Regras da SEC de segurança cibernética para empresas públicas
As novas regras da SEC exigirão a divulgação imediata de incidentes, relatórios claros sobre políticas e procedimentos de gestão de riscos cibernéticos e um envolvimento mais profundo a nível de conselho.
Em julho de 2023, a Comissão de Valores Mobiliários dos EUA (SEC) emitiu um novo conjunto de regras de divulgação de segurança cibernética relativas a empresas públicas nos Estados Unidos. Estas regras destinam-se a ajudar os investidores a tomar decisões sobre onde investir, fornecendo mais informações sobre a seriedade com que uma organização encara os riscos de segurança cibernética.
As empresas que podem compartilhar detalhes sobre seu processo de rastreamento de risco cibernético – como a forma como criam e rastreiam pontuações de risco cibernético ao longo do tempo, ao mesmo tempo em que criam um processo reproduzível e direto para relatar e envolver seu conselho de administração sobre riscos de segurança cibernética – podem se diferenciar aos olhos dos investidores.
A SEC procura diferenciar as organizações que fornecem dados suficientes para informar os investidores, sem “aumentar a vulnerabilidade de uma empresa a ataques cibernéticos… para evitar exigir a divulgação dos tipos de detalhes operacionais que poderiam ser transformados em armas por criminosos”.
O Federal Register mostra que as regras entraram em vigor em 5 de setembro de 2023.
Principais novas regras de segurança cibernética da SEC
Novo formulário 8-K item 1.05
Novo regulamento SK item 106(b)
Divulgações de segurança cibernética
Novo regulamento SK item 106(c)
Revise as novas regras com os líderes de segurança, bem como com as equipes de auditoria e finanças que gerenciam os arquivamentos, para criar um processo que cumpra o prazo de quatro dias no caso de um evento relevante.
Certifique-se de que sua empresa tenha um bom conhecimento de como determinar quando um evento de segurança cibernética atinge o patamar de “relevante”.
Os líderes de segurança devem redigir a sua descrição do processo para compreender e avaliar os riscos cibernéticos. Isso pode incluir ferramentas de riscos cibernéticos, os riscos que essas ferramentas abordam (por exemplo, superfície de ataque externo ou risco de perda de dados) e os processos que suas equipes seguem para mitigar os riscos identificados.
Os líderes em segurança e auditoria devem trabalhar com o conselho de administração para criar um processo, se ainda não houver um em vigor, sobre como o conselho planejará a supervisão dos riscos cibernéticos. Isso pode incluir tornar a segurança cibernética um tema permanente nas análises comerciais trimestrais para rever as pontuações de risco, os principais promotores de risco, as ações de mitigação e os investimentos necessários.
Os líderes de segurança devem identificar e entrevistar membros do conselho com experiência em segurança cibernética para capturar e compartilhar registros anuais e por procuração.
Risk360: como a Zscaler pensa sobre riscos cibernéticos
O Zscaler Risk360™ é uma estrutura de riscos abrangente e prática que oferece quantificação poderosa de riscos cibernéticos ao assimilar dados reais do ambiente da Zscaler de uma organização. O Risk360 oferece visualizações intuitivas, detalhes de exposição financeira e relatórios prontos para o conselho, juntamente com informações detalhadas e práticas sobre riscos de segurança para uso imediato na mitigação.
O Risk360 mede os riscos cibernéticos nas principais áreas da cadeia de ataque:
Superfície de ataque externa
Comprometimento
Movimentação lateral
Risco de perda de dados/exfiltração
Risk360
Dê o próximo passo
Deixe que nossos especialistas mostrem como o Zscaler Risk360 minimiza a superfície de ataque da sua organização, evita a movimentação lateral e elimina os riscos de perda de dados.