A Comissão de Valores Mobiliários dos Estados Unidos (SEC) propôs recentemente novas regras que exigiriam a constituição de um conselho corporativo com experiência comprovada em segurança cibernética.
Com o Fórum Econômico Mundial estimando que 60% do crescimento econômico está sendo impulsionado por tecnologias digitais, gerir e proteger este ativo tecnológico deve ser uma preocupação de todas as empresas.
Essas questões são significativas o suficiente para que a SEC agora proponha exigir a divulgação de conhecimento cibernético corporativo, como fez há 20 anos com o conhecimento financeiro.
Em vez de se concentrar em cargos, especialização é sobre a profundidade da experiência, competências e educação formal sobre essas questões. As regras propostas da SEC sugerem que a especialização seja determinada por:
- Se o conselho tem experiência de trabalho anterior em segurança cibernética, incluindo, por exemplo, experiência anterior como oficial de segurança da informação, analista de política de segurança, auditor de segurança, arquiteto ou engenheiro de segurança, gerente de operações de segurança ou resposta a incidentes ou planejamento de continuidade de negócios;
- Se conselho obteve certificação ou diploma em segurança cibernética; e
- Se conselho tem conhecimento, habilidades ou outro histórico em segurança cibernética, incluindo, por exemplo, nas áreas de política e governança de segurança, gerenciamento de riscos, avaliação de segurança, avaliação de controle, arquitetura e engenharia de segurança, operações de segurança, tratamento de incidentes ou planejamento de continuidade de negócios.
Como aconteceu com a Sarbanes-Oxley Act (SOX), os reguladores de todo o mundo provavelmente também espelharão esse requisito, criando uma aceleração global da transformação do conselho cibernético.
A governança cibernética é uma questão de competitividade e segurança nacional e a SEC está agora propondo mudanças facilmente implementáveis que forçarão os conselhos a fazer o que eles já poderiam ter feito – governar efetivamente um dos riscos mais significativos que a organização enfrenta.
O Brasil certamente será impactado por estas exigências, tendo em vista que há várias filiais de empresas americanas no nosso território que deverão se adequar e se preparar para garantir a segurança cibernética.
Deixe seu comentário