A proposta de regra de segurança cibernética da SEC colocará pressão desnecessária sobre os CISOs

Views: 236
0 0
Read Time:5 Minute, 13 Second

Em março de 2022, a Comissão de Valores Mobiliários (SEC) propôs uma regra sobre divulgação, governança e gestão de risco de segurança cibernética para empresas públicas, conhecida como Regra Proposta para Empresas Públicas (PRPC) . Esta regra exigiria que as empresas relatassem incidentes “materiais” de segurança cibernética no prazo de quatro dias. Também exigiria que os conselhos de administração tivessem experiência em segurança cibernética.

Não é novidade que está enfrentando todo tipo de resistência . Na sua forma atual, a regra proposta deixa muito espaço para interpretação e é impraticável em algumas áreas.

Por um lado, a janela restrita de divulgação colocará enorme pressão sobre os diretores de segurança da informação (CISOs) para divulgar incidentes materiais antes que eles tenham todos os detalhes. Os incidentes podem levar semanas e às vezes meses para serem compreendidos e totalmente corrigidos. É impossível saber o impacto de uma nova vulnerabilidade até que recursos amplos sejam dedicados à remediação. Os CISOs também podem acabar tendo que divulgar vulnerabilidades que, com mais tempo, acabam sendo menos problemáticas e, portanto, não materiais. Isso, por sua vez, poderia afetar o preço de curto prazo de uma empresa.

Incidentes são uma coisa viva – não um acordo definitivo

Os requisitos de divulgação de quatro dias podem parecer bons à primeira vista. Mas não são realistas e acabarão por distrair os CISOs de apagar incêndios.

Usarei o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia como comparação. De acordo com o regulamento, as empresas devem comunicar incidentes de não conformidade no prazo de 72 horas. No entanto, no caso do GDPR, a necessidade de reportar está bem definida . Embora 72 horas seja muitas vezes demasiado cedo para saber os detalhes do impacto global de um incidente, as organizações saberão, pelo menos, se as informações pessoais foram comprometidas.

Compare isto com os requisitos de divulgação propostos pelo PRPC. As organizações terão 24 horas extras, mas — com base no que foi divulgado até agora — deverão se qualificar internamente se a violação for material . De acordo com o GDPR, uma empresa pode fazer isso com base na sensibilidade dos dados, no seu volume e para onde foram. De acordo com o PRPC, “materialidade” é definida pela SEC como qualquer coisa que um “acionista razoável consideraria importante”. Isso poderia ser praticamente qualquer coisa que os acionistas considerem relevante para seus negócios. É bastante amplo e não está claramente definido.

Outras definições fracas

Outra questão é a exigência da proposta de divulgar circunstâncias em que um incidente de segurança não era material por si só, mas se tornou assim “em conjunto”. Como isso funciona na prática? Uma vulnerabilidade não corrigida de seis meses atrás pode ser divulgada (dado que a empresa não a corrigiu) se for usada para estender o escopo de um incidente subsequente? Já combinamos ameaças, vulnerabilidades e impacto nos negócios. Uma vulnerabilidade que não é explorada não é material porque não cria impacto nos negócios. O que você precisará divulgar quando incidentes agregados precisarem ser relatados, e a cláusula de agregação torna isso ainda mais difícil de discernir?

Para tornar isto mais complicado, a regra proposta exigirá que as organizações divulguem quaisquer alterações políticas resultantes de incidentes anteriores. Com que rigor isso será medido e, honestamente, por que fazê-lo? As políticas devem ser declarações de intenções — não devem ser guias de configuração forense de baixo nível. Atualizar um documento de nível inferior (um padrão) para exigir um algoritmo de criptografia específico para dados confidenciais faz sentido, mas existem poucos documentos de nível superior que seriam atualizados devido a um incidente. Os exemplos podem ser a exigência de autenticação multifator ou a alteração do acordo de nível de serviço (SLA) de correção para vulnerabilidades críticas no escopo.

Por último, a proposta diz que os relatórios trimestrais de lucros serão o fórum para divulgações. Pessoalmente, as teleconferências de resultados trimestrais não parecem ser o fórum certo para se aprofundar em atualizações de políticas e incidentes de segurança. Quem dará as atualizações? O CFO ou CEO, que normalmente fornece relatórios de lucros, pode não estar suficientemente informado para fornecer esses relatórios críticos. Então, o CISO agora participa das ligações? E, em caso afirmativo, responderão também às perguntas dos analistas financeiros? Tudo parece impraticável, mas teremos que esperar para ver.

Perguntas sobre a experiência do conselho

A primeira iteração do PRPC exigiu divulgações sobre a supervisão do conselho das políticas de gestão de riscos de segurança cibernética. Isto incluiu divulgações sobre cada membro do conselho e seus respectivos conhecimentos cibernéticos. A SEC afirma que manteve propositalmente a definição ampla, dada a variedade de habilidades e experiências específicas de cada conselho.

Felizmente, depois de muito exame, eles decidiram remover esse requisito. O PRPC ainda pede que as empresas descrevam o processo do conselho para supervisionar os riscos de segurança cibernética e o papel da administração no tratamento desses riscos.

Isto exigirá alguns ajustes na comunicação e na conscientização geral. Recentemente, a Dra. Keri Pearlson, diretora executiva de segurança cibernética do MIT Sloan, e Lucia Milică, CISO da Stanley Black & Decker, entrevistaram 600 membros do conselho sobre atividades relacionadas à segurança cibernética. Eles descobriram que “menos da metade (47%) dos membros atuam em conselhos que interagem regularmente com seus CISOs, e quase um terço deles só vê seus CISOs nas apresentações do conselho”. Isto aponta claramente para uma lacuna de comunicação.

A boa notícia é que a maioria dos conselhos já possui um comitê de auditoria e risco, que pode servir como um subconjunto do conselho para essa finalidade. Dito isto, não é incomum que CISOs e CSOs apresentem assuntos envolvendo segurança cibernética que o restante do conselho não entende totalmente. Para colmatar esta lacuna, é necessário que haja um maior alinhamento entre o conselho e os executivos de segurança.

A incerteza prevalece

Tal como acontece com qualquer nova regulamentação, existem questões e incertezas com o PRPC. Teremos apenas que esperar para ver como tudo evolui e se as empresas conseguem cumprir os requisitos propostos.

FONTE: DARKREADING

POSTS RELACIONADOS