0
0
A Associação Nacional de Diretores Corporativos (NACD), a SecurityScorecard e a Cyber Threat Alliance divulgaram um relatório que examina as regras e alterações recentemente propostas pela Comissão de Valores Mobiliários dos EUA sobre os requisitos de relatórios de segurança cibernética para empresas públicas. O relatório conclui que as regras propostas, se promulgadas como atualmente elaboradas, fortaleceriam a capacidade de empresas públicas, fundos e conselheiros para combater ameaças à segurança cibernética e implementar processos de mitigação de riscos.
“Preparar a divulgação efetiva de riscos e incidentes cibernéticos materiais tem sido um princípio fundamental da supervisão de riscos cibernéticos defendida pela NACD”, disse Friso van der Oord, SVP de conteúdo da NACD. “As ações da SEC no ano passado, em pares com regras recentemente lançadas, traçam uma linha sob o papel crítico da gestão e dos conselhos na proteção não apenas de investidores e clientes, mas também do bom funcionamento dos negócios americanos.”
O relatório destaca o maior compromisso da SEC com a segurança cibernética, responsabilizando mais empresas, não apenas por violações cibernéticas flagrantes, mas também por declarações públicas enganosas sobre riscos e eventos de cibersegurança.
O relatório cita vários casos recentes em que a SEC tomou medidas, pois as organizações falharam em arquivar relatórios de atividades suspeitas (SARS) e divulgações, ou forneceram declarações enganosas relacionadas a um ataque cibernético. Esses casos ressaltam a importância de classificar, escalar e relatar incidentes reais ou suspeitos a líderes seniores da empresa que são responsáveis por declarações públicas e obrigações de relatórios regulatórios.
Em 9 de fevereiro, a SEC propôs novos requisitos de relatórios e registro para assessores e fundos. Entre as regras propostas estão reportar incidentes significativos de cibersegurança à SEC dentro de 48 horas, implementar políticas e procedimentos escritos de cibersegurança para minimizar riscos operacionais e registrar para incluir cópias de revisões anuais documentadas de políticas e procedimentos de segurança cibernética em vigor nos últimos cinco anos. As empresas também precisariam de aprovação do conselho de administração sobre políticas e procedimentos de segurança cibernética.
Os fabricantes de mercado e os corretores estão excluídos dessas regras propostas, mas a SEC está considerando ampliar as obrigações de relatórios em um futuro próximo.
Regras propostas sobre requisitos de relatórios de segurança cibernética para empresas públicas
Em 9 de março, a SEC emitiu suas regras propostas para empresas públicas que incluem a divulgação de quaisquer incidentes materiais de cibersegurança dentro de quatro dias após a descoberta, o relato de incidentes de segurança cibernética imaterial anteriores que se tornam materiais e a divulgação de políticas e procedimentos para identificar e gerenciar riscos de segurança cibernética. As regras propostas também exigem a supervisão do conselho sobre o risco de cibersegurança de uma empresa e a implementação de políticas relacionadas.
Embora as regras propostas não obriguem a implantação de soluções de monitoramento contínuo, a discussão da SEC sobre os elementos necessários para ambos os conjuntos de regras propostas suporta tais soluções.
“Atualmente, a maioria das organizações não tem visibilidade contínua das vulnerabilidades em todo o ecossistema de fornecedores”, disse Sachin Bansal, diretor de negócios e jurídico da SecurityScorecard. “As organizações precisam de uma abordagem automatizada, integrada e colaborativa para ganhar essa visibilidade – é crucial para a continuidade dos negócios e para aderir às novas políticas e procedimentos estabelecidos pela SEC.”
Além disso, os riscos de terceiros continuam sendo uma área-chave de foco para a SEC, particularmente para terceiros que tenham acesso a informações confidenciais ou que sejam críticos às operações. A SEC está considerando novas medidas que exigiriam que as empresas identificassem provedores de serviços que pudessem representar riscos de segurança cibernética e responsabilizar as organizações pela falta de medidas de segurança cibernética de um provedor de serviços. Como resultado, as empresas podem ser responsabilizadas por incidentes de segurança de dados envolvendo fornecedores e outros terceiros, o que pode afetar as obrigações de divulgação.
Como evidenciado pela Ordem Executiva de Maio de 2021 do governo Biden para melhorar a segurança cibernética do país, essas questões são uma prioridade federal. O crescente escrutínio de cibersegurança da SEC é apoiado por outros esforços federais de colaboração interagências, incluindo a Agência de Segurança em Segurança cibernética e infraestrutura (CISA), o Conselho de Supervisão da Estabilidade Financeira (FSOC) e parcerias público-privadas.
“Todas as organizações enfrentam riscos cibernéticos”, disse Michael Daniel, presidente e CEO da Cyber Threat Alliance. “É importante que as empresas de capital aberto divulguem adequadamente esse risco para que os investidores possam tomar decisões informadas; por sua vez, decisões mais bem informadas criam o incentivo de mercado para aumentar a segurança em todo o ecossistema.
“A Comissão de Valores Mobiliários claramente priorizou o aumento da precisão e do volume de divulgações, e as empresas públicas (e aquelas que querem se tornar públicas) devem prestar atenção.”
FONTE: HELPNET SECURITY