[ 229,037 page views, 81,838 usuários - média últimos 90 dias ] - [ 5.767 assinantes na newsletter, taxa de abertura 27% ]

Empresas com ações na Bolsa de NY terão de seguir regras da SEC

As empresas brasileiras que têm ADRs (sigla em inglês para American Depositary Receipt, ou recibo de depósitos americano) ou ações negociadas na Bolsa de Nova York terão, a partir de agora, que seguir as novas regras de divulgação de incidentes de segurança cibernética instituídas pela Comissão de Valores Mobiliários (SEC) dos EUA, no dia 5 deste mês, além de adotarem mecanismos robustos de relatórios.

O impacto é claro: a liderança da empresa deve ser capaz de determinar rapidamente se um incidente é material para as operações de negócios. O prazo é de quatro dias úteis, janela na qual as empresas de capital aberto serão obrigadas a divulgar o evento à SEC.

Os CIOs, que geralmente respondem pela segurança cibernética nas empresas, precisarão atuar como facilitadores organizacionais, conectando rapidamente partes interessadas e funções díspares. Os CISOs, cujo papel de segurança também é enfatizado nas regras da SEC, frequentemente se reportam ao CIO, tornando-os uma parte crítica do processo de conformidade.

“Isso vai forçar os departamentos de tecnologia, e principalmente os de segurança cibernética, a fornecerem esclarecimentos enquanto estão tentando encontrar respostas [por um incidente ou ataque]”, disse Jeff Pollard, vice-presidente e analista principal da Forrester, ao site Cybersecurity Dive. “Esse é um lugar incrivelmente desconfortável porque as investigações levam tempo.”

Veja isso
Bolsa de Nova York recua da decisão de Trump de excluir teles chinesas
Ataque cibernético tira do ar site da Bolsa de Valores de Moscou

À medida que as regras entrarem em vigor, o papel dos CIOs e CISOs como bons comunicadores e colaboradores será enfatizado. Segundo analistas de mercado, eles  devem garantir que os riscos de segurança cibernética sejam bem compreendidos, mas também ser capazes de preencher a lacuna entre a segurança e o resto do negócio, incluindo os departamentos de RH, jurídico e de comunicações. Isso exigirá que eles sejam bem versados em todas essas áreas.

Além da necessidade de habilidades diversas, as regras da SEC destacam a importância de insights atualizados e prontamente disponíveis sobre o patrimônio de TI, o que vai exigir também que tenha uma compreensão clara do [acordo de nível de serviço] com cada provedor de serviços de nuvem terceirizado, bem como os níveis de suporte que o fornecedor poderá fornecer se os dados fossem comprometidos.