Empresas brasileiras se preparam para cumprir as regras de segurança cibernética da SEC

Em Julho passado, a Comissão de Valores Mobiliários dos EUA (SEC) adoptou regras que exigem que as empresas públicas forneçam divulgação mais detalhada de incidentes materiais de segurança cibernética e apresentem relatórios sobre as suas políticas de segurança cibernética, incluindo gestão de risco, estratégia e governação.

Estas novas regras entraram em vigor em dezembro e aplicam-se também às empresas estrangeiras cotadas em bolsas de valores sediadas nos EUA ou com instrumentos negociados em bolsas norte-americanas. Atualmente, cerca de 15 empresas brasileiras estão listadas nos EUA e outras 50 possuem American Depositary Receipt (ADR), um certificado emitido por um banco que representa um determinado número de ações de uma empresa estrangeira que pode ser negociado nos EUA.

Em comunicado ao mercado, Erik Gerding, diretor da divisão de finanças corporativas da SEC, disse que a comissão não está tentando impor defesas ou práticas específicas de segurança cibernética.

“As empresas de capital aberto têm flexibilidade para decidir como lidar com os riscos e ameaças à segurança cibernética com base em seus próprios fatos e circunstâncias particulares”, disse ele. “Os investidores indicaram, no entanto, que precisam de divulgações consistentes e comparáveis, a fim de avaliar o sucesso das empresas públicas ao fazê-lo.”

Os incidentes devem ser divulgados dentro de quatro dias úteis após a determinação da empresa de que o evento é material em uma seção dedicada de um relatório do Formulário 8-K. Esse prazo é consistente com o relato de outros eventos, como celebração ou rescisão de contrato ou pedido de recuperação judicial. Mais especificamente, significa divulgar a natureza, o âmbito, o calendário e o impacto material (financeiro e/ou operacional) do incidente.

As empresas mais pequenas, definidas pela SEC como organizações com um fluxo público inferior a 250 milhões de dólares ou receitas anuais até 100 milhões de dólares, têm mais tempo (180 dias) para divulgar incidentes.

A SEC também está pedindo às empresas que divulguem quais cargos ou comitês de gestão sênior, se houver, são responsáveis ​​pelas ameaças à segurança cibernética e quais são seus conhecimentos especializados. Também pede às empresas que descrevam como o seu conselho de administração supervisiona os riscos decorrentes de ameaças à segurança cibernética e, se aplicável, identifiquem qualquer comité ou subcomité relevante do conselho e expliquem como o conselho ou esse comité é informado sobre tais riscos. Em outras palavras, trata-se mais de como as empresas identificam e abordam as ameaças do que do número e tipo de ataques.

De acordo com as novas regras, as empresas também terão de descrever os seus procedimentos de gestão e governança de riscos de segurança da informação, não apenas em caso de ataque, mas também num novo item (106) no seu Formulário 10-K, que devem apresentar anualmente, começando por aqueles cujos exercícios fiscais terminaram em ou após 15 de dezembro passado.

As empresas que não cumprirem estarão sujeitas a sanções financeiras, incluindo multas e escrutínio regulatório. A SEC também deixa claro que quanto mais sensível for o negócio principal da empresa a estes riscos de segurança cibernética, maior será o nível de escrutínio regulamentar.

Curiosamente, as novas regras já estão sendo utilizadas como arma pelos atacantes. Em novembro passado, um grupo de ransomware chamado Alphv/BlackCat apresentou uma queixa à SEC contra uma de suas vítimas, MeridianLink, por não ter relatado o incidente ao regulador.

O que pode ser divulgado?

Encontrar o equilíbrio entre o que dizer e o que não dizer pode ser complicado porque as regras da SEC, além das descritas acima, são um tanto vagas. Por exemplo, não definem a materialidade nem estabelecem padrões para cada uma das questões que devem ser abordadas ao comunicar um incidente.

Ao mesmo tempo, o regulador afirma que as empresas não são obrigadas a divulgar informações sobre a mitigação de ataques para não interferir nos esforços de resgate em curso.

No Brasil, o chefe da Comissão de Valores Mobiliários (CVM) do país, João Pedro Nascimento, disse recentemente que a autoridade não pretende emitir regulamentações específicas sobre segurança cibernética. Ele falou sobre o tema não apenas pelas novas regras da SEC, mas também por causa de uma pesquisa que constatou que as empresas listadas na B3 apresentam nível médio de maturidade em segurança da informação, com nota média de 4,9 em uma escala de 0 a 10.

A pesquisa, realizada pela Associação Brasileira de Empresas Abertas (Abrasca) e pela rede global de pesquisa e desenvolvimento The Security Design Lab (SDL), entrevistou 109 empresas de diversos setores. Com base nos resultados, a Abrasca criou um grupo de trabalho para monitorar o tema e está treinando executivos de empresas listadas.

A pontuação foi baseada na versão mais recente do Quadro de Segurança Cibernética (CSF) do Instituto de Padrões e Tecnologia dos EUA (NIST), que possui uma metodologia complexa.

“Ao lado das áreas de segurança da informação e relações com investidores, estamos avaliando quais informações podemos ou não divulgar. Por exemplo, consideramos divulgar nossa pontuação de maturidade no NIST, mas nos perguntamos se alguém que conheça a metodologia da pesquisa poderia inferir nossa política a partir do resultado”, afirma Marina Pequeneza de Moraes, gerente de sustentabilidade e impacto social da Cogna, holding de educação que não possui apenas ADRs, mas uma de suas empresas, a Vasta, está listada na Nasdaq desde 2020.

A Sra. Moraes explica que a Cogna já atende à maioria dos novos requisitos da SEC — tendo feito uma série de melhorias para cumprir a lei de proteção de dados do Brasil, que entrou em vigor em 2020. No entanto, algumas mudanças podem ser necessárias em termos da estrutura de governança em torno segurança cibernética, uma vez que as questões de segurança da informação estão atualmente sob a égide dos comitês executivos e de nível C, e não do conselho de administração da empresa.

Novamente, a questão é como descrever esta potencial nova estrutura.

“Quanto podemos divulgar sobre métodos e processos defensivos? Desde 2021, publicamos indicadores trimestrais de sustentabilidade. A segurança da informação não era uma delas, mas poderia tornar-se uma. A ideia inicial seria começar por divulgar a materialidade deste tema — que atualmente é zero, pois nunca fomos vítimas de um ataque cibernético bem sucedido — e explicar brevemente a nossa governação e fornecer links para as políticas de tratamento de informação que temos em vigor. . Mas ainda precisamos encontrar a medida certa de quanto reportar.”

Prontidão em revisão

Carolina Senna, diretora de relações com investidores da Cemig, afirma que no formulário de referência da CVM e no formulário 20-F da SEC a questão da segurança cibernética já está incluída nos fatores de risco.

“Já discutimos isso internamente e entendemos que não precisamos fazer nenhuma alteração [to these documents]mas precisamos estar preparados para reportar incidentes materiais conforme necessário caso ocorra um novo ataque”, explica Senna.

Isto significa ter processos de resposta delineados e prontos para serem ativados rapidamente, o que está a fazer com que diversas empresas revejam os seus mecanismos e equipas de proteção.

A Cemig foi vítima de um ataque cibernético em 2020. Uma invasão de ransomware afetou parte dos servidores da empresa, e seu site ficou offline por quase dois dias.

“Graças à rápida detecção, não houve grandes danos. Por exemplo, nossos bancos de dados [of customers and suppliers] não foram comprometidos. Se tivéssemos que relatar esse incidente agora, também teríamos que estimar os danos financeiros. Na época quase não houve porque o ataque não interrompeu nossas operações”, afirma Senna.

Ela acrescenta que após o ataque, a Cemig fez diversas melhorias, como implementar mais controles de acesso. A empresa investirá R$ 1,6 bilhão em tecnologia da informação este ano, incluindo melhorias de segurança.

“Nosso papel em RI é sempre fornecer as melhores informações possíveis aos investidores e stakeholders. Os novos requisitos da SEC vão nessa direção, embora nos deixem decidir como fazer isso, pelo menos por enquanto”, diz Senna, acrescentando que sua equipe está de olho em outras concessionárias listadas nos EUA para ver como elas funcionam. cumprir as novas regras.

À medida que o tempo passa e as empresas encontram formas de cumprir as exigências da SEC, espera-se também que o regulador aprimore suas resoluções e as torne mais específicas.

Segundo Fabiane Goldstein, diretora sênior de relações com investidores da Grayling e referência em RI para empresas latino-americanas, todo esse movimento tende a influenciar outras instâncias de controle interno e externo das empresas.

Para ela, as novas regras da SEC também tendem a ter um efeito cascata sobre os fornecedores e stakeholders, que também terão de encontrar formas de melhorar as suas políticas de segurança da informação.

O Brasil é consistentemente um dos cinco principais países alvo de ataques cibernéticos, o que também deve levar a novos requisitos de prevenção e proteção. As instituições financeiras brasileiras também terão que cumprir as novas regras relativas à segurança da informação no Brasil.

Em março do ano passado, o Banco Central emitiu uma resolução exigindo que todos os conselhos de administração de instituições financeiras regulamentadas compreendessem os princípios de segurança da informação e como aplicar as melhores práticas.

Além disso, a partir de Novembro deste ano, as instituições reguladas serão obrigadas a partilhar informações sobre ameaças de fraude, a fim de melhorar os controlos e procedimentos preventivos e reduzir os riscos nas suas operações.