ESG-tekijöissä kyberturvallisuus liittyy myös sosiaaliseen vastuullisuuteen. Viimeaikaisten uutisten valossa ei jää epäselväksi, miten esimerkiksi potilastietoihin kohdistunut tietomurto vaikuttaa sosiaalisiin tekijöihin, kuten yksityiselämään ja turvallisuuteen. Tietoturvaloukkauksilla voi olla jopa erittäin vakavia ja kauaskantoisia vaikutuksia rikosten uhreiksi joutuneiden terveyteen. Samoin tietoturvan peruskontrolleissa epäonnistuminen on näyttäytynyt yhteiskunnan kriittisten toimintojen keskeytyksenä, kun esimerkiksi energian jakelua jouduttiin katkaisemaan Yhdysvalloissa Colonial Pipeline -öljyputkea hallinnoivaan yhtiöön kohdistuneen kyberuhan takia.
Nämä häiriöt ja muut ”kyberpäästöt” ovat hyviä esimerkkejä havainnollistamaan, mikä merkitys kyberturvallisuudella on myös ESG-tekijöihin, kun pyritään osoittamaan vastuullisuutta.
Miten kyberpäästöjä kompensoidaan?
Kyberturvallisuuden ja digitaalisten riskien mittarit voi asettaa läpinäkyvästi, ja niiden avulla voidaan välittää kuvaa organisaatiosta, joka ymmärtää millaisille uhkille se voi altistua ja miten se on varautunut niistä koituviin riskeihin asianmukaisesti. Ilmastonmuutoksenkaan osalta moni ei voi heti saavuttaa päästöjen laskennallista nollatasoa, vaan ensin hiilipäästöjä leikataan ja kompensoidaan oikeansuuntaisesta muutoksesta viestien. Kyberturvallisuuden ”päästöjä” ovat haavoittuvuudet. Toisinaan niistäkään ei voida heti päästä kokonaan eroon, vaan ensin joudutaan rakentamaan kompensoivia kontrolleja.
Pitääkö kyberturvallisuuttakin kehittää kestävästi? Onko pakko?
Tietoturvajohtajan kannattaa ottaa ESG-tekijät huomioon, kun etsitään liiketoiminnallisia perusteita kyberturvallisuuden kehittämisen investoinneille. Perinteinen ”riskeillä pelottelu” ei ole toiminut enää aikoihin – sen sijaan ylin johto haluaa nähdä konkreettista ja mitattavaa hyötyä kehitystoimille. Vastuullisuus, kestävä kehitys ja ESG-tekijät tarjoavat tähän jälleen kerran loistavan mahdollisuuden. Laadukas ja läpinäkyvä vastuullisuudesta raportoiminen ja sen varmentaminen voidaan nähdä myös kilpailuetuna.
Myös yrityksen toimiala vaikuttaa ESG-tekijöiden taloudelliseen olennaisuuteen ja voi korostaa esimerkiksi kyberturvallisuuden merkitystä. Toki vastuullisen sijoittamisen ESG-mittareiden yhteismitallisuutta kohtaan on esitetty myös kritiikkiä, ja kuumalla alalla esiintyy varmasti liian suuria odotuksia sekä tuoton että vaikuttavuuden osalta. Pakollisiksi vaatimuksiksi ESG-mittareilla on vielä matkaa, ja esimerkiksi kestävyysraportointia koskeva direktiivi on vielä työn alla. Pakko ei siis ole, mutta esimerkiksi vastuullisia sijoituskohteita etsivät ovat alkaneet tehdä jo omia johtopäätöksiään. Finsifin keväällä 2021 tekemän tutkimuksen mukaan jopa 60 prosenttia suomalaissijoittajista kertoi huomioivansa ESG-tekijöitä sijoituspäätöksiä tehdessään.