Novas regulamentações legislativas são uma virada de jogo em segurança cibernética para a indústria de FS

Um dos eventos de cibersegurança mais significativos da história está prestes a ocorrer para a indústria de serviços financeiros, sob a forma de novos regulamentos legislativos.

As novas regras da Comissão de Valores Mobiliários dos EUA (SEC) terão um impacto significativo nas empresas que prestam serviços financeiros e poderão ter um efeito profundo na cultura de segurança cibernética, uma vez adotadas.

A nova proposta da SEC

A nova proposta da SEC exigirá total transparência e responsabilidade em matéria de cibersegurança ao mais alto nível de liderança empresarial – incluindo os conselhos de administração – para todas as empresas públicas. Ele exigirá que as empresas relatem eventos significativos de segurança cibernética em seu Formulário 8-K.

Devem também divulgar as políticas e práticas da empresa para a gestão dos riscos de segurança cibernética, bem como a forma como a gestão participa na sua implementação.

O processo que o conselho de administração da empresa utiliza para supervisionar o risco de segurança cibernética, bem como a experiência em segurança cibernética de qualquer membro do conselho, também deve ser divulgado.

Esta proposta contribuirá muito para ajudar o risco e a estratégia de segurança cibernética a se tornarem uma conversa a nível do conselho de administração – um desenvolvimento há muito necessário. Também ajudará a aumentar os gastos das empresas com a segurança cibernética e a impulsionar a procura de conhecimentos sobre segurança cibernética a nível do conselho de administração. E também sublinhará a importância de incluir os CISOs nestas conversas e decisões a nível do conselho.

Investigando os detalhes

Em 23 de março de 2022, a SEC apresentou uma proposta para melhorar e padronizar as divulgações feitas por empresas públicas que são obrigadas a cumprir os requisitos de relatórios do Securities Exchange Act de 1934. Os requisitos referem-se à gestão de riscos de segurança cibernética, estratégia, governança e Relatórios de incidentes. Os eventos importantes de cibersegurança teriam de ser comunicados, as políticas e procedimentos de cibersegurança teriam de ser divulgados regularmente e o conselho de administração teria de supervisionar o risco de cibersegurança.

Quando uma instituição financeira conclui que teve um incidente substancial de segurança cibernética depois que esses requisitos da SEC se tornam lei, ela tem quatro dias úteis para divulgá-lo. O relatório Formulário 8-K – que as empresas devem submeter à SEC para anunciar eventos significativos que os acionistas precisam conhecer – precisará ser alterado como parte do processo de divulgação. O novo plano também exige a divulgação de uma série de incidentes individuais de cibersegurança anteriormente não relatados que, em conjunto, têm consequências graves.

Suas políticas expostas

O novo plano de gestão de riscos, estratégia e divulgação de governação é ainda mais significativo do que a secção de relatórios de incidentes da proposta. As políticas e práticas de gestão de riscos de cibersegurança de uma empresa pública serão expostas nesta secção da proposta. As empresas também devem divulgar como o conselho de administração supervisiona os riscos de segurança cibernética.

Além disso, as empresas devem divulgar o papel da gestão executiva na avaliação do risco de segurança cibernética e na execução das políticas e procedimentos da empresa. Este processo é semelhante à publicação on-line do “boletim escolar” de uma organização para revisão e comentários públicos.

Ao abrigo do novo regulamento, as empresas devem divulgar as suas políticas e processos para identificar e gerir riscos de ataques à cibersegurança. Se nada estiver em vigor, a SEC irá notar e isso poderá resultar em consequências importantes, como multas e penalidades por não conformidade. As empresas também terão de dizer se a cibersegurança faz parte da sua estratégia empresarial, planeamento financeiro e alocação de capital.

Por último, mas não menos importante, o novo regulamento determina que todos os membros do conselho que possuam conhecimentos especializados em segurança cibernética devem declará-los no relatório anual e em algumas declarações de procuração. O conselho deve ter especialistas internos e externos no assunto de segurança cibernética (PMEs). As PME externas devem fornecer conhecimentos especializados e as PME internas devem fornecer o conhecimento institucional.

Cibersegurança: um imperativo de liderança

As fissuras na armadura da segurança cibernética são criadas por pessoas. Tornar a sua equipe parte integrante da solução, e não do problema, é a única maneira de lidar com essa realidade. O conselho de administração normalmente está no topo da estrutura organizacional; é aqui que deve começar a atenção às novas regras. E devem dotar os funcionários de formação contínua e de novas tecnologias.

Uma das obrigações fiduciárias mais importantes que os diretores e executivos têm hoje é a segurança cibernética. O conselho deve ter certeza de que as diretrizes e práticas de segurança cibernética estão sendo seguidas. Os líderes devem estabelecer e nutrir uma cultura de consciência de risco em toda a empresa, o que permite uma melhor tomada de decisões.

Conformidade no horizonte

Quer percebamos ou não, o sector dos serviços financeiros é essencial para todos nós. Deve ser fortalecido e protegido – e agora, não mais tarde.

Novas regulamentações estão surgindo à luz deste fato e o cumprimento não é opcional. As empresas devem alinhar as suas políticas e procedimentos com a SEC e outros organismos reguladores internacionais, a fim de tornar o mundo digital mais seguro para investidores e consumidores.

Sobre o autor:

Michael Brown é CISO de campo para serviços financeiros na empresa de segurança cibernética Fortinet.

Ele é especialista em regulamentações de segurança cibernética, impacto ESG, SD-WAN, SD-Branch, Zero Trust, segurança de negociação eletrônica de baixa latência, SASE e soluções multinuvem.