في الآونة الأخيرة، تركز الشركات بشكل أساسي في استراتيجيات ESG (البيئة، المجتمع، الحوكمة) على العوامل البيئية (E)، مثل الحياد الكربوني، والأعمال الصديقة للبيئة، واعتماد الطاقة المتجددة. نظرًا لأهمية الاستجابة لتغير المناخ والإدارة المستدامة، فمن الطبيعي أن يتركز الاهتمام في هذا المجال. ومع ذلك، غالبًا ما يتم إهمال الجوانب الاجتماعية (S) والحوكمة (G)، وخاصة الأمن، في مناقشات ESG. على الرغم من أن الأمن السيبراني يعد عنصرًا حاسمًا في الحفاظ على ثقة الشركات وتحقيق الإدارة المستدامة، إلا أنه لا يزال مهمشًا في استراتيجيات ESG.
K-ESG، هل يركز فقط على البيئة (E)؟
عند مراجعة معايير وسياسات تقييم ESG المحلية، نجد أن التركيز ينصب بشكل كبير على تقليل انبعاثات الكربون، وتوسيع نطاق الطاقة المتجددة، وتطوير المنتجات الصديقة للبيئة. بالمقابل، لا يتم تسليط الضوء بشكل كافٍ على الأمن السيبراني وحماية المعلومات في تقارير ESG. لا تزال العديد من الشركات تعتبر الاستثمارات في تعزيز الأمن كتكلفة تشغيلية لتكنولوجيا المعلومات بدلاً من كونها جزءًا لا يتجزأ من إدارة ESG. هذه الرؤية تؤدي إلى استبعاد الأمن السيبراني من استراتيجيات ESG، مما يؤدي في النهاية إلى ضعف أنظمة الاستجابة لمخاطر الأمن.
في المجال الاجتماعي (S) من ESG، يتركز الاهتمام غالبًا على حماية حقوق العمال، والتنوع، والمساهمة في المجتمع. ومع ذلك، يعد الأمن السيبراني عاملاً أساسيًا في الحفاظ على الثقة الاجتماعية للشركات. تؤثر الحوادث الأمنية مثل تسريب البيانات وهجمات برامج الفدية بشكل مباشر على المستهلكين والموظفين. إن مستوى إدارة الأمن في الشركة مرتبط بشكل مباشر بحماية المستهلك، ومع ذلك لا تزال الاستجابات المستندة إلى ESG لهذه القضايا غير كافية.
عادةً ما يقيم جانب الحوكمة (G) في ESG عوامل مثل الإدارة الأخلاقية، واستقلالية مجلس الإدارة، والرقابة الداخلية. ومع ذلك، غالبًا ما يتم استبعاد إدارة مخاطر الأمن السيبراني من معايير التقييم الأساسية. بينما تدرك الشركات العالمية أن المخاطر السيبرانية تشكل قضية حوكمة أساسية وتطبق أطرًا حوكمة أمنية منظمة، تقتصر العديد من الشركات المحلية على الامتثال للحد الأدنى من المتطلبات القانونية فقط. لا تزال العديد من المنظمات تفتقر إلى هياكل حوكمة أمنية قوية لمنع التهديدات الداخلية وحوادث تسرب البيانات.
تتطلب استراتيجية ESG المتوازنة الأمن.
لمعالجة هذه المشكلات، من الضروري تعزيز المعايير المتعلقة بالأمن في تقييمات ESG. يجب أن تتضمن أطر تقييم ESG المحلية، مثل تلك التي وضعتها KCGS، عناصر واضحة تتعلق بالأمن السيبراني وحماية البيانات. يجب أيضًا تشجيع المؤسسات المالية والقطاع العام على دمج معايير تقييم الأمن في تقارير ESG. بالإضافة إلى ذلك، يجب على الشركات إدراج الأمن في استراتيجيات ESG الخاصة بها بشكل أكثر فعالية.
بينما تقوم الشركات العالمية بدمج الأمن السيبراني كعنصر أساسي في ESG، لا تزال العديد من الشركات المحلية تتعامل معه كمسألة منفصلة. يجب أن يتم الاعتراف بالاستثمارات في الأمن—مثل تطوير البنية التحتية للأمن، واختبار الاختراق، وتوظيف محترفي الأمن السيبراني—كجزء من استراتيجيات ESG.
من منظور المسؤولية الاجتماعية (S)، يجب على الشركات التركيز بشكل أكبر على حماية العملاء. يجب على المنظمات أن تدرك أن مستوى أمان المعلومات لديها يؤثر بشكل مباشر على سلامة المستهلكين، وأن تدرج حماية الخصوصية ومنع الحوادث الأمنية في سياسات ESG الخاصة بها.
أما من حيث الحوكمة (G)، يجب على الشركات تعزيز أطر إدارة مخاطر الأمن السيبراني. يجب اعتبار المخاطر السيبرانية كخطر رئيسي في مستوى الإدارة التنفيذية، والنظر في تدابير مثل إنشاء “لجنة الأمن السيبراني” داخل مجلس الإدارة لتسهيل مناقشة قضايا الأمن.
حاليًا، لا تزال سياسات ESG المحلية واستراتيجيات الشركات مركزة بشكل مفرط على العوامل البيئية (E)، بينما يتم إهمال الأمن (S) بشكل كبير. ومع ذلك، فإن الأمن السيبراني ليس مجرد قضية تشغيلية لتكنولوجيا المعلومات—بل هو عنصر حاسم يحدد استدامة الشركات ومسؤوليتها الاجتماعية. لتحقيق توازن أفضل في استراتيجيات ESG، يجب الاعتراف بالأمن السيبراني كعنصر أساسي في ESG وإدارته بشكل منهجي.
