Da conformidade à confiança: Adotando as novas regras de segurança cibernética da SEC com o BigID

Novo Regulamento de Segurança Cibernética da SEC

A Comissão de Valores Mobiliários (SEC) adotou novas regras que exigem que as empresas divulguem incidentes relevantes de segurança cibernética e informações sobre sua gestão, estratégia e governança de riscos de segurança cibernética. O objetivo é fornecer aos investidores informações consistentes e comparáveis para a tomada de decisões informadas. As regras se aplicam a emissores privados nacionais e estrangeiros. As novas regulamentações entrarão em vigor 30 dias após a publicação no Federal Register, com prazos de divulgação a partir dos anos fiscais encerrados em ou após 15 de dezembro de 2023.

A importância das novas regras da SEC

As novas regras são cruciais para aumentar a transparência e a responsabilização nos mercados financeiros em relação a incidentes de segurança cibernética. Ao exigir que as empresas divulguem tais incidentes e suas abordagens de gestão de risco, os investidores podem compreender melhor o impacto potencial das ameaças à segurança cibernética nas operações e no desempenho financeiro de uma empresa.

Quem as novas regras da SEC afetam

As regras são direcionadas a empresas de capital aberto registradas na SEC, incluindo emissores privados nacionais e estrangeiros. Essas empresas são obrigadas a fazer as divulgações de segurança cibernética especificadas em seus relatórios anuais e no Formulário 8-K (para incidentes relevantes) ou no Formulário 6-K (para emissores privados estrangeiros), conforme os prazos estabelecidos.

Lista de novas regras da SEC

Regra 1: Divulgação de incidentes materiais de segurança cibernética

• Os registrantes devem divulgar quaisquer incidentes materiais de segurança cibernética que vivenciarem.
• A divulgação deve incluir os aspectos materiais da natureza, escopo, momento do incidente e seu impacto material ou impacto material razoavelmente provável sobre o registrante.
• A divulgação deve ser feita no novo Item 1.05 do Formulário 8-K.
• Geralmente, a divulgação do Formulário 8-K deve ser feita quatro dias úteis após o registrante determinar que o incidente de segurança cibernética é relevante.
• A divulgação pode ser adiada se a divulgação imediata representar um risco substancial à segurança nacional ou à segurança pública.

Regra 2: Divulgação de Gestão de Riscos, Estratégia e Governança de Segurança Cibernética

• Os registrantes devem divulgar informações materiais sobre seus processos de avaliação, identificação e gerenciamento de riscos materiais de ameaças à segurança cibernética.
• Eles também devem divulgar os efeitos materiais ou efeitos materiais razoavelmente prováveis de riscos de ameaças à segurança cibernética e incidentes anteriores de segurança cibernética.
• A divulgação deve descrever a supervisão do conselho de administração sobre os riscos de ameaças à segurança cibernética e o papel e a experiência da administração na avaliação e no gerenciamento desses riscos.
• Esta divulgação é adicionada como Item 106 do Regulamento SK e é exigida no relatório anual do registrante no Formulário 10-K.

Regra 3: Divulgações comparáveis para emissores privados estrangeiros

• Emissores privados estrangeiros também são obrigados a fazer divulgações comparáveis para incidentes materiais de segurança cibernética no Formulário 6-K.
• Eles também devem fornecer divulgações sobre gerenciamento de riscos de segurança cibernética, estratégia e governança no Formulário 20-F.

Regra 4: Data de vigência e prazos:

• As regras finais entrarão em vigor 30 dias após a publicação no Federal Register.
• As divulgações do Formulário 10-K e do Formulário 20-F serão devidas para os anos fiscais encerrados em ou após 15 de dezembro de 2023.
• As divulgações do Formulário 8-K e do Formulário 6-K deverão ser entregues a partir de 90 dias após a data de publicação no Federal Register ou 18 de dezembro de 2023, o que ocorrer primeiro.
• Empresas menores que farão relatórios terão 180 dias adicionais antes de precisarem começar a fornecer a divulgação do Formulário 8-K.
• Os registrantes devem marcar as divulgações exigidas pelas regras finais no Inline XBRL começando um ano após a conformidade inicial com o requisito de divulgação relacionado.

Incidente de segurança cibernética vs. violação

Incidentes de cibersegurança (ou segurança) e violações de dados são, por vezes, usados de forma intercambiável. Embora qualquer tipo de violação de dados seja considerado um incidente de segurança significativo, nem todo incidente de segurança envolve uma violação de dados. Um incidente de segurança é qualquer evento que potencialmente danifique um sistema ou rede de computadores. Pode ser uma tentativa de ataque cibernético, uma infecção por vírus ou acesso não autorizado a dados. Uma violação de dados, por outro lado, é um tipo específico de incidente de segurança em que informações sensíveis ou confidenciais são acessadas, divulgadas ou roubadas sem autorização. As novas regras da SEC exigem a divulgação de quaisquer incidentes materiais de segurança cibernética, incluindo, mas não se limitando a, violações de dados.

Como as organizações podem se preparar com o BigID

Uma estratégia moderna de segurança de dados começa com visibilidade e controle completos dos dados. O BigID utiliza uma abordagem centrada em dados e consciente dos riscos para melhorar efetivamente a postura de segurança de dados, otimizar a remediação, garantir a conformidade, acelerar a resposta a violações e, por fim, reduzir o risco de dados – em escala. Veja como as organizações podem se preparar e atender à conformidade com as novas regras e requisitos de segurança cibernética da SEC:

Avaliações abrangentes de risco de dados

• BigIDs Avaliação de risco de dados Os relatórios se destacam das avaliações tradicionais. Com cobertura abrangente em todos os tipos e locais de dados (estruturados e não estruturados, na nuvem, híbridos e locais), nossas avaliações incorporam todas as suas informações, onde quer que estejam. Nossa ampla gama de casos de uso de segurança de dados agrega diversos indicadores de risco, fortalecendo sua avaliação. Além disso, ao contrário de outros métodos que levam semanas ou meses, as Avaliações de Risco de Dados da BigID são concluídas em poucas horas, economizando seu tempo e fornecendo insights práticos.

Resposta de violação com reconhecimento de identidade

• A análise de violações com reconhecimento de identidade do BigID avalia com eficácia o escopo e a magnitude de uma violação de dados. Mapeie e inventariie perfeitamente todas as informações de identificação pessoal (PII) e informações pessoais (PI) até as identidades (entidades) e residências correspondentes. Identifique os usuários e dados pessoais que foram comprometidos. Gere relatórios automatizados para reguladores e auditores, garantindo o cumprimento dos requisitos de conformidade. Além disso, identifique as informações de residência dos usuários, permitindo que você adapte sua resposta para atender aos requisitos jurisdicionais específicos e agilize seu processo geral de resposta.

Governança de Dados, Inventário e Exploração

• A governança de dados é um princípio fundamental de uma estratégia sólida de segurança de dados. Uma governança de dados adequada serve como base para proteger melhor onde seus dados confidenciais residem, por quanto tempo permanecem e quem pode acessá-los. O BigID une segurança e governança de dados para otimizar e automatizar a maneira como você gerencia e protege seus dados. Utilize técnicas treináveis de IA e ML para aprimorar sua capacidade de descobrir, explorar e inventariar dados confidenciais. Direcione os esforços de remediação com precisão e reduza a exposição, transformando a maneira como você percebe e protege seus dados.

Iniciando o gerenciamento de postura de segurança de dados (DSPM)

• À medida que os ambientes de dados híbridos continuam a escalar e evoluir, a implementação do DSPM é fundamental para compreender e mitigar os riscos de dados. A plataforma DSPM líder do setor da BigID permite centralizar a detecção, a investigação e a correção de riscos e vulnerabilidades críticas de dados em ambientes híbridos. Atribua severidade e prioridade com base no contexto dos dados, incluindo sua sensibilidade, localização, acessibilidade e muito mais. Monitore continuamente atividades suspeitas, identifique potenciais ameaças internas e analise os detalhes detalhadamente para uma análise completa.

Aplicação de políticas de segurança e conformidade de dados

• Utilize políticas de segurança e classificação de sensibilidade pré-definidas, alinhadas com a conformidade e estruturas como NIST, CISA, PCI e, agora, SEC, permitindo o gerenciamento e a proteção eficazes dos dados corretos. Crie e aplique políticas de segurança e gerenciamento de dados, incluindo retenção, minimizaçãoe gerenciamento de acesso Políticas. À medida que as políticas são acionadas, inicie fluxos de trabalho simplificados com as pessoas e ferramentas certas. Valide a necessidade de reter ou descartar dados e execute-os automaticamente. remediação ações usando a ferramenta adequada de sua escolha. Administre seus dados como se a segurança dependesse disso.

A BigID ajuda organizações de todos os tamanhos a gerenciar, proteger e obter mais valor de seus dados em qualquer lugar — no local ou na nuvem. Agende uma reunião individual com um de nossos especialistas em segurança hoje mesmo para saber mais sobre como podemos ajudar você a atender à conformidade com a SEC!

Autor

Neil Patel

Diretor de marketing global de produtos

Morando na Bay Area, Neil passou mais de 15 anos em empresas pioneiras do Vale do Silício, ampliando SaaS revolucionários, com foco especial em segurança cibernética. Na BigID, Neil ajuda a trazer tecnologias inovadoras de segurança de dados, privacidade e governança para o mercado, ilustrando como elas impulsionam os negócios e melhoram a vida dos clientes.