A SEC propõe regras de segurança cibernética

Em 13 de março de 2023, a Comissão de Valores Mobiliários dos EUA (SEC) propôs novas regras e requisitos de segurança cibernética para todas as entidades do mercado, visando mitigar os riscos. Entre as regulamentações propostas, estavam requisitos atualizados para Formulário 8-K relatórios, bem como novas orientações para Alterações do Formulário 10-K. 

De acordo com a regra proposta para o Formulário 8-K, as empresas seriam obrigadas a relatar violações de segurança em até quatro dias após a ocorrência do incidente. Cinco perguntas e respostas documentadas devem ser incluídas em todos os relatórios de incidentes, com respostas contendo alto nível de detalhamento para que o "investidor razoável" possa compreender a violação. As seguintes perguntas são obrigatórias para todos os relatórios de incidentes do Formulário 8-K, conforme a regulamentação proposta:

1. Quando o incidente foi descoberto e se ainda está em andamento.
2. Uma breve descrição da natureza e do alcance do incidente.
3. Se algum dado foi roubado, alterado, acessado ou usado para qualquer outra finalidade não autorizada.
4. O impacto do incidente nas operações da empresa registada.
5. Se o requerente já corrigiu ou está atualmente corrigindo o incidente.

As respostas às perguntas necessárias, evitando detalhes excessivamente técnicos, permitirão que as conversas sobre riscos de segurança cibernética sejam mais acessíveis a todas as partes envolvidas com a empresa.

Políticas e Procedimentos de Gestão de Riscos Cibernéticos 

Além disso, a proposta da SEC solicitou a inclusão de políticas e procedimentos específicos para a gestão da cibersegurança nas alterações do Formulário 10-K. As políticas e os procedimentos relativos aos riscos de cibersegurança incluídos no Formulário 10-K devem ser o mais compreensíveis possível, permitindo o envolvimento tanto da alta administração quanto do conselho de administração. Essa alteração adicional ao Formulário 10-K, referente à cibersegurança, também é importante, pois esclarecerá a regulamentação dos protocolos de cibersegurança de uma empresa. 

Na última década, as violações de segurança cibernética têm aumentado, representando um dos maiores riscos para empresas de todos os setores e segmentos. Aliás, olhando para o futuro, esse risco só tende a aumentar. Em uma pesquisa de 2019, Duzentas das maiores empresas globais classificaram a cibersegurança como a principal ameaça tanto ao crescimento de seus negócios quanto ao crescimento da economia global na próxima década. A SEC optou por desenvolver as regulamentações propostas com a esperança de padronizar as divulgações sobre gerenciamento de riscos de cibersegurança e relatórios de incidentes, à medida que esses temas se tornam conversas e práticas comuns em todas as organizações.

Dicas para construir uma cultura de conscientização sobre riscos

Caso a proposta da SEC se torne realidade, as empresas devem estar preparadas para implementar um processo de resposta a incidentes altamente abrangente. Manter a segurança da empresa não é responsabilidade exclusiva do diretor de segurança da informação (CISO), da equipe de segurança e da equipe de TI. Todos os membros da empresa devem ser treinados e estar atentos a quaisquer ameaças potenciais. Saber quando alertar sobre uma possível violação, por menor que seja, é fundamental para que todos os funcionários contribuam para o cumprimento das normas da SEC. Disseminar a conscientização sobre os riscos de segurança cibernética por toda a organização é essencial para manter a empresa segura, visto que praticamente todas as equipes de uma empresa trabalham com dados que podem representar riscos. 

Para ajudar a manter a conversa em andamento sobre um tema tão importante, é fundamental utilizar as ferramentas certas, como o CNAPP e orquestração, automação e resposta de segurança (SOAR), Isso permite que o CISO apresente o nível de risco da empresa à alta administração e ao conselho de administração de uma forma que estabeleça uma linguagem comum para iniciar a discussão. Abrir o diálogo para incluir os líderes da empresa trimestralmente, e não apenas quando ocorre um incidente, pode ajudar a direcionar o orçamento e a visibilidade para preencher lacunas importantes, auxiliando, assim, na prevenção de incidentes de segurança, como violações de dados, no futuro. Os riscos de cibersegurança são uma realidade nos negócios hoje em dia, mas, ao cumprir todas as regulamentações, usar as ferramentas de automação adequadas e discutir a cibersegurança rotineiramente, é possível proteger uma empresa.