extremo do espectro, a retórica política sobre 'boa governança' também pode ser enganosa. Na Índia, o deputado do DMK, Dayanidhi Maran, assegurou recentemente ao público que 'a boa governança continuará', uma declaração que soa reconfortante, mas carece de métricas específicas e verificáveis. Quando a governança se torna um tema de conversa em vez de uma prática mensurável, cria-se um miragem da qual investidores e equipes de segurança podem ser vítimas.
O problema central é que os G-Scores olham para trás e são estáticos. Eles se baseiam em relatórios anuais, divulgações públicas e dados auto-relatados. Não capturam a dinâmica em tempo real da sala do conselho, os tempos de resposta a incidentes de cibersegurança ou a eficácia dos programas de treinamento de segurança. Uma empresa pode ter um G-Score estelar em um trimestre e sofrer uma grande violação de dados no seguinte, simplesmente porque a pontuação nunca mediu a higiene de segurança real.
Para os líderes de cibersegurança, isso significa que é necessária uma mudança fundamental. Em vez de confiar nas classificações ESG como um indicador da saúde da governança, as equipes de segurança devem defender avaliações de governança dinâmicas que incluam:
- Métricas de engajamento do conselho em tempo real: Com que frequência o conselho discute cibersegurança? Existem reuniões dedicadas do comitê de segurança?
- Responsabilidade da liderança: Existe uma cadeia de comando clara para decisões de segurança? Um CISO pode escalar problemas diretamente ao conselho?
- Dados de aplicação de políticas: As políticas de segurança são realmente seguidas? Qual é a taxa de exceções de compliance?
- Governança de resposta a incidentes: Com que rapidez o conselho é notificado sobre violações? Existe um protocolo de gerenciamento de crise pré-acordado?
Os investidores também devem exigir dados mais granulares. O ecossistema ESG atual é dominado por agências de classificação que agregam dados sem contexto. Um G-Score de 8/10 de uma agência pode significar algo completamente diferente de outra. Sem padronização e transparência, essas pontuações continuam sendo um miragem.
Concluindo, as pontuações de governança não são inúteis, mas são incompletas. Elas fornecem um ponto de partida útil, mas nunca devem ser a palavra final sobre o risco de cibersegurança. À medida que a indústria amadurece, precisamos passar de listas de verificação estáticas para avaliações de governança dinâmicas e baseadas em evidências. Até lá, os profissionais de cibersegurança devem tratar os G-Scores altos com ceticismo saudável e construir suas próprias estruturas de avaliação de riscos que reflitam o estado real—não o relatado—da governança corporativa.
Comentarios 0
¡Únete a la conversación!
Los comentarios estarán disponibles próximamente.