.
As empresas de capital aberto que sofrerem um crime de computador que possa causar um dano “material” a um investidor enfrentarão em breve um prazo de quatro dias para divulgar o incidente, de acordo com as regras aprovadas hoje pela Comissão de Valores Mobiliários dos Estados Unidos.
O segundo proposto as mudanças em março passado, e na quarta-feira o órgão fiscalizador financeiro votou pela adoção dos requisitos [PDF]. As regras, que entram em vigor 30 dias após serem assinadas no Registro Federal no final deste ano, exigirão que as empresas de capital aberto divulguem abertamente em uma nova seção (Item 1.05) do Formulário 8-K qualquer incidente de segurança cibernética que tenha um impacto material em suas negócios.
As empresas devem fazer essa determinação “sem demora razoável”, de acordo com as novas regras. Se eles decidirem que uma violação de segurança é importante, terão quatro dias para enviar um relatório do Item 1.05 Formulário 8-K detalhando o impacto material da “natureza, escopo e tempo” do incidente, além de qualquer impacto ou provável impacto nos negócios. Esses formulários 8-K são divulgados pela SEC.
O que é material?
“A palavra-chave aqui é ‘material’ e ser capaz de determinar o que isso realmente significa”, disse Saket Modi, CEO da Safe Security. Strong The One.
A empresa de Modi ajuda grandes corporações a quantificar e gerenciar seu risco cibernético. Ele disse que a maioria das organizações não possui sistemas para determinar a materialidade e, como tal, terá dificuldade em cumprir esta nova regra.
“O jogo precisa mudar para se concentrar na proteção de sistemas que representam o maior risco material para os negócios e fazer investimentos cibernéticos que reduzirão a probabilidade de violações de risco material”, disse Modi. “Isso significa que as empresas terão que traduzir bits e bytes de risco cibernético em dólares e centavos de risco comercial material”.
Há, no entanto, uma exceção ao cronograma de quatro dias: uma empresa pode atrasar o envio deste relatório à SEC se o procurador-geral dos EUA determinar que divulgar abertamente a invasão imediatamente representaria um grande risco à segurança nacional ou pública.
As regras também adicionam um novo requisito de relatório, o Regulamento SK Item 106, que exigirá que as empresas públicas descrevam seus processos – se houver – para avaliar, identificar e gerenciar riscos materiais de ameaças à segurança cibernética.
O Item 106 também exige que as empresas detalhem a supervisão de ameaças cibernéticas por seu conselho de administração e o papel da administração na avaliação e gerenciamento de riscos materiais dessas ameaças. As empresas serão obrigadas a divulgar publicamente essas informações em seu relatório anual à SEC no Formulário 10-K.
E, finalmente, as regras exigem que as empresas estrangeiras que fazem negócios nos EUA divulguem quaisquer incidentes materiais de segurança cibernética que tenham vivenciado no Formulário 6-K, bem como sua estratégia e governança de gerenciamento de risco cibernético no Formulário 20-F.
Mudando o papel do conselho na gestão de riscos cibernéticos
A equipe de ação de segurança cibernética do Google publicou alguns relatórios recentes, um deles em abril [PDF] e um em julho [PDF] destinado a ajudar os conselhos de administração a assumir um papel mais proativo na segurança cibernética corporativa.
Embora os conselhos tradicionalmente abordem a infosec “como uma prioridade isolada”, o Item 106 deve incentivar os membros do conselho a “ver o risco cibernético através das lentes do risco comercial geral”, disse David Homovich, consultor de soluções do Google Cloud Office do CISO.
“Idealmente, os conselhos integrarão a segurança cibernética e a resiliência em sua estratégia geral de negócios, práticas de gerenciamento de riscos, orçamento e alocação de recursos para sustentar que o risco cibernético é responsabilidade de todos”, disse Homovich. Strong The One. “A conscientização sobre segurança cibernética dos conselhos e a orientação subsequente nessa área são absolutamente essenciais para o sucesso de longo prazo de todas as organizações”.
Para fazer isso, ele sugere que os conselhos façam três coisas. Primeiro: informe-se sobre os principais tópicos. Isso ajudará a “garantir que o risco cibernético e tecnológico mais amplo seja incorporado ao risco operacional e às discussões estratégicas e decisões organizacionais”, disse ele.
Segundo: envolver o CISO e outros líderes do C-Suite para entender melhor as lacunas de segurança e as necessidades de recursos e garantir que esse risco “seja tratado como uma prioridade para todos os executivos, não apenas para a equipe de segurança cibernética”.
Terceiro: “Mantenha-se informado sobre as atividades de relatórios em andamento, faça perguntas e trabalhe com o CISO e outros líderes para entender as métricas de risco cibernético”, disse Homovich.
Nem todo mundo gosta dos novos regulamentos
Claro, nem todo mundo está feliz com as novas regras de denúncias cibernéticas. A votação de 3 a 2 da SEC aprovando as mudanças caiu de acordo com as linhas partidárias, com os dois comissários republicanos do regulador se opondo aos requisitos.
O Bank Policy Institute (BPI) também não é fã e disse que as divulgações acabarão “prejudicando os próprios investidores que pretende proteger ao divulgar prematuramente as vulnerabilidades de uma empresa”, de acordo com Heather Hogsett, vice-presidente sênior de tecnologia e estratégia de risco para Direcção de política tecnológica do BPI.
Nenhum investidor razoável desejaria a divulgação prematura de um evento cibernético para agentes mal-intencionados ou um estado-nação hostil
“Nenhum investidor sensato desejaria a divulgação prematura de um evento cibernético para agentes mal-intencionados ou um estado-nação hostil, o que poderia exacerbar os riscos de segurança e criar uma receita para o desastre na próxima vez que ocorrer um grande incidente cibernético”, disse Hogsett. Strong The One.
Novamente, apontaremos que os eventos de segurança determinados a representar um risco à segurança nacional ou à segurança pública não são mantidos no prazo de relatório de quatro dias.
As principais violações de segurança relatadas por empresas públicas aumentaram quase 600% na última década, de acordo com a comissária Caroline Crenshaw, citando números anteriores da SEC. “Os custos, arcados pelos emissores e seus investidores, são estimados em trilhões de dólares por ano apenas nos Estados Unidos”, acrescentou ela em um comunicado. declaração sobre as novas regras.
“A regra, entre outras coisas, fornecerá aos investidores e participantes do mercado informações críticas relacionadas à gestão e estratégia de risco de uma empresa, bem como à governança, em seus relatórios periódicos”, disse Crenshaw, um democrata.
Mas eles tornarão as organizações mais seguras?
Em última análise, as regras também devem tornar as empresas e os indivíduos americanos mais seguros, disse o CEO e presidente da Tenable, Amit Yoran, que os chamou de “certos no dinheiro”. Isso é compreensível, já que seu negócio ganha dinheiro com segurança de computadores.
“De muitas maneiras, a regra da SEC regulará o que as empresas deveriam estar implementando em primeiro lugar – boa higiene cibernética”, disse ele Strong The One. “Por muito tempo, as maiores e mais poderosas empresas dos Estados Unidos trataram a segurança cibernética como algo bom de se ter, não obrigatório. Agora, está bastante claro que os líderes corporativos devem elevar a segurança cibernética em suas organizações.”
Além disso, acrescentou, os investidores têm o direito de saber sobre o gerenciamento de riscos cibernéticos das organizações, porque as violações têm consequências e custos na vida real.
“Este é um passo dramático em direção a uma maior transparência e responsabilidade e melhorará muito nossa preparação para a segurança cibernética como nação”, disse Yoran. ®
.
