Nova regulamentação de cibersegurança da SEC
A Comissão de Valores Mobiliários dos Estados Unidos (SEC) adotou novas regras que exigem que as empresas divulguem incidentes relevantes de segurança cibernética e informações sobre sua gestão de riscos, estratégia e governança de segurança cibernética. O objetivo é fornecer aos investidores informações consistentes e comparáveis para que possam tomar decisões informadas. As regras se aplicam tanto a emissores privados nacionais quanto estrangeiros. As novas regulamentações entrarão em vigor 30 dias após a publicação no Diário Oficial Federal (Federal Register), com prazos de divulgação a partir dos exercícios fiscais com término em ou após 15 de dezembro de 2023.
A importância das novas regras da SEC
As novas regras são cruciais para aumentar a transparência e a responsabilização nos mercados financeiros em relação a incidentes de cibersegurança. Ao exigir que as empresas divulguem esses incidentes e suas abordagens de gestão de riscos, os investidores podem compreender melhor o impacto potencial das ameaças cibernéticas nas operações e no desempenho financeiro de uma empresa.
Quem será afetado pelas novas regras da SEC
As regras são direcionadas a empresas de capital aberto registradas na SEC, incluindo emissoras privadas nacionais e estrangeiras. Essas empresas são obrigadas a divulgar as informações de segurança cibernética especificadas em seus relatórios anuais e no Formulário 8-K (para incidentes relevantes) ou no Formulário 6-K (para emissoras privadas estrangeiras), conforme os prazos estabelecidos.
Lista das novas regras da SEC
Regra 1: Divulgação de incidentes relevantes de segurança cibernética
- Os inscritos devem divulgar quaisquer incidentes de segurança cibernética relevantes que venham a sofrer.
- A divulgação deve incluir os aspectos materiais da natureza, alcance, momento e impacto material ou provável impacto material do incidente sobre o registrante.
- A divulgação deve ser feita no novo Item 1.05 do Formulário 8-K.
- Em geral, a divulgação no Formulário 8-K deve ser feita em até quatro dias úteis após o registrante determinar que o incidente de segurança cibernética é relevante.
- A divulgação poderá ser adiada caso a divulgação imediata represente um risco substancial para a segurança nacional ou a segurança pública.
Regra 2: Divulgação da Gestão de Riscos, Estratégia e Governança de Segurança Cibernética
- Os requerentes devem divulgar informações relevantes sobre seus processos de avaliação, identificação e gestão de riscos materiais decorrentes de ameaças à segurança cibernética.
- Eles também devem divulgar os efeitos materiais ou os efeitos materiais razoavelmente prováveis dos riscos decorrentes de ameaças à segurança cibernética e de incidentes anteriores de segurança cibernética.
- A divulgação deve descrever a supervisão do conselho de administração sobre os riscos decorrentes de ameaças à segurança cibernética, bem como o papel e a experiência da gestão na avaliação e gestão desses riscos.
- Esta informação foi adicionada como Item 106 do Regulamento SK e é obrigatória no relatório anual do registrante, no Formulário 10-K.
Regra 3: Divulgações Comparáveis para Emissores Privados Estrangeiros
- Emissores privados estrangeiros também são obrigados a fornecer divulgações comparáveis para incidentes materiais de segurança cibernética no Formulário 6-K.
- Eles também devem fornecer informações sobre gerenciamento de riscos de segurança cibernética, estratégia e governança no Formulário 20-F.
Regra 4: Data de entrada em vigor e prazos:
- As regras finais entrarão em vigor 30 dias após a publicação no Diário Oficial Federal.
- Os formulários 10-K e 20-F deverão ser preenchidos para os exercícios fiscais com término em ou após 15 de dezembro de 2023.
- As divulgações nos formulários 8-K e 6-K deverão ser entregues a partir de 90 dias após a data de publicação no Diário Oficial Federal ou 18 de dezembro de 2023, o que ocorrer por último.
- As empresas de menor porte terão um prazo adicional de 180 dias antes de precisarem começar a fornecer as informações do Formulário 8-K.
- Os registrantes devem incluir as divulgações exigidas pelas regras finais em Inline XBRL a partir de um ano após o cumprimento inicial da exigência de divulgação relacionada.
Incidente de cibersegurança versus violação de segurança
Os termos "incidentes de cibersegurança" (ou "segurança") e "violações de dados" são, por vezes, usados como sinônimos. Embora qualquer tipo de violação de dados seja considerado um incidente de segurança significativo, nem todo incidente de segurança envolve uma violação de dados. Um incidente de segurança é qualquer evento que possa causar danos a um sistema ou rede de computadores. Pode ser uma tentativa de ataque cibernético, uma infecção por vírus ou acesso não autorizado a dados. Uma violação de dados, por outro lado, é um tipo específico de incidente de segurança em que informações sensíveis ou confidenciais são acessadas, divulgadas ou roubadas sem autorização. As novas regras da SEC exigem a divulgação de quaisquer incidentes relevantes de segurança cibernética, incluindo, entre outros, violações de dados.
Como as organizações podem se preparar com o BigID
Uma estratégia moderna de segurança de dados começa com visibilidade e controle completos dos dados. A BigID utiliza uma abordagem centrada em dados e consciente dos riscos para melhorar efetivamente a postura de segurança de dados, simplificar a remediação, garantir a conformidade, acelerar a resposta a violações e, em última análise, reduzir o risco de dados — em escala. Veja como as organizações podem se preparar e atender aos novos requisitos e regras de segurança cibernética da SEC:
Avaliações abrangentes de risco de dados
- BigID's Avaliação de risco de dados Nossos relatórios se destacam das avaliações típicas. Com cobertura abrangente em todos os tipos e locais de dados (estruturados e não estruturados, em nuvem, híbridos e locais), nossas avaliações incorporam todas as suas informações, onde quer que estejam. Nossa ampla gama de casos de uso de segurança de dados agrega diversos indicadores de risco, fortalecendo sua avaliação. Além disso, ao contrário de outros métodos que levam semanas ou meses, as Avaliações de Risco de Dados da BigID são concluídas em poucas horas, economizando seu tempo e fornecendo insights acionáveis.
Resposta a violações com reconhecimento de identidade
- A análise de violação de dados com reconhecimento de identidade da BigID avalia com eficácia o escopo e a magnitude de uma violação de dados. Mapeie e inventarie todas as informações de identificação pessoal (PII) e informações pessoais (PI) de forma integrada, associando-as às respectivas identidades (entidades) e endereços. Identifique os usuários e os dados pessoais que foram comprometidos. Gere relatórios automatizados para órgãos reguladores e auditores, garantindo o cumprimento dos requisitos de conformidade. Além disso, identifique as informações de residência dos usuários, permitindo que você personalize sua resposta para atender aos requisitos jurisdicionais específicos e agilize todo o processo de resposta.
Governança, inventário e exploração de dados
- A governança de dados é um princípio fundamental de uma estratégia sólida de segurança de dados. Uma governança de dados adequada serve como base para proteger melhor onde seus dados sensíveis são armazenados, por quanto tempo e quem pode acessá-los. A BigID integra segurança e governança de dados para simplificar e automatizar a maneira como você gerencia e protege seus dados. Aproveite técnicas de IA e ML treináveis para aprimorar sua capacidade de descobrir, explorar e inventariar dados sensíveis. Direcione com precisão os esforços de remediação e reduza a exposição, transformando a maneira como você percebe e protege seus dados.
Impulsionando a Gestão da Postura de Segurança de Dados (DSPM)
- À medida que os ambientes de dados híbridos continuam a escalar e evoluir, a implementação do DSPM (Gerenciamento de Proteção de Dados e Segurança) torna-se crucial para a compreensão e mitigação dos riscos de dados. A plataforma DSPM líder de mercado da BigID permite centralizar a detecção, investigação e correção de riscos e vulnerabilidades de dados críticos em ambientes híbridos. Atribua gravidade e prioridade com base no contexto dos dados, incluindo sua sensibilidade, localização, acessibilidade e muito mais. Monitore continuamente atividades suspeitas, identifique possíveis ameaças internas e aprofunde-se nos detalhes para uma análise completa.
Implementação de políticas de segurança e conformidade de dados
- Utilize classificações de sensibilidade e políticas de segurança pré-configuradas que estejam alinhadas com as normas e estruturas como NIST, CISA, PCI e, agora, SEC, permitindo o gerenciamento e a proteção eficazes dos dados corretos. Crie e aplique políticas de gerenciamento e segurança de dados, incluindo retenção, minimização, e gerenciamento de acesso políticas. À medida que as políticas são acionadas, inicie fluxos de trabalho simplificados entre as pessoas e ferramentas certas. Valide a necessidade de reter ou descartar dados e execute automaticamente. remediação Aja utilizando a ferramenta adequada. Proteja seus dados como se a segurança dependesse disso.
A BigID ajuda organizações de todos os portes a gerenciar, proteger e extrair mais valor de seus dados, onde quer que eles estejam — seja em infraestrutura própria ou na nuvem. Agende hoje mesmo uma reunião individual com um de nossos especialistas em segurança. Para saber mais sobre como podemos ajudá-lo a cumprir as normas da SEC, entre em contato conosco!
Autor
