O que os clientes querem e o que os reguladores exigem - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

O que os clientes querem e o que os reguladores exigem

Como objetivo de controle para o setor, a Comissão de Valores Mobiliários dos EUA (SEC) analisa a imparcialidade do negócio, para o comprador e para a empresa-alvo, para garantir que não haja negociação forçada, fraude ou fuga de responsabilidade regulatória.

Consequentemente, a orientação da SEC declarou que as corporações deveriam considerar a divulgação de informações materiais sobre riscos cibernéticos, não apenas em termos gerais, mas também em uma incident-by-incident base. A SEC sugeriu que uma corporação, ao determinar os contornos de sua divulgação, pesasse os seguintes fatores:

  • Frequência e gravidade de incidentes cibernéticos anteriores

  • Probabilidade de ocorrência de incidentes cibernéticos; possíveis custos e consequências (por exemplo, apropriação indevida de ativos ou informações confidenciais, corrupção de dados ou interrupção das operações)

  • Adequação das ações preventivas tomadas

  • Nível de risco de ataques ameaçados

A SEC sugeriu, ainda, que as empresas, em seus registros corporativos, poderiam divulgar o seguinte, com base em suas circunstâncias e materialidade:

  • Aspectos dos negócios ou operações do registrante que geram riscos materiais de segurança cibernética e os possíveis custos e consequências

  • Descrições de quaisquer funções terceirizadas que possam ter riscos materiais de segurança cibernética e como o registrante lida com esses riscos

  • Descrições de incidentes cibernéticos vivenciados pelo registrante que são materiais individuais ou agregados, incluindo o custo do incidente e da resposta, incluindo investigação, penalidades e acordos

  • Riscos relacionados a incidentes cibernéticos que podem permanecer sem serem detectados por um longo período

  • Descrição da cobertura da apólice de seguro de risco cibernético ou de quaisquer contratos de transferência de risco relevantes

A SEC aplica regras para corretoras e consultores de investimentos registrados na SEC, que são responsáveis por proteger os dados dos clientes e garantir a precisão das divulgações de segurança cibernética. Embora não exista uma regra explícita da SEC para empresas que não seguem as diretrizes, o processo de fusões e aquisições e alienação se tornará muito caro e demorado nesses casos, especialmente se a empresa vendedora enfrentar um incidente cibernético e não divulgar os riscos ou tiver sofrido mudanças no preço das ações. A National Association of Corporate Directors (NACD) recomenda que a gerência retenha assuntos externos e conhecimento jurídico para seus planos de resposta a incidentes e receba atualizações regularmente. Para obter mais informações, consulte Supervisão do risco cibernético: série de manuais do diretor (NACD, 2017).