*Por Carlos Borella
São Paulo/SP 17/5/2022 – Com o objetivo de prover orientações mais claras, em 09 de março de 2022, a SEC propôs regras com foco no fortalecimento da postura de segurança cibernética. Em 09 de março de 2022, a SEC propôs regras com foco no fortalecimento da postura de segurança cibernética, aplicável a mais de 8.000 registrantes. A proposta foi elaborada para informar melhor os investidores sobre a gestão de risco, estratégia e governança de um registrante e, fornecer notificação oportuna e estruturada, caso haja a ocorrência de incidentes
A Securities and Exchange Commission (SEC) (Comissão de Valores Mobiliários dos Estados Unidos) emite orientações relacionadas a Cyber Segurança. Desde 2011 orientações interpretativas são divulgadas aos registrantes (empresas listadas), contudo as práticas de divulgação ainda eram inconsistentes.
Com o objetivo de prover orientações mais claras, em 09 de março de 2022, a SEC propôs regras com foco no fortalecimento da postura de segurança cibernética, aplicável a mais de 8.000 registrantes. A proposta foi elaborada de modo a informar melhor os investidores sobre a gestão de risco, estratégia e governança de um registrante e, fornecer notificação oportuna e estruturada, caso haja a ocorrência de incidentes (materiais[1]) de cyber segurança, além de permitir que investidores avaliem sua exposição de maneira adequada.
Resumidamente, a SEC propõe que:
- Relatórios de incidentes (materiais) de cyber segurança devem ser documentados através do Formulário 8-K (Form 8-K[2]);
- Os registrantes devem divulgar periodicamente:
- Políticas e procedimentos para identificar e gerenciar riscos de cyber segurança;
- Papel da administração na implementação de políticas e procedimentos de cyber segurança;
- Experiência em cyber segurança do Conselho de Administração, se houver, e como é sua atuação/ supervisão;
- Atualizações sobre incidentes (materiais) de cyber segurança ocorridos/relatados anteriormente.
- Divulgações de incidentes de cyber segurança devem ser reportados em formato Inline eXtensible Business Reporting Language (Inline XBRL[3]).
Especificamente sobre a divulgação de novos incidentes (materiais ou não), os seguintes itens foram propostos:
- Os registrantes devem divulgar informações sobre incidentes (materiais) de cyber segurança sofridos pela organização dentro de um prazo de quatro dias úteis (atualizações foram realizadas no Form 8-K);
- Os registrantes forneçam atualização sobre incidentes de cyber segurança individualmente imateriais anteriormente não divulgados, os quais tornaram-se materiais no agregado (atualizações foram realizadas no Form 20-F);
- Inclusão do tema incidente de cyber segurança como um tópico de relatório (atualizações foram realizadas no Form 6-K).
Além de melhor estruturação em relação ao tema de incidentes, a SEC propôs, por parte dos registrantes, a divulgação aprimorada e padronizada sobre gerenciamento, estratégia e governança de riscos de cyber segurança. De modo resumido a proposta apresenta: (atualizações foram realizadas no Form 20-F)
- Necessidade de descrever suas políticas e procedimentos, se houver, para a identificação e gerenciamento de riscos de ameaças à cyber segurança, incluindo se o registrante considera a cyber segurança como parte de sua estratégia de negócios, planejamento financeiro e alocação de capital. Adicionalmente, divulgar o papel e a experiência do Conselho de Administração em cyber segurança e, a sua atuação na avaliação e gerenciamento de risco de cyber segurança, bem como na implementação das políticas, procedimentos e estratégias de cyber segurança;
- Exige divulgação, através de relatórios anuais, em relação a experiência em cyber segurança dos membros do conselho.
Por fim, em sua maioria, seus registrantes são grandes corporações que nos últimos anos, tem criado e implementado controles de cyber segurança em suas operações, os quais são exigidos por regulamentações do próprio mercado (BC4893), leis nacionais (LGPD) e internacionais (GDPR), frameworks e boas práticas (SANS, NIST), e até mesmo pressão do próprio mercado no sentido de ter uma vantagem competitiva ao obter um selo ou certificação relacionado ao tema, como por exemplo, um ISO 27001.
É evidente que tal proposta realizada pela SEC junto a seus registrantes tem por objetivo: estruturar e padronizar a divulgação de incidentes de cyber segurança, mapear o programa de cyber segurança e identificar o nível de conhecimento do Conselho de Administração junto ao tema central da proposta (conscientização em cyber segurança).
Certamente todos os atores envolvidos somente têm benefícios a colher, uma vez que tais iniciativas fomentarão uma maior maturidade em cyber segurança dos registrantes e apresentarão maior transparência e conhecimento em relacao ao tema, para seus investidores.
[1] O que define a materialidade de um incidente de cyber segurança? As registrantes devem desenvolver protocolos internos, de modo a determinar de modo objetivo a materialidade do incidente. A SEC recomenda que fatores quantitativos e qualitativos sejam considerados, com base na natureza, extensão e magnitude potencial de dano de um incidente. Adicionalmente, uma avaliação dos custos associados a um incidente, se estes ultrapassam um determinado limite financeiro em referência aos ativos gerais, patrimônio, receita ou lucro líquido da empresa, ou analisar o impacto do incidente tem ou pode ter na estratégia de negócios, perspectivas financeiras e planejamento financeiro.
[2] Formulário 8-K (Form 8-K) é um formulário muito amplo e um dos mais utilizados na notificação de fato relevantes aos investidores, oriundos de eventos específicos que podem ser importantes para os acionistas ou para a SEC.
[3] Inline XBRL é linguagem de dados estruturada que permite que um único documento seja legível por humanos e/ ou computadores.
Referências:
- https://www.sec.gov/files/33-11038-fact-sheet.pdf
- https://www.sec.gov/rules/proposed/2022/33-11038.pdf
— Carlos Borella é Sócio, CEO, Líder de Cyber na [SAFEWAY]
Como podemos Ajudar?
A SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 14 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.
Hoje por meio de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. Possuímos tanto a habilidade técnica quanto a experiência necessária para auxiliar sua empresa no processo de estruturação de controles e preparação do ambiente para implantação de SGSI, SGS ou SGCN e, consequentemente, certificação de operações, serviços ou empresas as normas ISO27001, ISO20000 ou ISO22301.
Com o intuito de apoiar as empresas nesse processo de avaliação e adequação aos requisitos da LGPD, a [SAFEWAY] possui em seu portfólio de serviços, o Cybersecurity Health Check cujo objetivo é executar um diagnóstico dos controles de CyberSecurity, Segurança da Informação e Privacidade de Dados implementados na sua empresa, contemplando os pilares de Processos, Pessoas e Tecnologia.
Por meio do Cybersecurity Health Check, são identificados os riscos associados a segurança da informação e privacidade dos processos e atividades internas, os controles existentes e avaliados novos controles de acordo com o porte de sua organização para aumentar o nível de maturidade e compliance, de acordo com as boas práticas de segurança da informação. Caso deseje mais informações, entre em contato com um de nossos especialistas!
