-
Gestão eficiente da cadeia de suprimentos hospitalar
Consolidação, redução de custos de aquisições, padronização e otimização do processo de compras
-
Auditoria interna hospitalar
Solução de data analytics para execução de auditoria interna focada no setor da saúde, garantindo maior agilidade e precisão na tomada de decisões
-
RN 443 – Implantação geral e emissão de PPA
Maiores controles internos e gestão de riscos para fins de solvência das operadoras de planos de assistência à saúde
-
RN 452 – Apoio da estruturação da auditoria interna de compliance
Avaliação de resultados das operadoras de saúde para assegurar conformidade legal em seus processos
-
Relatório SOC 2
Com Relatório SOC, certificação e parecer independente é possível agregar credibilidade aos beneficiários do setor de saúde sobre os processos internos e controles
-
Energia e tecnologia limpa
Soluções para para geradores, investidores ou concessionárias prestadoras de serviços públicos que desejam investir no mercado de energia sustentável.
-
Petróleo e Gás
Auxiliamos sua empresa na procura de opções de financiamento, gerenciamento de risco e na criação de legitimidade local para operar.
-
Mineração
Construção de força de trabalho com mais mobilidade, entendimento das alterações da legislação e elaboração de processos para gerenciar riscos de corrupção.
Importante destacar que atualmente grandes empresas brasileiras têm suas ações listadas nas bolsas norte-americanas, e esse número só vem aumentando ao longo da última década. Além disso, no Brasil temos diversas companhias subsidiárias de empresas que têm ações listadas em Nova Iorque e que, por melhores práticas, alinham suas políticas àquelas adotadas pelas matrizes americanas.
Por tudo isso, essa determinação da SEC demonstra a necessidade de as companhias construírem um Sistema de Gestão da Segurança da Informação cada vez mais robusto. Isso porque, em caso de incidentes cibernéticos reportados, essas empresas estarão à mercê de questionamentos dos investidores e do mercado quanto à capacidade das empresas no gerenciamento de questões relacionadas à segurança cibernética que, caso não demonstrada, pode trazer um risco reputacional e quebra da confiança de investidores.
Entre as competências que podem ser alvo de questionamentos e avaliações dos investidores, destacamos:
- Se a empresa possui um Programa de Segurança da Informação e Segurança Cibernética;
- Se possui riscos cibernéticos devidamente mapeados e se possui um processo de gerenciamento dos riscos atualizados;
- Se possui políticas voltadas à segurança cibernética;
- Quais as medidas de mitigação utilizadas para o monitoramento e a detecção de eventos de segurança;
- Se possui políticas e procedimentos de gerenciamento de incidentes;
- Se possui uma estrutura de Governança de Segurança e Tecnologia da Informação.
A expectativa é que os requisitos de divulgação de incidentes relevantes entrem em vigor a partir do dia 18 de dezembro de 2023. As divulgações atingem todas as entidades registradas na SEC para os exercícios fiscais encerrados em 15 de dezembro de 2023 ou posterior a essa data. No entanto, empresas menores terão 180 dias adicionais antes de serem obrigadas a fornecer as divulgações do Formulário 8-K.
Em relação aos dados da violação de segurança que devem ser divulgados, destaca-se:
- A data da descoberta da violação e o status atualizado do incidente;
- Breve descrição da natureza da violação e a extensão do incidente;
- Indicação de todos os dados que possam ter sido comprometidos, alterados, acessados ou usados sem autorização;
- Indicação do impacto desta violação nas operações da empresa;
- Informações sobre as ações de mitigação e remediação do incidente, tanto em andamento quanto já concluídas pela empresa.
Com essa nova regulamentação, a SEC busca dar elementos e maior transparência aos investidores na tomada de decisões acerca dos seus investimentos.
Vale destacar que a necessidade de reportes de incidentes não é uma novidade para as empresas brasileiras. Isso porque a própria Lei Geral de Proteção de Dados (LGPD) impõe aos controladores, em seu art. 48, o dever de comunicar aos titulares e à Autoridade Nacional de Proteção de Dados (ANPD) a ocorrência de incidentes que possam causar riscos ou danos relevantes aos titulares.
As obrigações de reporte, tais como as da SEC e da ANPD, só reforçam a necessidade, cada vez mais latente, de um investimento claro na modernização dos processos de segurança cibernética e na estruturação da governança nas empresas, a fim de manter a transparência aos stakeholders e garantir uma melhoria contínua da gestão estratégica de riscos.