0 0 Novas regras de gerenciamento de risco cibernético para prestadores de serviços terceirizados e divulgações reforçadas de empresas públicas podem ter efeitos de longo alcance nas empresas de serviços financeiros e outras que devem cumprir os regulamentos da SEC, exigindo que a alta administração garanta que suas empresas atualizem significativamente seus tempos de detecção e resposta da segurança cibernética. As propostas, emitidas pelo presidente da SEC, Gary Gensler, no início deste ano, substituem efetivamente as orientações de 2018 sobre como lidar e divulgar o risco cibernético.
As regras propostas exigem que as violações de dados sejam divulgadas dentro de quatro dias, bem como que as empresas divulguem informações como as funções da alta administração e do conselho e supervisão dos riscos de segurança cibernética, se as empresas têm políticas e procedimentos de segurança cibernética e como os riscos e incidentes de segurança cibernética provavelmente afetarão as finanças da empresa, de acordo com a Gensler.
“Quando as empresas têm a obrigação de divulgar informações materiais aos investidores, elas devem ser completas e precisas. Suas divulgações também devem ser oportunas”, disse Gensler.
Jeff Williams, cofundador e diretor de tecnologia do provedor de plataformas de segurança de aplicativos Contrast Security, é a favor das novas regras.
“As regras de segurança cibernética propostas são um grande e bem-vindo passo em frente para a transparência da segurança cibernética”, diz ele, acrescentando que poderiam ir ainda mais longe. “O foco principal é a divulgação de violações e não a divulgação de vulnerabilidades, o que acredito estar perdendo a marca do que realmente proporcionará melhor segurança cibernética para consumidores e investidores.”
Steven Yadegari, CEO da FiSolve, uma empresa de consultoria especializada em serviços jurídicos, de conformidade e operações para empresas de serviços financeiros e gerentes de ativos, também ressalta que as regras propostas “contêm requisitos mais prescritivos em comparação com as orientações e regras existentes de segurança cibernética da SEC relacionadas à proteção de informações e exigiriam que a maioria dos consultores registrados implemente melhorias específicas e consideráveis
Quatro dias para arquivar
Uma ficha informativa da SEC observa que as organizações devem divulgar informações sobre “um incidente material de segurança cibernética dentro de quatro dias úteis após o registrante determinar que sofreu um incidente material de segurança cibernética”. No entanto, a regra afirma que, se uma empresa determinar que o impacto de uma violação é significativamente diferente do originalmente divulgado em seu arquivamento 8-K, um 8-K alterado pode ser necessário. O texto da regra proposta pode ser encontrado aqui.
A janela de divulgação de 96 horas é um dia mais longa do que a fornecida pelo Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, o Cyber Incident Reporting for Critical Infrastructure Act de 2022 (CIRCIA) assinado pelos EUA. O presidente Joe Biden em março e o Regulamento de Segurança Cibernética do Departamento de Serviços Financeiros de Nova York, todos com períodos de notificação de violação de 72 horas.
Jason Hicks, CISO de campo da empresa de consultoria em segurança cibernética Coalfire, diz que um dos aspectos mais controversos do novo regulamento — o requisito de tempo de 96 horas para uma empresa divulgar a violação — pode não ser tão draconiano quanto muitos inicialmente acreditavam.
“A linha de tempo compactada de quatro dias pulou para mim, mas se você ler as letras miúdas, a agência está permitindo um período indeterminado de tempo para investigar o incidente e determinar se ele é, de fato, material”, diz Hicks. “No entanto, é provável que você ainda se encontre fazendo divulgação pública antes de concluir todo o seu processo de resposta a incidentes.”
O escritório de advocacia Woodruff Sawyer analisou o regulamento proposto e citou uma palavra que poderia tirar a mordida da aparente natureza extrema.
“Observe que a palavra ‘em risco’ pode ser entendida como significando que algum dano pode ocorrer, em vez de realmente ocorrer”, escreveu a empresa em sua resposta publicada. “É improvável que a natureza contingente de tal divulgação seja útil para os investidores, um ponto bem expresso pela carta de comentários de Davis Polk sobre as regras propostas.”
Conselhos Assumem Responsabilidade
A carta de Davis Polk, escrita à SEC como parte do pedido público de comentários, também questiona se os membros do conselho precisam ter experiência em segurança cibernética. Em vez disso, a empresa espera que os conselhos continuem a exercer supervisão. A questão da responsabilidade de um conselho de administração pelos esforços de segurança cibernética e sua responsabilidade pessoal por violações de dados tem sido objeto de outros regulamentos e leis de conformidade nos últimos anos; este é simplesmente o mais recente que colocaria a responsabilidade de segurança cibernética no nível do conselho.
Marcus Astin, diretor de operações e diretor de governança, risco e conformidade da clothier Pala Leather, diz que saúda as novas regras de segurança cibernética.
“Eles posicionam a mim e à minha equipe para assumir um papel mais proativo no gerenciamento de riscos de segurança cibernética”, diz Astin. “Seremos capazes de identificar riscos, planejar sua execução e medir a eficácia de nossos programas. Os novos padrões são uma ótima oportunidade para nos elevarmos da detecção reativa de risco para uma abordagem mais integrada.”
Adiciona Yadegari: “Já vimos muitas empresas de todos os tamanhos procurarem ajuda de especialistas externos. Este é um sinal de quão seriamente a indústria leva essas questões. Quer as regras propostas sejam adotadas ou não, acho que veremos conselhos interessados em receber aconselhamento profissional de especialistas com conhecimento sobre segurança cibernética, gerenciamento de riscos de terceiros e GRC. À medida que os ataques e a tecnologia se tornam cada vez mais sofisticados, essa necessidade só se torna mais importante para os membros do conselho e a administração.”
FONTE: DARK READING
