Nova regulamentação da SEC eleva risco cibernético a um risco corporativo estratégico

* Esse artigo é a segunda parte do texto Nova regulamentação da SEC irá mudar paradigma de segurança cibernética em empresas, publicado em 1º de agosto de 2023

A aprovação da regra da SEC é um daqueles divisores de águas no mundo corporativo. O risco cibernético não pode mais ser visto e tratado como uma mera questão técnica, mas precisará ser tratado como um risco corporativo estratégico, mesmo em empresas que estão atrasadas na adoção das melhores práticas de gerenciamento de risco cibernético.

Isso também é consistente com as melhores práticas recomendadas pelas principais instituições de governança, como o NACD e o Fórum Econômico Mundial.

A discussão sobre governança e prestação de contas amadurecerá

Se a gestão de riscos cibernéticos deve agora ser vista como um meio para uma empresa executar sua estratégia – digital ou não -, a implicação é que a responsabilidade por ela não recai mais apenas sobre os ombros da pessoa que gerencia a segurança cibernética na empresa, mas precisa envolver todas as principais partes interessadas nos negócios, desde o conselho até os líderes de negócios, finanças, jurídico e TI.

Isso significa que as principais partes interessadas, como CISOs, Conselheiros Gerais e Líderes de Negócios, devem trabalhar juntas para entender as implicações dos incidentes cibernéticos em suas operações, antes de divulgá-los. Os Conselhos não poderão mais alegar ignorância sobre as repercussões dos riscos e incidentes cibernéticos.

As melhores práticas, conforme recomendadas pelo NACD em seu Manual de Supervisão de Risco Cibernético de 2023, teriam o CISO como o fornecedor de opções de segurança a serem consideradas pela empresa, os líderes de negócios como os proprietários do risco e o conselho como os supervisores do risco pois avaliam a adequação do orçamento de segurança cibernética e dos processos de gerenciamento de riscos e aprovam os níveis de tolerância a riscos da empresa.

Ter um programa formal de gerenciamento de riscos cibernéticos se tornará uma prática recomendada padrão

A nova regra da SEC exigirá que as empresas sejam mais transparentes e explícitas sobre suas práticas de gerenciamento de riscos cibernéticos e forçará um reexame se suas práticas atuais são adequadas aos olhos de seus acionistas e de seus clientes. Aquelas que querem ser vistas na vanguarda das iniciativas de segurança por design e exemplos em suas práticas de gerenciamento de riscos cibernéticos, ou querem correr o risco de serem vistos como retardatários em termos de melhores práticas e menos preparadas para suportar o impacto de ameaças cibernéticas?

A nova regra por si só não eliminará o fato de que certas empresas ainda podem ver o gerenciamento de riscos cibernéticos como algo bom de se ter em vez de obrigatório e tentarão se esconder atrás de declarações genéricas e de alto nível, mas será mais difícil fazer isso. Seus conselhos internos e externos certamente garantirão que essas discussões aconteçam e que as decisões sejam tomadas.

Os programas de gerenciamento de risco cibernético terão que ser eficazes para ajudar a medir e gerenciar o risco material

A maioria das empresas não possui sistemas eficazes para identificar, medir, priorizar, gerenciar e relatar sobre o risco cibernético e, portanto, não conseguem se comunicar de forma confiável sobre seus principais riscos e entender quando eles se tornam “materiais” no impacto. Muitas das divulgações atuais ainda dependem de estimativas subjetivas qualitativas sobre a natureza e o impacto dos riscos.

As novas perguntas mais rigorosas dos examinadores da SEC forçarão as empresas públicas a criar processos que forneçam os resultados desejados, que devem fornecer visibilidade contínua de seus principais riscos cibernéticos, medidos em termos de probabilidade e impacto.

As empresas melhorarão na definição de materialidade

A ameaça de possíveis ações legais e penalidades pela SEC levará as empresas a pensar muito mais sobre suas definições de materialidade, o que seus acionistas considerariam um incidente relevante e o que precisam fazer para evitar serem acusadas de subestimar a importância de certos incidentes cibernéticos. Atualmente, a maioria das empresas não está equipada com os meios certos para determinar a materialidade, a não ser em termos qualitativos vagos e de alto nível.

A informação é relevante se “existir uma probabilidade substancial de que um acionista razoável a considere importante” ao tomar uma decisão de investimento, ou se ela tiver “alterado significativamente a ‘combinação total’ de informações disponíveis”, decidiu a Suprema Corte dos EUA.

“Se uma empresa perde uma fábrica em um incêndio ou milhões de arquivos em um incidente de segurança cibernética, pode ser muito importante para os investidores”, disse Gary Gensler, presidente da SEC, na reunião de ontem dos comissários da agência.

Embora a SEC reconheça que em alguns casos será difícil quantificar a probabilidade e o impacto financeiro de certos riscos e incidentes, espera-se que seja a norma na maioria dos casos. Espera-se que as empresas tenham a capacidade de detalhar e quantificar como as perdas se materializam para seus principais riscos e incidentes cibernéticos.

Essa será uma função de força para as empresas adotarem modelos confiáveis de quantificação de riscos cibernéticos, como o FAIR, e adotarem ferramentas que lhes forneçam visibilidade de seus principais riscos como facilitadores-chave para determinar e comunicar riscos e “materialidade” de incidentes.

A avaliação e o gerenciamento de riscos cibernéticos se tornarão cada vez mais em tempo real

A necessidade de as empresas avaliarem se certas ameaças cibernéticas podem evoluir para incidentes materiais fará com que adotem cada vez mais soluções automatizadas de monitoramento de riscos cibernéticos em tempo real que possam medir continuamente a probabilidade e o impacto de seus principais riscos em termos financeiros. As soluções que podem fornecer apenas visões estáticas e qualitativas do risco não serão mais suficientes.

Tempos emocionantes. Às vezes, é necessária a função de imposição de uma regulamentação para ajudar a amadurecer as principais práticas de negócios e ajudar a transformar o que era uma “arte” em uma “ciência de negócios”. Este parece um daqueles momentos para a consolidação do gerenciamento de riscos cibernéticos em todas as empresas.

* Leonardo Scudere é Cyber Security Sales & Strategy; Risk Management; Digital Transformation Executive – THUNDERBIRD, the American Graduate School of International Management

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!