Artigo ABGR – Agosto-2023

José Fontenelle

A recente aprovação pela SEC (Securities and Exchange Commission - https://www.sec.gov/) de novas regras* sobre Estratégia, Governança e Gerenciamento de Riscos de Segurança Cibernética, assim como a divulgação da ocorrência de incidentes de segurança cibernética, para as empresas públicas americanas e emissores privados estrangeiros (FPIs - Foreign Private Issuers) reforça a importância e a urgência de que as empresas adotem melhores práticas de Governança, Gestão de Riscos, Compliance (GRC) e Auditoria Contínua de Segurança da Informação e Cibernética (SIC).

A Governança de SIC é um subconjunto da Governança Corporativa e tem como objetivo o direcionamento estratégico, a liderança e a definição de um framework para a implementação do Programa de SIC corporativo.  O framework de Governança de SIC, p.e., o COBIT da ISACA, é o guia de referência para o desenvolvimento, implementação e melhoria contínua de um Programa Corporativo de SIC.  A Governança Corporativa de SIC deve considerar fatores estratégicos e estruturantes a nível organizacional, que irão direcionar e suportar a implementação do Programa de SIC, como p.e.: 

• a Estratégia de SIC alinhada com a Governança Corporativa, com os objetivos estratégicos, com o apetite de risco e com as necessidades de conformidade regulatória da Organização;

• os requerimentos e objetivos estratégicos, táticos e operacionais de SIC da Organização;

• a Estrutura Organizacional, papéis e responsabilidades da área de SIC e a Arquitetura necessária para suportar a implementação do Programa;

• a metodologia de Gerenciamento dos Riscos de SIC a ser adotada;

• os direcionadores de Gestão para a área de SIC (Leis, Regulações, Políticas, Processos, Procedimentos, Padrões, Orçamento, etc);

• fatores internos e externos que influenciem ou comprometam, direta ou indiretamente, o nível de SIC da Organização;

• Indicadores e Métricas para avaliação e reporte do andamento do Programa de SIC (KGIs, KPIs, KRIs, ROIs);

• padrões para realização de auditorias contínuas no Programa e na área de SIC da Organização, para assegurar que os resultados esperados estejam sendo obtidos com eficiência, eficácia, efetividade em custos e dentro dos níveis estabelecidos.

O Programa Corporativo de SIC é um componente fundamental para que a Organização consiga implementar e manter o nível de segurança adequado ao seu negócio e apetite de risco, sendo composto por alguns elementos-chave, técnicos e de gestão, envolvendo pessoas, processos e tecnologias, de forma holística e integrada, em toda organização e sua cadeia de suprimentos, não havendo um padrão único que seja adequado para todas as Organizações, cabendo a  cada uma a definição desses elementos-chave que irão compor o seu Programa de SIC Corporativo.  A seguir, de forma não exaustiva, listamos alguns exemplos desses elementos-chave que devem ser considerados em um Programa de SIC Corporativo:

• Visão, Missão e Valores de SIC;

• Análise SWOT e BSC de SIC;

• Políticas, Processos, Procedimentos, Padrões e Baselines;

• Segurança Física;

• Segurança em Camadas dos Ativos de Informação, de Redes e Comunicações;

• Segurança no Desenvolvimento de Sistemas, Softwares, Aplicativos, Produtos e Serviços, by Design & by Default;

• Gerenciamento de Identidade e de Acesso, de Usuários finais, Desenvolvedores, Administradores de TI e de Sistemas (IAM & PAM);

• Gerenciamento de Riscos de SIC;

• Gerenciamento dos Processos críticos de SIC, p.e.: Ativos, Configurações, Mudanças, Vulnerabilidades, Patches, Atualizações, Monitoramento Contínuo, Incidentes, Testes de Invasão, Auditorias, Investigações, Riscos de Terceiros e Cadeia de Suprimento, Orçamentos;

• Avaliações e Testes de SIC;

• Plano de Resposta a Incidentes de SIC;

• Planos de Continuidade de Negócio e Recuperação de Desastres (PCN/PRD);

• Campanha de Treinamento e Conscientização em SIC;

• Avaliações regulares (pelo menos anuais) de SIC com base em frameworks, padrões e melhores práticas reconhecidos de mercado, p.e.:  ISO 27.000, NIST CSF (Cyber Security Framework), CIS Critical Security Controls, MITRE ATT&CK;

• Implementação de um Centro de Operações de Segurança (SOC – Security Operations Center) multifuncional, com atuação defensiva, ofensiva e proativa, em regime contínuo (24x7x365);

• Melhoria contínua do Programa.

Resumo dos requerimentos da nova regra da SEC*:

• exigirão que os registrantes divulguem no novo Item 1.05 do Formulário 8-K qualquer incidente de segurança cibernética que determinem ser material e descrevam os aspectos materiais da natureza, escopo e momento do incidente, bem como seu impacto material ou razoavelmente provável impacto material sobre o registrante. 

• adicionam o Regulamento S-K Item 106, que exigirá que os registrantes descrevam seus processos, se houver, para avaliar, identificar e gerenciar riscos materiais de ameaças de segurança cibernética, bem como os efeitos materiais ou efeitos materiais razoavelmente prováveis de riscos de segurança cibernética ameaças e incidentes anteriores de cibersegurança. 

• o item 106 exigirá que os registrantes descrevam a supervisão do conselho de administração sobre os riscos de ameaças à segurança cibernética e o papel e experiência da administração na avaliação e gerenciamento de riscos materiais de ameaças à segurança cibernética. Essas divulgações serão exigidas no relatório anual do registrante no Formulário 10-K.

• exigem divulgações comparáveis por emissores privados estrangeiros (FPIs) no Formulário 6-K para incidentes relevantes de segurança cibernética e no Formulário 20-F para gerenciamento, estratégia e governança de riscos de segurança cibernética.

• entrarão em vigor 30 dias após a publicação da versão de adoção no Registro Federal. 

• As divulgações dos Formulários 10-K e 20-F serão devidas a partir dos relatórios anuais para os anos fiscais encerrados em ou após 15 de dezembro de 2023. 

• As divulgações dos Formulários 8-K e 6-K serão devidas a partir dos 90 dias seguintes após a data de publicação no Federal Register ou 18 de dezembro de 2023. 

• As empresas menores terão 180 dias adicionais antes de começarem a fornecer a divulgação do Formulário 8-K. 

Concluímos reforçando a necessidade, importância, urgência e os benefícios da adoção pelas Organizações de uma robusta Governança,  Gestão de Riscos, Compliance (GRC) e Auditoria Contínua  de Segurança da Informação e Cibernética e da implementação de um Programa de SIC corporativo.

* SEC Adopts Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies

https://www.sec.gov/news/press-release/2023-139 

José Fontenelle, CISO Trust Advisor – Assessor de Segurança da Informação da ABGR

CEH, CISM, CISSP, CISA, CRISC, CGEIT, CDPSE

https://www.linkedin.com/in/josefontenelle/

---------------------------------------------------------------------------------