Em julho do ano passado, Comissão de Valores Mobiliários e Câmbio dos Estados Unidos (SEC), lançou novas medidas de segurança cibernética para empresas de capital aberto, ou seja, que operam na Bolsa de Valores. As novas regras são uma resposta ao crescente número de ataques cibernéticos e fraudes. Saiba mais sobre as regras da SEC e seus impactos.
Evitando Novos Escândalos
Dois casos relacionados à segurança cibernética sacudiram o mercado em 2023, nos Estados Unidos. Um executivo responsável pela área de uma empresa hackeada foi formalmente acusado por fraude, além de falha de segurança. Mais tarde, no mesmo ano, um executivo de outra empresa foi condenado por tentar ocultar um ataque, além de atrapalhar as investigações da Comissão Federal do Comércio do país.
Em suma, as novas regras da SEC preveem a punição do responsável pela área de informação, em caso de falhas de procedimento. A União Europeia adotou políticas similares, em 2022. Confira outras determinações da SEC abaixo.
- Empresas devem reportar ataques em até quatro dias úteis
- Publicar relatórios de segurança digital regularmente
- Detalhar políticas e procedimentos da empresa quanto à segurança digital
Motivos Para Se Proteger
No Brasil, não faltam motivos para empresas e indivíduos reforçarem sua segurança digital com softwares como Surfshark, que garante uma navegação segura e anônima. Afinal, os dados brasileiros são alarmantes.
- O Brasil foi o segundo país da América Latina que mais sofreu ataques cibernéticos, com 103,1 bilhões de tentativas, segundo dados de 2023
- Houve um crescimento de 16% no número de ataques, no ano passado
- Segundo a Conferação Nacional das Seguradoras, indenizações por crimes cibernéticos chegaram a R$64 milhões, em 2022.
Novas Regras
As regras entraram em vigor em dezembro, buscando simplificar a regulamentação anterior, em resposta a comentários e opiniões coletadas junto a investidores, emissores e afins. Veja o que mudou para as empresas de capital aberto no mercado americano.
Relatório de Incidentes
Todas as empresas que sofrerem um ataque hacker devem reportar o incidente dentro de quatro dias úteis, em formulário 8-K. Este relatório deve conter informações como local, data e hora do incidente, extensão dos danos materiais e relevância para a empresa. A relevância deve ser avaliada de acordo com parâmetros qualitativos e quantitativos previamente definidos.
Gestão de Risco
A empresa deve apresentar as políticas e métodos em prática para preservar a segurança de seus bens e dados. Neste caso, agora é preciso detalhar se a segurança da informação faz parte de uma política geral de segurança da empresa, se conta com auditores, consultores e outros profissionais.
Governança
A empresa deve apresentar também sua política de governança sobre segurança cibernética, que inclui como o conselho diretor supervisiona a segurança digital, como a administração influencia neste processo, além da divulgação dos profissionais responsáveis por esta área, bem como suas qualificações e competências.
Segurança Doméstica
No Brasil, a LGPD (Lei Geral de Proteção de Dados) foi sancionada em 2021. A LGPD vale tanto para instituições privadas quanto públicas. No Artigo 6º, a lei prevê a responsabilização civil do responsável pela segurança da informação, caso seja confirmado que um ataque teve êxito por falha de tratamento destes dados.
Para Terminar
É imprescindível que empresas e indivíduos no Brasil reforcem sua segurança digital com softwares que garantam uma navegação anônima e segura, para garantir que estão protegidos contra ataques e fraudes.