close
Share with your friends

A segurança cibernética tem se tornado cada vez mais crítica. Recentemente, a Comissão de Valores Mobiliários dos Estados Unidos (SEC) aprovou novas regras relacionadas ao gerenciamento de riscos cibernéticos e aos requisitos de divulgação para empresas de capital aberto.

Essas diretrizes representam um passo importante para o aprimoramento da transparência e do gerenciamento de riscos cibernéticos. Pode-se dizer que a regulamentação mudará a maneira como o tema é gerenciado.

As novas regras da SEC introduzem requisitos em três temas principais:

1.       Preparação e Divulgação de Informações sobre Incidentes Cibernéticos

Uma das principais mudanças é a exigência de que as empresas divulguem informações sobre incidentes cibernéticos materiais, dentro de um período de quatro dias úteis após a determinação da materialidade do incidente cibernético.

Para atender a essa exigência, é preciso que exista uma capacidade de resposta rápida e eficiente por parte das empresas, pois os incidentes podem impactar as operações, além da reputação da empresa.

2.       Gerenciamento de Riscos de Segurança Cibernética

As empresas agora precisarão fazer divulgações relacionadas às suas práticas de gerenciamento de riscos de segurança cibernética. Isso inclui, por exemplo, um programa de avaliação de riscos, com processos para analisar, identificar e gerenciar as ameaças de segurança cibernética.

Abrange ainda, entre outros fatores, a supervisão dos prestadores de serviços terceirizados e medidas para prevenção, detecção e mitigação de incidentes (com descrição das atividades que abordam incidentes cibernéticos, incluindo planos de continuidade de negócios, contingências, recuperação, testes e simulações).

3.       Governança e Supervisão da Segurança Cibernética

As empresas registradas na SEC devem fornecer divulgações relacionadas à governança e supervisão de segurança cibernética, considerando fatores como a supervisão do conselho em relação aos riscos e a função da administração na avaliação e no gerenciamento desses riscos.

A KPMG pode ajudar nessa jornada

As novas regras da SEC representam um desafio significativo para as empresas de capital aberto. Algumas das principais dificuldades incluem:

  • Discrepâncias entre o relatório da SEC e o foco em TI: a governança de TI e os controles podem não abranger todos os ativos e entidades reportados nos arquivamentos da SEC. Portanto, os processos de gerenciamento devem ser abrangentes.
  • Materialidade envolve mais do que o impacto financeiro.
  • Gestão de incidentes e divulgação de informações: as empresas podem precisar relatar incidentes ainda na fase de investigações, exigindo uma gestão eficiente de solicitações internas e externas.
  • Treinamento: é crucial que as equipes estejam bem treinadas para lidar com questões relacionadas à segurança cibernética.

A KPMG desempenha um papel fundamental em ajudar as empresas a atenderem aos novos requisitos da SEC. Os especialistas têm ampla expertise técnica e setorial, o que permite desenvolver cronogramas eficientes e recomendações personalizadas.

Além disso, podemos utilizar ferramentas técnicas de coleta de dados para obter informações sobre as configurações de segurança de rede e desenvolver planos precisos e acionáveis de de medidas corretivas.

As novas regras representam um marco na regulamentação da segurança cibernética para empresas de capital aberto. Com a ajuda da KPMG e uma abordagem abrangente, as organizações podem se adaptar a essas mudanças e ganhar resiliência.

Saiba mais

 

Fale com a KPMG

conecte-se conosco

Meu perfil

Conteúdo exclusivo e personalizado para você