SEC se concentra em precisão e integridade

À medida que a SEC exerce um escrutínio cada vez maior sobre as divulgações de segurança cibernética, alguns líderes e conselhos de empresas enfrentam um desafio crítico de conformidade.

Você não pode divulgar informações que não possui, e os requisitos de conformidade exigem detalhes que podem não estar prontamente disponíveis para algumas empresas.

“Como executivo C-level  ou membro de conselho, você precisa garantir que sua organização tenha processos e controles implementados para divulgar informações completas e precisas”, disse Forrest Frazier, sócio de Auditoria Estratégica e Serviços de SOC da Grant Thornton.

Os riscos de conformidade relacionados com divulgações de segurança cibernética aumentaram significativamente desde julho, quando a SEC emitiu novos requisitos para a divulgação anual das funções do conselho e da administração no gerenciamento de ameaças à segurança cibernética, bem como dos processos de segurança cibernética. Violações substanciais também devem ser divulgadas dentro de quatro dias.

“Há um nível de detalhe e precisão que a SEC espera que os registrantes reportem em torno da segurança cibernética ao preencherem seus relatórios 10-K e 8-K”, disse Max Kovalsky, Diretor de Serviços de Privacidade e Segurança Cibernética da Grant Thornton.

Atualizações na gestão e na governança

Muitas empresas fizeram alterações na gestão e na governança dos seus programas de segurança cibernética como resultado da nova exigência da SEC, de acordo com uma pesquisa da audiência de um recente webcast da Grant Thornton.

Como resultado da nova exigência, entre os entrevistados da pesquisa que não responderam “inseguro”:

  • 28%
  • 22%
  • 19%
  • 28%
    fizeram alterações nos seus processos de gestão de riscos cibernéticos e de governança de riscos cibernéticos
  • 22%
    fizeram alterações apenas nos seus processos de gestão de riscos cibernéticos
  • 19%
    fizeram alterações apenas nos seus processos de governança de risco cibernético

Divulgações completas e precisas

Kovalsky disse que devido à natureza mutável das ameaças à segurança cibernética e às constantes mudanças na tecnologia, todo controle de cibersegurança está em algum estado de evolução.

As empresas estão acostumadas a divulgar informações internamente sobre o estado das práticas e controles de segurança cibernética. Os CFOs têm-se reunido com CIOs e CISOs há anos para discutir a eficácia dos controles, gestão de ameaças, riscos potenciais e riscos que podem ainda não ser mitigados de forma satisfatória.

“Mas isso é muito diferente de dizer que você está pronto para divulgar isso ao público”, disse Frazier. “Assim como no MD&A, cabe à administração garantir que o que é divulgado seja completo e preciso.”

No entanto, Kovalsky disse que um elemento do ambiente de negócios pode impedir uma divulgação completa e precisa. Às vezes, os CISOs participam de reuniões do conselho sob pressão de outros executivos para fazer com que os processos e proteções de gerenciamento de riscos de segurança cibernética de uma organização pareçam mais maduros do que realmente são.

Se o conselho não tiver uma avaliação completa dos riscos decorrentes dessas pressões, é mais provável que as divulgações à SEC sejam incorretas. “Os conselhos precisam estar preparados para fazer perguntas mais detalhadas e pontuais. Deve ser uma expectativa razoável que o CISO não apenas descreva os riscos em termos qualitativos, mas também os quantifique para o conselho ou comitê encarregado da supervisão do risco cibernético.” Kovalsky disse.

Perguntas gerais sobre segurança cibernética podem incluir:

  • Perguntas gerais sobre segurança cibernética podem incluir:

    Que modelo a administração utiliza para desenhar o seu programa de gerenciamento de riscos e que modelo a administração usa para comunicar informações sobre a sua segurança cibernética?

  • Perguntas gerais sobre segurança cibernética podem incluir:

    Foi realizada uma avaliação do programa de gerenciamento de riscos de segurança cibernética da organização por um terceiro independente?

  • Perguntas gerais sobre segurança cibernética podem incluir:

    Que controles e processos existem para prevenir, detectar, responder e reparar ataques cibernéticos?

  • Perguntas gerais sobre segurança cibernética podem incluir:

    Quais são os potenciais impactos financeiros dos riscos inerentes e residuais? E isso está dentro do nosso apetite de risco?

  • Perguntas gerais sobre segurança cibernética podem incluir:

    Quais são os retornos dos nossos investimentos em segurança cibernética?

  • Perguntas gerais sobre segurança cibernética podem incluir:

    A empresa realiza exercícios regulares de planejamento de cenários para praticar como reagiria em caso de violação? (E esses exercícios revelam alguma deficiência?)

  • Perguntas gerais sobre segurança cibernética podem incluir:

    Que modelo a organização utiliza para determinar a materialidade em relação à violações e divulgações?

Os conselhos deveriam perguntar quais processos estão em vigor para capturar as respostas à todas essas perguntas e os dados necessários para relatórios internos e externos.

Um dos primeiros passos para decidir se um incidente de segurança cibernética é substancial pode ser o desenvolvimento de um modelo. Entre os entrevistados da pesquisa da Grant Thornton que não responderam “inseguro”, apenas 9% identificaram os drivers de materialidade e testaram o modelo durante um exercício real. Outros 24% identificaram os drivers de materialidade, mas não os testaram, e 40% estão em processo de desenvolvimento de um modelo. Mais de um quarto (27%) ainda não começou a desenvolver um modelo.

Terceiros trazem objetividade

Os conselhos podem encorajar uma perspectiva valiosa, nova e neutra, perguntando se a administração contratou terceiros para realizar uma avaliação independente do programa de gestão de riscos de segurança cibernética da organização. Profissionais terceirizados normalmente possuem profundo conhecimento de segurança cibernética, obtido através do trabalho com muitos clientes diferentes, e suas observações podem lançar uma nova luz sobre o gerenciamento de riscos de cibersegurança de uma organização.

Everson_round.png“Ser suportada por empresa terceira na avaliação de seu programa de gestão de riscos cibernéticos traz à companhia e seu conselho administrativos alguns confortos”, afirma Everson Probst, sócio líder de Segurança Cibernética da Grant Thornton Brasil. “Primeiro, garante a independência na avaliação e formalização dos resultados. Isso traz maior segurança para a empresa em relação às informações que poderão ser divulgadas e compartilhadas publicamente.

Segundo, mitiga o risco de conflito de interesse na realização da avaliação pelos times internos da empresa, que frequentemente são pressionados para atender requisitos de negócio não necessariamente mais seguros ou a indicar um nível de segurança superior ao estabelecido na empresa.

Por fim, a credibilidade. Ter a avaliação conduzida por uma empresa terceira, especializada e independente traz credibilidade para os resultados que serão compartilhados.”

O conselho tem mais perguntas a fazer quando a maturidade dos controles é baixa, independentemente se informação ser revelada no relatório do CISO ou em uma análise de terceiros. Nesse ponto, Kovalsky disse que o conselho deveria perguntar:

  • A quais riscos os controles insuficientes expõem a organização?
  • O que está sendo feito para melhorar a maturidade dos controles?
  • Qual é a medida quantificável dos riscos remanescentes ou residuais?

Kovalsky disse que as organizações com um nível mais alto de maturidade em segurança cibernética empregam painéis de risco cibernético que automatizam o levantamento e a análise de dados para responder a muitas das perguntas acima.

Esses painéis permitem relatórios consistentes e orientados por processos para o conselho, com um nível de detalhe que pode permitir uma melhor governança da segurança cibernética. Em última análise, o levantamento e a compilação das principais métricas de segurança cibernética que alimentam os painéis inspiram disciplina, rigor e consistência em torno dos dados, o que também pode ajudar as organizações no fornecimento de informações precisas e completas sobre riscos e incidentes aos investidores e à SEC.

Os conselhos também precisam considerar se seus membros apoiam suficientemente uma governança eficaz de cibersegurança. Quando necessário, os conselhos devem contratar regularmente profissionais terceirizados para fornecer educação sobre práticas e questões de segurança cibernética. Também é importante que pelo menos um membro do conselho tenha ampla experiência no assunto.

A orientação da SEC de julho não exige que os registrantes divulguem a extensão do conhecimento e experiência em segurança cibernética de seus conselhos. Mas os riscos de conformidade aumentam o valor e a necessidade de experiência em segurança cibernética nos conselhos.

“Tal como acontece com os conhecimentos financeiros ou jurídicos, os conselhos devem certificar-se de que possuem a tecnologia da informação e os conhecimentos de cibersegurança necessários para cumprir com suas responsabilidades de governança”, disse Frazier.

Deixando a luz do sol entrar

No passado, algumas empresas tentaram divulgar o mínimo possível sobre segurança cibernética para evitar potenciais responsabilidades e questões legais. Essa prática de divulgação mínima foi derrubada pelas exigências da SEC e exige uma nova forma de comunicação que deve ser considerada cuidadosamente pela administração e pelo conselho.

A pesquisa realizada no webcast da Grant Thornton mostra que muitas empresas tomaram medidas para cumprir com esses requisitos de reporte, mas algumas ainda têm trabalho a fazer. Entre os entrevistados que não responderam “não tenho certeza”, quase um quarto (23%) identificou riscos substanciais de segurança cibernética que serão reportados no próximo 10-K com linguagem revisada. Um terço identificou riscos substanciais de segurança cibernética, mas ainda não tem certeza de como estruturar a redação dos relatórios.

Mas 44% dos entrevistados não identificaram riscos substanciais de segurança cibernética enquanto se preparam para cumprir a regra. Para evitar a exposição regulatória, é importante que examinem esses riscos cuidadosamente e sejam precisos ao descrevê-los nos relatórios da empresa.

“Uma linguagem vaga e imprecisa já não é suficiente quando comunicam aos investidores sua postura de segurança cibernética”, disse Kovalsky. “O cerne da questão é que a SEC continua se referindo às expectativas dos investidores de conhecer toda a extensão dos riscos. As empresas devem estar atentas a isso quando falam sobre segurança cibernética.”

“Além disso, espera-se que os requisitos trazidos pela SEC incentivem o crescimento de uma cultura de segurança nas empresas, na medida em que eles são exigidos para proteção das empresas e seus investidores. Não se trata apenas de medir a maturidade dos processos de segurança e resiliência cibernética, mas de estimular a adoção de controles de segurança conectados com o risco cibernético da empresa de forma eficaz e efetiva.”

Cta solicite uma proposta