Governança e Programa Corporativo de Segurança da Informação e Cibernética
08, Ago. 2023
Artigo ABGR – Agosto-2023
José Fontenelle
A recente aprovação pela SEC (Securities and Exchange Commission - https://www.sec.gov/) de novas regras* sobre Estratégia, Governança e Gerenciamento de Riscos de Segurança Cibernética, assim como a divulgação da ocorrência de incidentes de segurança cibernética, para as empresas públicas americanas e emissores privados estrangeiros (FPIs - Foreign Private Issuers) reforça a importância e a urgência de que as empresas adotem melhores práticas de Governança, Gestão de Riscos, Compliance (GRC) e Auditoria Contínua de Segurança da Informação e Cibernética (SIC).
A Governança de SIC é um subconjunto da Governança Corporativa e tem como objetivo o direcionamento estratégico, a liderança e a definição de um framework para a implementação do Programa de SIC corporativo. O framework de Governança de SIC, p.e., o COBIT da ISACA, é o guia de referência para o desenvolvimento, implementação e melhoria contínua de um Programa Corporativo de SIC. A Governança Corporativa de SIC deve considerar fatores estratégicos e estruturantes a nível organizacional, que irão direcionar e suportar a implementação do Programa de SIC, como p.e.:
• a Estratégia de SIC alinhada com a Governança Corporativa, com os objetivos estratégicos, com o apetite de risco e com as necessidades de conformidade regulatória da Organização;
• os requerimentos e objetivos estratégicos, táticos e operacionais de SIC da Organização;
• a Estrutura Organizacional, papéis e responsabilidades da área de SIC e a Arquitetura necessária para suportar a implementação do Programa;
• a metodologia de Gerenciamento dos Riscos de SIC a ser adotada;
• os direcionadores de Gestão para a área de SIC (Leis, Regulações, Políticas, Processos, Procedimentos, Padrões, Orçamento, etc);
• fatores internos e externos que influenciem ou comprometam, direta ou indiretamente, o nível de SIC da Organização;
• Indicadores e Métricas para avaliação e reporte do andamento do Programa de SIC (KGIs, KPIs, KRIs, ROIs);
• padrões para realização de auditorias contínuas no Programa e na área de SIC da Organização, para assegurar que os resultados esperados estejam sendo obtidos com eficiência, eficácia, efetividade em custos e dentro dos níveis estabelecidos.
O Programa Corporativo de SIC é um componente fundamental para que a Organização consiga implementar e manter o nível de segurança adequado ao seu negócio e apetite de risco, sendo composto por alguns elementos-chave, técnicos e de gestão, envolvendo pessoas, processos e tecnologias, de forma holística e integrada, em toda organização e sua cadeia de suprimentos, não havendo um padrão único que seja adequado para todas as Organizações, cabendo a cada uma a definição desses elementos-chave que irão compor o seu Programa de SIC Corporativo. A seguir, de forma não exaustiva, listamos alguns exemplos desses elementos-chave que devem ser considerados em um Programa de SIC Corporativo:
• Visão, Missão e Valores de SIC;
• Análise SWOT e BSC de SIC;
• Políticas, Processos, Procedimentos, Padrões e Baselines;
• Segurança Física;
• Segurança em Camadas dos Ativos de Informação, de Redes e Comunicações;
• Segurança no Desenvolvimento de Sistemas, Softwares, Aplicativos, Produtos e Serviços, by Design & by Default;
• Gerenciamento de Identidade e de Acesso, de Usuários finais, Desenvolvedores, Administradores de TI e de Sistemas (IAM & PAM);
• Gerenciamento de Riscos de SIC;
• Gerenciamento dos Processos críticos de SIC, p.e.: Ativos, Configurações, Mudanças, Vulnerabilidades, Patches, Atualizações, Monitoramento Contínuo, Incidentes, Testes de Invasão, Auditorias, Investigações, Riscos de Terceiros e Cadeia de Suprimento, Orçamentos;
• Avaliações e Testes de SIC;
• Plano de Resposta a Incidentes de SIC;
• Planos de Continuidade de Negócio e Recuperação de Desastres (PCN/PRD);
• Campanha de Treinamento e Conscientização em SIC;
• Avaliações regulares (pelo menos anuais) de SIC com base em frameworks, padrões e melhores práticas reconhecidos de mercado, p.e.: ISO 27.000, NIST CSF (Cyber Security Framework), CIS Critical Security Controls, MITRE ATT&CK;
• Implementação de um Centro de Operações de Segurança (SOC – Security Operations Center) multifuncional, com atuação defensiva, ofensiva e proativa, em regime contínuo (24x7x365);
• Melhoria contínua do Programa.
Resumo dos requerimentos da nova regra da SEC*:
• exigirão que os registrantes divulguem no novo Item 1.05 do Formulário 8-K qualquer incidente de segurança cibernética que determinem ser material e descrevam os aspectos materiais da natureza, escopo e momento do incidente, bem como seu impacto material ou razoavelmente provável impacto material sobre o registrante.
• adicionam o Regulamento S-K Item 106, que exigirá que os registrantes descrevam seus processos, se houver, para avaliar, identificar e gerenciar riscos materiais de ameaças de segurança cibernética, bem como os efeitos materiais ou efeitos materiais razoavelmente prováveis de riscos de segurança cibernética ameaças e incidentes anteriores de cibersegurança.
• o item 106 exigirá que os registrantes descrevam a supervisão do conselho de administração sobre os riscos de ameaças à segurança cibernética e o papel e experiência da administração na avaliação e gerenciamento de riscos materiais de ameaças à segurança cibernética. Essas divulgações serão exigidas no relatório anual do registrante no Formulário 10-K.
• exigem divulgações comparáveis por emissores privados estrangeiros (FPIs) no Formulário 6-K para incidentes relevantes de segurança cibernética e no Formulário 20-F para gerenciamento, estratégia e governança de riscos de segurança cibernética.
• entrarão em vigor 30 dias após a publicação da versão de adoção no Registro Federal.
• As divulgações dos Formulários 10-K e 20-F serão devidas a partir dos relatórios anuais para os anos fiscais encerrados em ou após 15 de dezembro de 2023.
• As divulgações dos Formulários 8-K e 6-K serão devidas a partir dos 90 dias seguintes após a data de publicação no Federal Register ou 18 de dezembro de 2023.
• As empresas menores terão 180 dias adicionais antes de começarem a fornecer a divulgação do Formulário 8-K.
Concluímos reforçando a necessidade, importância, urgência e os benefícios da adoção pelas Organizações de uma robusta Governança, Gestão de Riscos, Compliance (GRC) e Auditoria Contínua de Segurança da Informação e Cibernética e da implementação de um Programa de SIC corporativo.
* SEC Adopts Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies
https://www.sec.gov/news/press-release/2023-139
José Fontenelle, CISO Trust Advisor – Assessor de Segurança da Informação da ABGR
CEH, CISM, CISSP, CISA, CRISC, CGEIT, CDPSE
https://www.linkedin.com/in/josefontenelle/
---------------------------------------------------------------------------------