Ciência e Tecnologia News 

Nova regulamentação da SEC muda paradigma de segurança cibernética em empresas

tutoriaisweb
EUA, Estados Unidos

Os tão esperados novos requisitos da SEC (Security and Exchange Commission) foram divulgados na última semana para todas as empresas de capital aberto listadas em Bolsa de Valores e provoca uma substancial mudança na forma como devem ser tratados os incidentes e a gestão dos riscos. A SEC fez algumas mudanças em sua proposta inicial, após comentários do setor privado.

De acordo com as novas regras, as empresas serão obrigadas a:

  1. Relatar incidentes materiais de segurança cibernética dentro de quatro dias úteis a partir do momento em que uma violação for determinada pela empresa como “material”.

A SEC suavizou sua proposta inicial exigindo que as empresas divulgassem um incidente dentro de quatro dias a partir do conhecimento, pois reconheceu que pode ser difícil avaliar a materialidade no início de uma investigação de violação. Nos casos em que a divulgação representa um risco substancial para a segurança nacional, o procurador-geral dos EUA pode aprovar um atraso na divulgação.

Leia também: Retorno aos ‘negócios como de costume’ traz CISOs de volta à dura realidade

A norma também fez alterações no conteúdo da divulgação. As empresas agora são obrigadas a divulgar os aspectos materiais da natureza, escopo e momento do incidente, bem como o impacto material do incidente. Detalhes técnicos mais detalhados do incidente não são mais necessários, pois a divulgação pode ser vantajosa para os invasores.

  1. Divulgar em seus relatórios periódicos quando uma série de incidentes cibernéticos imateriais individuais previamente não divulgados se tornar material no agregado.

Na versão final, a SEC esclareceu que os incidentes imateriais devem estar relacionados entre si para exigir relatórios, como ataques do mesmo ator de ameaça ou exploração da mesma vulnerabilidade.

  1. Descrever em seus relatórios periódicos suas políticas e procedimentos para a identificação e gestão de riscos cibernéticos.

As empresas devem relatar se consideram o risco cibernético como parte da estratégia de negócios, planejamento financeiro e alocação de capital e descrever as maneiras pelas quais seu programa de gerenciamento de risco cibernético ajuda a identificar a provável probabilidade e o impacto de riscos e incidentes cibernéticos relevantes.

  1. Descrever seus processos de governança de risco cibernético em seus relatórios periódicos.

Foi-se o requisito para as empresas identificarem membros do conselho com experiência em segurança cibernética. Em vez disso, as empresas devem descrever o processo do conselho para supervisionar o risco de segurança cibernética e o papel e as competências da administração na avaliação, gerenciamento e relatório desses riscos.

Quando a nova regra da SEC sobre cibernética entrará em vigor

A maioria das empresas serão obrigadas a arquivar relatórios anuais em conformidade com a nova regra a partir de 15 de dezembro de 2023, enquanto algumas organizações menores terão de arquivar relatórios a partir de 15 de junho de 2024. Os novos requisitos de divulgação de incidentes entrarão em vigor para incidentes materiais ocorridos após 18 de dezembro de 2023.

O que isso significa para a profissão de gerenciamento de riscos cibernéticos?

A nova regra da SEC pode ter um impacto profundo nas práticas de gerenciamento de risco cibernético nos EUA e em extensão para todo mundo, pois obriga as empresas a olhar para o risco cibernético como um verdadeiro risco estratégico de negócios e não mais como uma mera questão técnica. Esta é uma evolução que nós, do Instituto FAIR e do Capítulo Brasil, defendemos e apoiamos há muito tempo.

Agora que entendemos o que a nova regra da SEC exige em termos de relatórios cibernéticos, vamos refletir sobre as possíveis implicações para nossa profissão e fazer algumas previsões.

  • O risco cibernético agora é formalmente elevado ao nível de risco corporativo estratégico

A aprovação da regra da SEC é um daqueles divisores de águas no mundo corporativo. O risco cibernético não pode mais ser visto e tratado como uma mera questão técnica, mas precisará ser tratado como um risco corporativo estratégico, mesmo em empresas que estão atrasadas na adoção das melhores práticas de gerenciamento de risco cibernético. Isso também é consistente com as melhores práticas recomendadas pelas principais instituições de governança, como o NACD e o Fórum Econômico Mundial.

  • A discussão sobre governança e prestação de contas amadurecerá

Se a gestão de riscos cibernéticos deve agora ser vista como um meio para uma empresa executar sua estratégia – digital ou não -, a implicação é que a responsabilidade por ela não recai mais apenas sobre os ombros da pessoa que gerencia a segurança cibernética na empresa, mas precisa envolver todas as principais partes interessadas nos negócios, desde o conselho até os líderes de negócios, finanças, jurídico e TI.

Isso significa que as principais partes interessadas, como CISOs, Conselheiros Gerais e Líderes de Negócios, devem trabalhar juntas para entender as implicações dos incidentes cibernéticos em suas operações, antes de divulgá-los. Os Conselhos não poderão mais alegar ignorância sobre as repercussões dos riscos e incidentes cibernéticos.

As melhores práticas, conforme recomendadas pelo NACD em seu Manual de Supervisão de Risco Cibernético de 2023, teriam o CISO como o fornecedor de opções de segurança a serem consideradas pela empresa, os líderes de negócios como os proprietários do risco e o conselho como os supervisores do risco pois avaliam a adequação do orçamento de segurança cibernética e dos processos de gerenciamento de riscos e aprovam os níveis de tolerância a riscos da empresa.

  • Ter um programa formal de gerenciamento de riscos cibernéticos se tornará uma prática recomendada padrão

A nova regra da SEC exigirá que as empresas sejam mais transparentes e explícitas sobre suas práticas de gerenciamento de riscos cibernéticos e forçará um reexame se suas práticas atuais são adequadas aos olhos de seus acionistas e de seus clientes. Eles querem ser vistos na vanguarda das iniciativas de segurança por design e exemplares em suas práticas de gerenciamento de riscos cibernéticos, ou querem correr o risco de serem vistos como retardatários em termos de melhores práticas e menos preparados para suportar o impacto de ameaças cibernéticas?

A nova regra por si só não eliminará o fato de que certas empresas ainda podem ver o gerenciamento de riscos cibernéticos como algo bom de se ter em vez de obrigatório e tentarão se esconder atrás de declarações genéricas e de alto nível, mas será mais difícil faça isso. Seus conselhos internos e externos certamente garantirão que essas discussões aconteçam e que as decisões sejam tomadas.

  • Os programas de gerenciamento de risco cibernético terão que ser eficazes para ajudar a medir e gerenciar o risco material

A maioria das empresas não possui sistemas eficazes para identificar, medir, priorizar, gerenciar e relatar sobre o risco cibernético e, portanto, não conseguem se comunicar de forma confiável sobre seus principais riscos cibernéticos e entender quando eles se tornam “materiais” no impacto. Muitas das divulgações atuais ainda dependem de estimativas subjetivas sobre a natureza e o impacto dos riscos.

As novas perguntas mais rigorosas dos examinadores da SEC forçarão as empresas públicas a criar processos que forneçam os resultados desejados, que devem fornecer visibilidade contínua de seus principais riscos cibernéticos, medidos em termos de probabilidade e impacto.

  • As empresas melhorarão na definição de materialidade

A ameaça de possíveis ações legais e penalidades pela SEC levará as empresas a pensar muito mais sobre suas definições de materialidade, o que seus acionistas considerariam um incidente relevante e o que precisam fazer para evitar serem acusadas de subestimar a importância de certos incidentes cibernéticos. Atualmente, a maioria das empresas não está equipada com os meios certos para determinar a materialidade, a não ser em termos qualitativos vagos e de alto nível.

A informação é relevante se “existir uma probabilidade substancial de que um acionista razoável a considere importante” ao tomar uma decisão de investimento, ou se ela tiver “alterado significativamente a ‘combinação total’ de informações disponíveis”, decidiu a Suprema Corte dos EUA.

“Se uma empresa perde uma fábrica em um incêndio ou milhões de arquivos em um incidente de segurança cibernética, pode ser muito importante para os investidores”, disse Gary Gensler, presidente da SEC, na reunião de ontem dos comissários da agência.

Embora a SEC reconheça que em alguns casos será difícil quantificar a probabilidade e o impacto financeiro de certos riscos e incidentes, espera-se que seja a norma na maioria dos casos. Espera-se que as empresas tenham a capacidade de detalhar e quantificar como as perdas se materializam para seus principais riscos e incidentes cibernéticos.

Essa será uma função de força para as empresas adotarem modelos confiáveis de quantificação de riscos cibernéticos, como o FAIR, e adotarem ferramentas que lhes forneçam visibilidade de seus principais riscos como facilitadores-chave para determinar e comunicar riscos e “materialidade” de incidentes.

  • A avaliação e o gerenciamento de riscos cibernéticos se tornarão cada vez mais em tempo real

A necessidade de as empresas avaliarem se certas ameaças cibernéticas podem evoluir para incidentes materiais fará com que adotem cada vez mais soluções de monitoramento de riscos cibernéticos em tempo real que possam medir continuamente a probabilidade e o impacto de seus principais riscos em termos financeiros. As soluções que podem fornecer apenas visões estáticas e qualitativas do risco não serão mais suficientes.

Tempos emocionantes. Às vezes, é necessária a função de imposição de uma regulamentação para ajudar a amadurecer as principais práticas de negócios e ajudar a transformar o que era uma “arte” em uma “ciência de negócios”. Este parece um daqueles momentos para a consolidação do gerenciamento de riscos cibernéticos em todas as empresas.

* Leonardo Scudere é Cyber Security Sales & Strategy; Risk Management; Digital Transformation Executive – THUNDERBIRD, the American Graduate School of International Management

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!

Você pode gostar também

Lula conversa com Zelenskiy sobre guerra na Ucrânia

tutoriaisweb

WhatsApp, Instagram e Facebook apresentam instabilidade nesta quarta-feira

tutoriaisweb

Galvão: O papel crucial da integração de sistemas

tutoriaisweb