O que os conselhos de administração de fundos precisam saber sobre segurança cibernética

Os executivos de gestão de fundos e os diretores do conselho desempenham um papel crucial em ajudar as empresas de gestão de ativos a navegar pela segurança cibernética. À medida que os custos financeiros, operacionais e de reputação do risco cibernético continuam a aumentar, a colaboração bem-sucedida entre gestores de fundos
executivos, executivos de segurança cibernética e o conselho é essencial para uma supervisão eficaz da segurança cibernética.

Criação acelerada de regras

A Securities and Exchange Commission (SEC) propôs regras que exigem que os consultores de investimentos registados e as empresas de investimento adotem e implementem políticas e procedimentos escritos para a segurança cibernética.

Além disso, eles precisariam relatar à SEC incidentes significativos de segurança cibernética que afetem o consultor de investimentos, ou os fundos que ele assessora, no prazo de 48 horas após determinar que um incidente é significativo.

As empresas também precisariam divulgar os riscos e incidentes de segurança cibernética nos seus documentos de divulgação e implementar uma nova política rigorosa de manutenção de registos relacionados com a segurança cibernética.

Os conselhos também podem ser obrigados a aprovar as políticas e procedimentos de segurança cibernética de determinados prestadores de serviços de fundos registados, tais como o seu consultor de investimentos, subscritor principal, administrador ou agente de transferência.

A principal intenção das regras é garantir que os conselhos supervisionem ativamente o programa de segurança cibernética e sejam responsabilizados pela sua administração. Uma intenção adicional é proteger o mercado, evitando um cenário em que vários fundos não consigam
executar operações importantes ao mesmo tempo.

As propostas não abrem novos caminhos nem impõem requisitos onerosos em comparação com abordagens utilizadas noutras indústrias ou codificadas na maioria das normas de segurança cibernética.

No entanto, poderá ser necessário tentar recuperar o atraso em relação a consultores e famílias de fundos mais pequenos, a fundos atualmente subinvestidos em segurança cibernética ou a fundos que não exercem supervisão regular da segurança cibernética pelo conselho de administração.

Preparando-se

O programa de segurança cibernética deve ser adaptado ao negócio, mas as lojas de fundos devem sempre incluir avaliação de riscos, gestão de ameaças e acesso, gestão de vulnerabilidades e considerações de resposta e recuperação de incidentes de segurança cibernética em suas políticas
e procedimentos.

As propostas da SEC exigem que os diretores do conselho de fundos aprovem inicialmente essas políticas e procedimentos e posteriormente revisem o relatório escrito sobre incidentes de segurança cibernética e quaisquer alterações materiais.

No desempenho das suas funções de supervisão, os diretores do conselho devem procurar informações para compreender os potenciais riscos de segurança cibernética e as principais características e operações do programa. Devem avaliar a eficácia do programa de segurança cibernética e a sua
implementação e se o fundo dispõe de recursos adequados para a segurança cibernética.

As avaliações de risco exigidas pelas propostas ajudariam o conselho a determinar o âmbito, a complexidade e a natureza dos desafios de segurança cibernética que a loja de fundos enfrenta e a eficácia do seu programa cibernético.

De acordo com as propostas, a responsabilidade conjunta pela prestação de contas ao conselho poderia ser atribuída a um profissional de segurança cibernética e a um representante comercial do fundo. Trabalhando em conjunto, esses executivos precisariam colaborar para garantir que o conselho receba relatórios
e aconselhamento que lhe permita cumprir a sua função de supervisão.

O conselho deve estar satisfeito com o facto de o programa de segurança cibernética compreender plenamente as prioridades da organização, envolver-se regularmente com as partes interessadas apropriadas no negócio e abordar com sucesso o risco empresarial relacionado com a segurança cibernética.

A função cibernética deve comunicar potenciais riscos comerciais às pessoas com mais conhecimento sobre o negócio. A informação deve ser entregue às partes interessadas utilizando uma linguagem que elas compreendam e tendo em mente o seu ponto de vista e prioridades.

Como trabalhar com executivos de segurança cibernética

Os conselhos devem garantir que o conhecimento técnico da função cibernética seja traduzido em informações significativas e relevantes para o conselho. Isto pode exigir que abordem a tendência dos profissionais de segurança cibernética de cair na “armadilha da especialização”
onde a função cibernética espera que o conselho compreenda os aspectos técnicos da segurança cibernética.

Se as empresas determinarem que os seus executivos de segurança cibernética ainda não estão preparados para o conselho, poderão contratar um consultor com experiência em segurança cibernética para apoiar o processo. Por exemplo, um especialista externo pode ajudar a desenvolver a perspicácia empresarial do profissional cibernético, propor
perguntas relevantes para eles, esclarecer suas opiniões e respostas ao conselho e recomendar coaching executivo.

O Buck pára aqui

A função de segurança cibernética pode fornecer foco, promover a conscientização e desenvolver ferramentas para apoiar a segurança cibernética, bem como destacar processos e decisões que levam a uma segurança deficiente. Mas não pode ser o único responsável pela segurança cibernética.

Os conselhos de administração devem reconhecer que a cibersegurança não é apenas domínio dos profissionais de tecnologia, mas também um imperativo estratégico e, finalmente, dispensar a noção de que “nós fazemos negócios, você faz segurança”.

O programa cibernético precisa do apoio do conselho e do CEO para ser verdadeiramente eficaz. Os diretores do conselho devem observar que os executivos que reportam ao conselho sobre segurança cibernética podem orientar e aconselhar, mas a responsabilidade pela segurança cibernética deve caber ao CEO. Pranchas
devem estar cientes do papel fundamental do CEO na condução da cultura de segurança cibernética de uma organização, incorporando-a em todos os níveis da empresa e promovendo a colaboração entre executivos.

Ao avaliar a eficácia do programa de segurança cibernética, os conselhos avaliam essencialmente o desempenho do CEO, bem como o do diretor de segurança da informação (CISO) e de outros executivos de segurança cibernética ou representantes de negócios de fundos que relatam
ao conselho sobre questões cibernéticas.

Num ecossistema de gestão de fundos em constante expansão e interconectado, os conselhos devem garantir um entendimento compartilhado entre os diretores, a alta administração e os executivos de tecnologia sobre como o risco cibernético é abordado e mitigado em toda a cadeia de valor dos consultores.
complexos de fundos e prestadores de serviços terceirizados.

Acertar na segurança cibernética é crucial para que as empresas de fundos protejam a confiança dos investidores e dos clientes, protejam a marca e a reputação e aumentem a sua vantagem competitiva num mundo cada vez mais digital.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.finextra.com/blogposting/25917/what-fund-management-boards-need-to-know-about-cybersecurity?utm_medium=rssfinextra&utm_source=finextrablogs