Cerca de seis meses atrás, o CISO Steve Cobb percebeu que a linguagem contratual proposta pelas empresas públicas tinha algumas adições notáveis. No caso de uma violação, as empresas de capital aberto queriam mais controle sobre como seus fornecedores de terceiros respondiam a um incidente – em alguns casos, propuseram assumir o processo de resposta ao incidente ou queriam que o fornecedor de terceiros determinasse dentro de horas se uma violação poderia ser material, diz Cobb, que gerencia cibersegurança para a empresa de inteligência de risco SecurityScorecard. A empresa até viu uma linguagem contratual semelhante proposta por seus próprios clientes, diz ele. O ímpeto para as mudanças? A decisão da Comissão de Valores Mobiliários e Câmbio sobre gerenciamento de riscos cibernéticos e divulgação de incidentes, que entrou em vigor em dezembro passado, e que está mudando a forma como as empresas lidam com a resposta a incidentes juntamente com seus fornecedores de terceiros, diz ele. “Empresas públicas estão colocando nos acordos contratuais que, se um dos seus fornecedores tiver uma violação, essencialmente cedem os direitos à empresa pública de assumir o processo de resposta ao incidente,” diz Cobb. “É assustador para uma organização com fins lucrativos e é uma ladeira muito perigosa para descer.” O impacto nos fornecedores privados de terceiros é apenas uma forma que as empresas estão tentando alterar suas operações para cumprir com o mandato da SEC. Já os diretores de segurança da informação estão preocupados que serão responsabilizados por quaisquer erros na determinação da materialidade de uma violação e apontam para a persecução do CISO da SolarWinds como representante do risco pessoal da posição. Empresas poderiam enfrentar multas milionárias se deixarem de notificar a SEC de uma violação material. Em geral, 68% das equipes de cibersegurança não acreditam que sua empresa poderia cumprir a regra de divulgação de quatro dias, de acordo com uma pesquisa publicada em 16 de maio pela empresa de segurança em nuvem VikingCloud. Grandes empresas públicas já têm comitês de divulgação para determinar se uma variedade de eventos – desde condições climáticas severas até mudanças econômicas e instabilidade geopolítica – podem ter um impacto material. Adicionar incidentes de cibersegurança à sua área de atuação requer que diversos grupos – TI, cibersegurança, jurídico e negócios – sejam reunidos e apresentados com as informações necessárias para fazer uma determinação, diz Naj Adib, principal de risco cibernético e estratégico na consultoria Deloitte. Os CISOs podem usar exercícios de mesa para ajudar as empresas a criar o processo adequado para determinar a materialidade e coletar as evidências necessárias para assinar a divulgação dentro da janela de quatro dias. Empresas que não conseguem determinar o impacto de um incidente com certeza poderiam resultar em uma divulgação preventiva de uma violação para cumprir os requisitos potenciais de notificação. Tais preocupações levaram a gigante de serviços financeiros Prudential a apresentar voluntariamente uma declaração de divulgação à SEC em fevereiro, apesar de a empresa ter iniciado apenas sua investigação e não ter indicação de que a violação teria um impacto material. Enquanto as grandes empresas têm se concentrado na questão por mais de um ano – mesmo antes da regra ser finalizada – as empresas menores têm tido um caminho mais difícil, diz Matt Gorham, líder do Instituto de Inovação em Cibersegurança e Privacidade na consultoria PricewaterhouseCoopers. Empresas precisam se concentrar em criar um processo documentado e salvar evidências contemporâneas enquanto trabalham neste processo de cada incidente. Até agora, não houve um grande volume de arquivos, então não há dados suficientes para identificar uma tendência, diz ele. Empresas menores – e fornecedores de terceiros – provavelmente estão menos preparados e são uma preocupação para seus clientes de capital aberto. Empresas com equipes menores de cibersegurança – onde analistas também configuram controles de segurança – podem violar regulamentos devido ao elemento humano. Em uma pesquisa de equipes de segurança, por exemplo, a VikingCloud descobriu que quatro em cada dez profissionais de segurança de cibersegurança não relataram um incidente por medo de perder seus empregos. A razão por trás do medo? O trabalhador que triou o incidente provavelmente é o mesmo trabalhador que configurou os controles de segurança, diz Jon Marler, um evangelista de cibersegurança da VikingCloud. “Eles têm uma equipe realmente pequena e fina, e porque a equipe é tão pequena, você não tem essa separação de deveres,” diz ele. “Acho que uma grande parte da maneira de resolver isso culturalmente é colocar as coisas em prática para que a pessoa que encontra um problema não seja a pessoa que é demitida por encontrá-lo. Você não quer punir as pessoas pelo sucesso.” Analistas de segurança não são os únicos que estão sentindo a pressão, é claro. Enquanto Cobb, da SecurityScorecard, sente que tem o apoio necessário para criar um forte processo de cibersegurança para cumprir as necessidades de divulgação dos clientes, ele também acredita que está em minoria. Na maior parte, os CISOs estão sendo solicitados a assumir a responsabilidade pela determinação da materialidade quando muitas vezes não têm nem a autoridade para fazer recomendações nem o orçamento para implementá-las, diz ele. Os CISOs são “a ponta da lança” – a vanguarda enfrentando as repercussões legais da resposta a violações, diz ele. “Os CISOs estão se tornando meio descartáveis, por assim dizer. Você coloca um para baixo e traz outro e começa todo o processo de novo até que a próxima violação aconteça. Para a indústria de cibersegurança, isso é um sinal realmente ruim do que pode estar por vir.”