A SEC promulgou novas normas de segurança cibernética regras de divulgação para empresas de capital aberto, que entra em vigor em 15 de dezembro de 2023. Essas regras determinam que as empresas fornecer detalhes abrangentes sobre como eles avaliam, identificam e gerenciam riscos materiais de segurança cibernética em seus relatórios anuais (Formulário 10-K). Eles exigem que as organizações delinear o papel do conselho na supervisão dos riscos de segurança cibernética. Por fim, a SEC exige que as empresas para relatar incidentes significativos de segurança cibernética dentro de quatro dias (Formulário 8-K).
Esta regulamentação tem um impacto significativo tanto nas empresas quanto nos Diretores de Segurança da Informação (CISOs). Os CISOs são colocados em evidência, com a responsabilidade de garantir uma comunicação clara e rápida sobre as medidas e incidentes de segurança cibernética de suas empresas. Essa maior visibilidade exige que os CISOs promovam canais de comunicação sólidos com executivos de alto escalão e membros do conselho. Os CISOs também devem alinhar as estratégias de segurança cibernética aos objetivos de negócios e aos requisitos regulatórios.
Tanto para CEOs quanto para membros do Conselho de Administração, a regulamentação consolida o foco na resiliência da segurança cibernética dentro da governança corporativa. Eles são responsáveis pela participação ativa e supervisão das estratégias de segurança cibernética. O Conselho agora é responsável por garantir não apenas a conformidade, mas também a eficácia do programa de segurança cibernética da empresa. Essa mudança ressalta o papel em evolução da governança corporativa na gestão de riscos cibernéticos. Ela destaca o crescente interesse dos investidores em como as empresas estão preparadas para lidar e mitigar ameaças cibernéticas.
Os investidores estão cada vez mais preocupados com as implicações da segurança cibernética em seus investimentos. Isso foi impulsionado pelo número crescente de incidentes cibernéticos de alto perfil, como ataques de ransomware e violações de dados. Os investidores priorizam a segurança cibernética em conjunto com questões ambientais, sociais e de governança (ESG) críticas. Isso se reflete em Pesquisa de Investimento Responsável em Gestão de Ativos Globais do RBCInvestidores buscam dados de segurança cibernética claros, confiáveis e acionáveis para embasar suas decisões de investimento. Eles precisam e desejam indicadores claros de resiliência em segurança cibernética sem a necessidade de profundo conhecimento técnico na área. Uma boa segurança cibernética não é vista apenas como um fator de mitigação de riscos, mas também como um indicador de governança corporativa robusta e qualidade de gestão. Essas qualidades tornam as empresas mais atraentes para investimentos. Ferramentas que incorporam métricas de segurança cibernética são usadas para avaliar a preparação de uma empresa em relação à segurança cibernética. Consequentemente, os melhores Diretores de Segurança da Informação (CISOs) estão cientes dessas avaliações de investidores. CISOs bem-sucedidos garantem que as medidas de segurança cibernética de suas organizações sejam comunicadas de forma eficaz. CISOs eficazes destacam tendências globais, como maior transparência e responsabilidade nos relatórios de segurança cibernética. Isso ajuda a acalmar as preocupações dos investidores e da comunidade de investidores.
A nova regulamentação de segurança cibernética da SEC exige o envolvimento da alta liderança. A liderança da empresa deve estar envolvida na elaboração de estratégias para suas divulgações de segurança cibernética. Os CISOs estão reunindo a liderança para se reunir e revisar a resiliência cibernética ou a preparação cibernética em suas empresas. Essas reuniões criam um entendimento crítico sobre como essas regulamentações impactam sua empresa e seus stakeholders. Essas reuniões geralmente incluem o CISO, o Diretor Jurídico, um Diretor de Riscos (se presente), o Diretor Financeiro e o chefe de Relações com Investidores. Os principais pontos de discussão giram em torno de quem lidera os esforços de divulgação e o papel do CISO no relato de riscos e incidentes. As discussões devem definir e ratificar estratégias de colaboração, comunicações com investidores e como definir um "material"incidente cibernético relativo às operações da empresa que agora exige relatórios no 8-K.
Essas discussões devem estabelecer uma matriz de responsabilidade clara dentro da sua empresa em relação às divulgações de segurança cibernética. Os CISOs também devem garantir que sua abordagem em relação à segurança cibernética seja comunicada de forma eficaz aos investidores, atendendo às suas expectativas de transparência. e Compreensão. Sua equipe de liderança também deve considerar as estratégias de comunicação existentes da empresa em relação ao risco cibernético. Eles devem determinar se novos métodos, como um relatório independente de segurança cibernética (auditoria anual de terceiros), são necessários para transmitir com clareza a governança desses riscos. Não se trata apenas de conformidade; trata-se de elaborar uma narrativa externa e interna informada e coerente sobre a governança da segurança cibernética. O CISO desempenha um papel vital, mas não solitário, nesse processo. O resultado dessas reuniões moldará a postura da empresa em relação à segurança cibernética e as relações com investidores no futuro.
De acordo com os novos requisitos da SEC, as organizações devem divulgar uma série de informações que ajudem os investidores a compreender seus processos de gestão de riscos de segurança cibernética. Essas informações incluem a estratégia de segurança cibernética da organização e a gestão de riscos de terceiros. Uma estrutura comumente usada para essas avaliações de risco é a Estrutura de segurança cibernética do NIST (NSF). Alternativamente, algumas empresas usam o Norma de Gestão de Riscos NIST 800-171 para sua estratégia de conformidade. Em seguida, a equipe de gestão, incluindo o CIO, o CISO, o CEO, o CFO e o conselho, deve criar um programa de relatórios que descreva a obtenção e a mitigação de riscos para a empresa em relação aos controles descritos nesses métodos de avaliação.
Além disso, espera-se que as empresas compartilhem detalhes sobre políticas-chave, controles técnicos e avaliações de segurança independentes, como Certificações SOC 2. Métricas do programa são reportadas detalhando a eficácia do programa e os protocolos de gerenciamento de incidentes. A cobertura de seguro cibernético é validada, ajudando a reduzir o risco financeiro de incidentes cibernéticos, ao mesmo tempo em que ajuda a determinar a materialidade de eventos e problemas de segurança cibernética.
Os CISOs são responsáveis por coletar esses dados por meio de análises de documentos e consultas com suas equipes de segurança cibernética e executivos seniores. Como muitas organizações podem não ter acesso imediato a todas essas informações, pode ser benéfico formar uma equipe multifuncional para auxiliar no processo de coleta de informações. Você pode adotar o CyberHoot e coletar métricas para cada funcionário que aprova suas políticas de governança, conclui tarefas de treinamento em vídeo de conscientização e realiza simulações e testes de phishing. O objetivo final é reportar ao Conselho, aos executivos de nível C e "investidores razoáveis"uma narrativa que seja acessível e compreensível para todos.
Embora as empresas que desenvolvem seus programas possam se perguntar o que os outros estão fazendo, é importante desenvolver seu próprio programa de conformidade e relatórios com base em seu porte, capacidades e expectativas dos investidores. Existem fontes de informações centralizadas coletadas que você pode analisar para o desenvolvimento do seu próprio programa. Por exemplo, em 2022, uma análise da Centro EY para Assuntos do Conselho As divulgações de empresas da Fortune 100 revelaram o seguinte aumento de transparência na gestão de riscos de segurança cibernética.
Apesar das divulgações anteriores, as novas regulamentações de segurança cibernética da SEC exigem a adoção de práticas de relatórios detalhadas e potencialmente transformadoras, começando pelas empresas de capital aberto. Embora as regras visem principalmente empresas de capital aberto, outras empresas privadas e de menor porte devem se familiarizar com essas novas regras e começar a preparar e monitorar suas operações para sua própria resiliência e preparação em segurança cibernética.
As empresas devem enfrentar o desafio de determinar o que constitui um “material"incidente de segurança cibernética para fins de divulgação, conforme exigido pela SEC. Um incidente material é definido pela SEC como "um que seria considerado importante por um investidor razoável que toma uma decisão de investimento"Essa determinação vai além dos limites financeiros e considera dados quantitativos e qualitativos. Inclui incidentes que resultam em danos à reputação ou roubo de informações que, embora não sejam quantificáveis financeiramente, têm um impacto significativo sobre os indivíduos ou a empresa.
A SEC sugere que, embora o impacto financeiro seja comumente considerado, o escopo e a natureza dos danos também devem ser avaliados. Para uma compreensão completa dos impactos potenciais, as empresas são incentivadas a realizar a quantificação financeira dos riscos cibernéticos. Essa análise pode revelar fragilidades do programa, necessidades de investimento e estratégias de mitigação de riscos.
Os CISOs, embora normalmente não sejam os árbitros finais da materialidade, devem estar profundamente envolvidos no processo de avaliação e na elaboração de estratégias proativas de remediação de riscos. A materialidade dos incidentes deve ser determinada caso a caso por meio de assessoria jurídica, do CEO e do Conselho de Administração. A decisão sobre a materialidade deve levar em consideração as circunstâncias específicas e as potenciais implicações para a empresa e seus stakeholders.
A SEC exige requisitos específicos de divulgação para riscos cibernéticos de terceiros, reconhecendo seu potencial significativo para introduzir incidentes de segurança cibernética. Com mais empresas terceirizando para fornecedores em busca de eficiência e ganhos competitivos, os riscos de vulnerabilidades de terceiros e da cadeia de suprimentos aumentaram. Os CISOs são aconselhados a estabelecer uma estratégia robusta de risco cibernético de terceiros, que inclua a identificação e a priorização de parceiros terceirizados (geralmente com base na criticidade dos dados que eles contêm ou podem acessar), a realização de avaliações cibernéticas baseadas em risco e o monitoramento contínuo dessas entidades em busca de novas ameaças. Um programa completo é essencial para que os CISOs garantam às partes interessadas uma gestão de riscos eficaz e a conformidade com os requisitos de divulgação da SEC.
Esses desenvolvimentos destacam a importância estratégica da segurança cibernética na governança corporativa e a necessidade de lideranças bem informadas e proativas na supervisão da segurança cibernética. Indicam também uma tendência para maior transparência na forma como as empresas gerenciam e reportam informações sobre segurança cibernética, com ênfase na criação de uma cultura de segurança robusta, alinhada aos interesses dos investidores e às expectativas regulatórias.
Fontes:
https://www.sec.gov/news/press-release/2023-139
Descubra e compartilhe as últimas tendências, dicas e melhores práticas de segurança cibernética, além de novas ameaças às quais você deve ficar atento.
Um guia prático para vCISOs: O aviso que ignoramos ou não conseguimos entender. Durante anos, as fontes mais confiáveis...
Ler mais
Um guia para identificar golpes de falsificação de identidade de altos executivos antes que o falso CEO receba uma transferência bancária verdadeira.
Ler mais
A Inteligência Artificial (ou IA) está tornando os e-mails de phishing mais inteligentes, os malwares mais sorrateiros e o roubo de credenciais mais fácil...
Ler maisTenha uma visão mais aguçada dos riscos humanos com uma abordagem positiva que supera os testes de phishing tradicionais.
