Considerações ambientais, sociais e de governança (ESG) dificilmente são tópicos novos quando se trata de relatórios de conformidade para empresas de serviços financeiros, mas o impacto das violações de segurança cibernética no componente de governança em breve ganhará um perfil muito maior para organizações financeiras e não financeiras . Seja abordando questões de privacidade, as perdas financeiras do ransomware ou a continuidade dos negócios de uma perspectiva de governança, as ameaças cibernéticas estão colocando as discussões ESG na vanguarda das reuniões do conselho e das discussões do C-suite em todo o mundo.
As mudanças nos relatórios que as empresas americanas enfrentam podem se expandir significativamente devido aos recentes modificações de regras do presidente da Comissão de Valores Mobiliários, Gary Gensler. Requisitos de relatórios de governança de segurança cibernética semelhantes aos de auditoria e relatórios financeiros encontrados na Lei Sarbanes-Oxley de 2002 (SOX) seriam um componente-chave dos novos regulamentos.
Os requisitos de governança da SOX se concentram em ajudar a proteger os investidores de relatórios financeiros fraudulentos por empresas, enquanto a governança de segurança cibernética é projetada para melhorar os relatórios sobre violações cibernéticas novas e passadas. As políticas e procedimentos de governança corporativa, risco e conformidade (GRC) existentes não serão suficientes para atender a essas regras.
Alla Valente, analista sênior da Forrester, caracteriza as modificações propostas na regulamentação da SEC como “luz Sarbanes-Oxley”. As regras propostas estabelecem que as empresas precisam relatar material incidentes de segurança cibernética dentro de quatro dias após a identificação, ela observa. O problema é que o “material” não é definido e varia de acordo com o setor, então as empresas ficam adivinhando quando o relógio começa a relatar incidentes. Isso pode levar à supernotificação e subnotificação de incidentes cibernéticos, diz ela.
A pressão impulsiona as medidas de segurança cibernética
O cumprimento das regras propostas também pode ter um impacto direto na capacidade de uma empresa obter seguro cibernético, observa Valente. Apesar da atual caos no mercado de seguros cibernéticos que está elevando os preços e reduzindo a cobertura enquanto as seguradoras cibernéticas reduzem o estoque, essas mudanças nas regras podem aumentar ainda mais a pressão sobre as empresas para implementar controles de segurança cibernética que, de outra forma, talvez não tivessem instituído no momento. Também exigiria muito mais informações sobre violações anteriores e como elas estão sendo gerenciadas e mitigadas.
“O novo papel da administração em relatórios e governança cibernética, e a nova responsabilidade dos conselhos de esclarecer sua experiência e supervisão, conduzirão um escrutínio extra aos programas de segurança corporativa”, diz Jason Hicks, CISO de campo da consultoria de segurança cibernética Coalfire.
“Isso coloca o CISO na berlinda”, continua ele. “Também é provável que os conselhos tentem adicionar executivos com experiência em segurança cibernética à sua equipe. Dado o pequeno número de pessoas qualificadas disponíveis, também pude ver os conselhos contratando seus próprios consultores para aconselhá-los sobre o risco de segurança cibernética e a adequação do programa de segurança da empresa.
“Todas essas áreas precisarão ser consideradas na parte de governança de sua abordagem ESG”, acrescenta Hicks. “A gestão já é responsável por gerenciar o risco de segurança cibernética, portanto, isso não está criando uma classe de responsabilidade totalmente nova, embora esteja fazendo várias alterações na carga e na complexidade.”
Transnacionais tomam iniciativa
Hicks observa que a forma como as organizações veem a transparência e as normas culturais dos ambientes operacionais de uma empresa pode influenciar a forma como elas respondem. “As multinacionais precisam equilibrar sua abordagem, dadas as diferentes abordagens globalmente.”
Valente concorda. Os europeus tendem a ser mais proativos na defesa contra violações de dados do que as empresas americanas. A mudança de regras pode forçar as organizações domésticas a serem mais proativas, principalmente quando se trata de gerenciamento de riscos de terceiros, um controle de segurança fundamental.
“Quando isso se tornar definitivo, veremos um esforço para ser proativo. Algumas [organizações] seguirão a letra da lei e poderão ter sucesso no curto prazo, mas marginalmente”, diz Valente. “Outros seguirão o espírito da lei e usarão isso como um meio de melhorar, diversificar e tornar esse gerenciamento de risco proativo [de terceiros] parte de quem eles são. Ficará enraizado em seu DNA corporativo. Essas são as organizações que realmente vão prosperar com isso.”
As empresas podem começar
Steven Yadegari, CEO da empresa de consultoria de investimentos FiSolve e ex-conselheiro geral do escritório de advocacia Cramer Rosenthal McGlynn, diz que os membros do conselho procurarão relatórios específicos sobre segurança cibernética. Isso incluirá relatórios trimestrais focados em segurança cibernética e reuniões com pessoas encarregadas de supervisionar a área, como o CISO, liderando o esforço.
“As novas regras exigiriam avaliações formais de risco, controles específicos, medidas de monitoramento e um sistema de comunicação de incidentes. Na medida em que algumas dessas áreas não são abordadas nos programas existentes, os conselhos vão querer entender como os gerentes pretendem cumprir esses requisitos potenciais. Essas conversas devem estar em andamento e não devem esperar a adoção de novas regras”, diz Yadegari.
Muitas empresas hoje estão gerenciando seus fornecedores com mais cuidado e supervisionando suas políticas e procedimentos, observa ele. Isso é particularmente verdadeiro para provedores de serviços terceirizados e fornecedores que possam ter contato com informações confidenciais de uma empresa.
“Cabe às empresas garantir que tenham um programa robusto de segurança cibernética e um programa de gerenciamento de riscos de terceiros (TPRM), o que, por sua vez, proporcionará conforto às empresas que dependem de seus serviços”, diz Yadegari.
Embora a linguagem final das mudanças propostas nas regras da SEC ainda não tenha sido tornada pública, a linguagem proposta pode ser encontrada SUA PARTICIPAÇÃO FAZ A DIFERENÇA.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
