A Comissão de Valores Mobiliários dos Estados Unidos (SEC, na sigla em inglês) divulgou, em 26 de julho, nova regra sobre gerenciamento de riscos de segurança cibernética, estratégia, governança e divulgação de incidentes. Isso dá às organizações aproximadamente cinco meses para validar seus planos de conformidade antes que os novos requisitos de divulgação entrem em vigor, em meados de dezembro.
As revisões propostas pela nova regra simplificam os requisitos de divulgação de várias maneiras. É uma resposta a mais de 150 comentários enviados por emissores, investidores e outras partes interessadas.
Ainda assim, a divulgação pode parecer uma tarefa desafiadora se o programa de segurança cibernética de sua empresa não estiver preparado para se submeter a uma análise dos investidores. Atualmente, muitas empresas ainda não são capazes de divulgar suas capacidades cibernéticas na medida exigida pela nova regra, a qual exige que as divulgações sobre segurança cibernética sejam apresentadas no padrão Inline eXtensible Business Reporting Language (Inline XBRL).
Os requisitos de divulgação visam proteger os investidores dos danos que uma violação de segurança cibernética pode causar. Com o aumento do número, da gravidade e dos riscos dos incidentes de segurança cibernética, os investidores vêm exigindo transparência das empresas nas quais colocaram seus recursos e depositaram sua confiança.
Com essa nova regra, a SEC atribui às empresas o ônus de fornecer aos investidores informações atuais, consistentes e “úteis para tomada de decisões” sobre como elas gerenciam seus riscos cibernéticos.
Vemos a regra como um chamado à ação, que desafia as empresas a se prepararem para ampliar suas divulgações sobre processos de gerenciamento, estratégia e governança de riscos cibernéticos. Para alguns, essa tarefa não será fácil. Mas ela pode não ser tão difícil quanto você pensa.
O requisito de transparência em relação a práticas e incidentes cibernéticos mudou de obrigatório para realizável, de inconsistente e incompleto para “útil para tomada de decisões.
A regra exige que, nos registros anuais do formulário 10-K, as empresas adicionem detalhes para descrever seu programa cibernético.
Também exige o preenchimento obrigatório e mais rápido do formulário 8-K para relatar à SEC um incidente relevante de segurança cibernética quando ele ocorrer – em até quatro dias após identificar que o incidente é relevante. Na regra, incidente cibernético significa uma ocorrência não autorizada (ou uma série de ocorrências relacionadas) em (ou conduzida por meio de) sistemas de informação de uma entidade registrada na SEC que coloca em risco a confidencialidade, integridade ou disponibilidade dos sistemas de informação da entidade ou qualquer informação neles contida.
A regra prevê uma série de complementos, caso o procurador-geral dos Estados Unidos determine que a divulgação imediata representa um grande risco à segurança nacional ou pública.
Para saber mais detalhes sobre a regra, acesse: SEC adota a regra de divulgação de segurança cibernética.
Requisitos de divulgação da SEC para empresas de capital aberto |
||
Relatórios de incidentes cibernéticos |
Relate incidentes “relevantes” de segurança cibernética em um formulário 8-K dentro de quatro dias úteis após a determinação da relevância. Descreva a natureza, o escopo e o momento do incidente e a relevância do impacto material ou a provável relevância do impacto sobre a entidade registrada na SEC. Caso as informações necessárias não sejam conhecidas ou estejam indisponíveis no momento do preenchimento do formulário, o 8-K deve incluir a divulgação do fato e ser corrigido posteriormente, quando as informações forem conhecidas ou estiverem disponíveis. A determinação da relevância deve ser baseada na lei federal de valores mobiliários que trata de relevância, considerando, inclusive, fatores quantitativos e qualitativos. |
|
Gestão e estratégia de riscos cibernéticos |
Descreva o processo da empresa, se houver, para avaliar, identificar e gerenciar riscos relevantes de ameaças de segurança cibernética, incluindo:
|
|
Governança cibernética |
Descreva a governança de riscos de segurança cibernética da empresa no que se refere a:
|
Datas de vigência: os requisitos de divulgação de incidentes relevantes entrarão em vigor a partir de 18 de dezembro de 2023 (para empresas menores haverá um adiamento de 180 dias). As divulgações para gestão de risco, estratégia e governança são válidas para todas as entidades registradas na SEC para os exercícios fiscais encerrados em 15 de dezembro de 2023 ou após essa data.
Na maioria das empresas, a responsabilidade pela conformidade recairá sobre várias funções principais, cabendo a cada uma questões específicas a serem observadas.
As organizações que não cumprirem a nova regra provavelmente enfrentarão sérias consequências, como sugerem as recentes ações de fiscalização da SEC. A comissão aplicou pesadas multas contra as empresas por não divulgarem as violações de forma adequada ou em tempo hábil. A aplicação da regra será feita por meio de uma dupla abordagem: primeiro, as organizações devem fazer divulgações adequadas de acordo com os requisitos. Segundo, devem ter controles e procedimentos para tratar os elementos necessários para determinar se as divulgações são obrigatórias.
Quando assino e certifico o 10-K da minha empresa, tenho confiança na integridade, completude e precisão das informações que a empresa está divulgando relacionadas ao programa de gerenciamento de riscos cibernéticos? Estamos preparados para fazer as divulgações ampliadas que a nova regra exige?
Estamos obtendo relatórios eficazes e contínuos de que precisamos para entender os principais riscos cibernéticos e o que a administração está fazendo para mitigar esses riscos? Como sabemos se estamos fazendo as perguntas certas ao CISO e a outras pessoas que se reportam a nós? Estamos confortáveis com nosso próprio conhecimento de segurança cibernética para supervisionar efetivamente essa área?
Os detalhes do meu programa de gerenciamento de risco cibernético são suficientes para fazer a divulgação aos investidores de acordo com os requisitos de divulgação ampliada estabelecidos pela SEC? Quanto conseguimos divulgar sem gerar riscos adicionais para a empresa?
Como vamos garantir que as pessoas responsáveis por determinar a relevância de um incidente de segurança cibernética tenham as informações necessárias para fazer essa determinação sem atrasos injustificados? Se um incidente for relevante, como podemos confirmar que as informações necessárias estão incluídas no 8-K preenchido dentro do prazo de quatro dias estipulado pela SEC?
Com que eficácia podemos redigir divulgações para a SEC em conformidade com as regras, mas sem fornecer informações confidenciais sobre o programa cibernético da organização? Quais critérios e considerações devemos usar para ajudar a identificar (com o CISO e os responsáveis pelos relatórios a serem enviados para a SEC) se um incidente se qualifica ou não como “relevante”?
Se a divulgação imediata do incidente representa potencialmente um risco substancial à segurança pública ou segurança nacional, como podemos reportá-lo à autoridade federal e comprovar que estamos bem articulados internamente? Como seremos informados sobre quaisquer determinações e comunicações feitas à SEC que possam afetar o prazo exigido para elaborar nosso relatório?
Qual é o nosso papel em assegurar que as divulgações sejam completas, precisas e sólidas?
O cumprimento da nova regra exigirá coordenação entre as equipes de segurança, finanças, risco e jurídica, assim como entre os principais líderes de negócios (quando necessário). Portanto, é bom que haja um alinhamento interno sobre como fazer divulgações oportunas e precisas que atendam à decisão da SEC.
A boa notícia é que essas competências se reforçam mutuamente: melhorar uma área também ajudará você a melhorar outras. O framework abaixo poderá ajudar a unificar seus esforços organizacionais.
Desde a publicação inicial da proposta, algumas questões surgiram repetidamente em nossas conversas com membros do conselho, CFOs, CIOs e CISOs. As empresas precisam responder a essas perguntas com clareza para serem aprovadas pela SEC e pelos investidores.
1. Qual é o nosso processo para relatar incidentes de segurança cibernética? É importante que os líderes e o conselho entendam os processos de escalonamento interno e de relatório externo. Considere testar o processo de escalonamento agora, antes que um evento ocorra.
2. Como podemos identificar efetivamente a relevância de uma violação ou ataque? A identificação da relevância pode ser complexa e não deve ser responsabilidade exclusiva de uma pessoa. O processo deve envolver o CFO, o conselheiro geral, o CISO, o CIO e os líderes empresariais da linha de frente.
As organizações já têm a experiência em cumprir as orientações da SEC divulgadas em 2018 sobre divulgações de segurança cibernética. Portanto, têm controles e procedimentos de divulgação que “fornecem um método apropriado para discernir o impacto… na empresa e seus negócios, condição financeira e resultados de operações, bem como um protocolo para determinar a potencial relevância de tais riscos e incidentes.”
Muitas organizações já se sentem à vontade para discutir a relevância em termos de demonstrações financeiras, mas a discussão não para por aí. Também é preciso considerar fatores qualitativos, como efeitos na reputação, relacionamento com clientes, relacionamento com fornecedores e conformidade regulatória. E você precisará começar a ter uma visão de longo prazo das violações e tentativas de violação, considerando os efeitos cumulativos das ocorrências relacionadas.
3. Como podemos verificar que nossos processos para determinar a relevância estão completamente documentados? Quando surgirem incidentes, convém ter uma documentação que detalhe como você determinou a relevância de um incidente, principalmente se classificar o incidente como não relevante. Se a SEC questionar sua conclusão, você precisará justificar com detalhes seus processos e considerações sobre fatores quantitativos e qualitativos, bem como apresentar o raciocínio e a base usados para a sua decisão.
4. Qual é o nível certo de informação a divulgar? Por reconhecer que os programas de segurança cibernética são recursos sensíveis, as divulgações da SEC geralmente se baseiam mais em princípios. No entanto, cumprir os novos requisitos sem revelar informações confidenciais sobre seus procedimentos e programa de segurança cibernética será algo importante a ser considerado. Algumas empresas estão criando um modelo padrão para relatar incidentes e adaptá-lo quando ocorrer um evento.
5. Podemos relatar dentro do período de quatro dias? Vemos muita confusão em torno do prazo de quatro dias para divulgar um incidente. O relógio começa a contar não quando o incidente ocorre ou é detectado, mas quando é determinado como “relevante”. A regra não estabelece nenhum cronograma específico entre o incidente e a determinação da sua relevância, mas a determinação da relevância deve ser feita sem demora injustificada.
6. Como cumpriremos a exigência de reportar ocorrências relacionadas qualificadas como “relevantes”? A regra eliminou a exigência de agregar riscos irrelevantes diferentes para determinar se uma divulgação 8-K é necessária. No entanto, ainda se exige que eventos relacionados — por exemplo, o mesmo agente mal-intencionado ou agentes que exploram a mesma vulnerabilidade — sejam relatados, se uma empresa determinar que eles são relevantes.
7. Políticas e procedimentos, avaliações de risco, controles e monitoramento de controles de nossa organização são suficientemente robustos para serem divulgados publicamente?
Políticas e procedimentos: estão de acordo com as especificações de pelo menos um framework reconhecido do setor? Eles são atualizados regularmente? Todos na organização sabem o que são as políticas e os procedimentos e como todos são responsáveis por segui-los? Eles são bem-aplicados?
Avaliação de risco: ter um processo de avaliação de risco não é suficiente. O seu é robusto? É aplicado em toda a organização com foco nos principais riscos para o negócio? Com que frequência você faz avaliações de risco? Os resultados da avaliação são incorporados à sua estratégia cibernética corporativa, ao programa de gerenciamento de riscos corporativos e às alocações de capital? Você contratou um terceiro para avaliar o programa de segurança cibernética?
Controles e monitoramento de controles: como sua organização monitora a eficácia de suas atividades e controles de mitigação de riscos? Quão maduros são seus recursos se avaliados em relação ao framework do setor? Como a liderança e o conselho são informados sobre a eficácia desses controles?
8. Estamos obtendo as informações necessárias para supervisionar a segurança cibernética no nível do conselho?
A regra exige uma descrição da supervisão do conselho sobre os riscos de segurança cibernética no formulário 10-K. Isso pode incluir onde o risco de segurança cibernética é alocado (por exemplo, todo o conselho, comitê) e os processos pelos quais o conselho/comitê é informado sobre os riscos.
Embora a regra não exija mais a divulgação de conhecimentos cibernéticos, os conselheiros devem considerar o quanto se sentem confortáveis em relação às áreas especificadas pela regra. Como um todo, os conselhos são responsáveis por entender os conceitos e requisitos cibernéticos o suficiente para serem capazes de fazer a supervisão. Como os conselheiros individualmente e coletivamente comprovarão que continuam aprendendo? Eles convidarão especialistas em segurança cibernética para reuniões? Eles assistirão a aulas ou a outros tipos de treinamento? Eles recorrerão a consultores externos?
Seu programa cibernético está pronto para divulgação? Teste suas respostas para as perguntas acima. Um diagnóstico a partir dessas descobertas pode mostrar exatamente onde é necessário fazer mudanças para deixar claro aos investidores e ao público que você está protegendo os ativos e a reputação da empresa.
Também é possível agendar um exercício simulado, conhecido como “teste de mesa” (ou tabletop), no qual você e sua equipe implementem os processos que empregarão no caso de um incidente de segurança cibernética. Nesse exercício, você pode incluir o processo para determinar a relevância e fornecer as informações exigidas pelo formulário 8-K no prazo de quatro dias úteis a contar da determinação da relevância. Se você não tiver certeza de que está pronto para fazer essas divulgações de maneira adequada ou em tempo hábil, esse tipo de exercício o ajudará a chegar lá. Se você se sentir confiante, esse simulado pode validar sua convicção – ou levantar pontos ainda não percebidos.
Os clientes que executaram esses diagnósticos de avaliação e exercícios de preparação, em geral, descobriram, para sua surpresa, que não estão tão preparados para as novas exigências de divulgações da SEC quanto pensavam. Adotar essas medidas agora pode ajudar você a evitar surpresas desagradáveis mais tarde: não apenas as multas da SEC, mas também a perda da confiança do investidor e de valor de mercado.