Caso SolarWinds: CISO na mira de processos judiciais

As discussões sobre o papel dos Líderes de Cibersegurança dentro das empresas ganhou um novo capítulo no final de junho, quando a SolarWinds informou que a Comissão de Valores Mobiliários dos Estados Unidos (SEC em inglês) notificou o corpo diretivo sobre futuras ações judiciais contra eles, inclusive o CISO. Isso se deve ao incidente cibernético envolvendo a empresa no final de 2020.

A grande mudança no processo foi a inclusão do CISO entre os notificados, estabelecendo um posicionamento novo por parte da Comissão. Agora, a comunidade Cyber espera ser incluída dentro de litígios judiciais junto aos outros executivos. Esse contexto torna ainda mais urgente a necessidade de aproximar CISO das decisões tomadas pelo board, pois eles passarão a envolver-se nos processos de responsabilização.

Para o Diretor de Infraestrutura e Concessões na Horiens Risks Advisor, Carlos Eduardo Lichtenberger Jr, o peso da decisão da SEC pode causar mudanças na forma como a alta gestão e os CISOs se relacionam no mercado norte-americano e fazer essa nova visão reverberar em outros órgãos reguladores pelo mundo.

“Essa decisão em específico nos faz pensar que a Comissão dos EUA pretende incentivar as companhias a aproximarem o CISO do board, especialmente em situações de incidentes cibernéticos graves, como foi o caso da SolarWinds. Agora, as empresas precisarão construir maior comunicação entre as cadeiras de comando, com maior alinhamento de discursos e decisões entre eles”, explica Lichtenberger, em entrevista à Security Report.

O executivo explica que, no caso de empresas de capital aberto, qualquer ocorrência cibernética que impacte o preço das ações deve ser notificada diretamente à SEC. Agora, os C-Levels de SI são incentivados a sair da atuação interna das organizações para se preocuparem mais com o se e quando devem ceder informações aos acionistas. Isso leva o cargo a ter um destaque diferente no negócio.

Do ponto de vista dos CISOs, isso confirma a percepção já existente dentro do setor nos últimos anos: a participação do board nesses temas precisará ser mais equilibrada. Caso contrário, as instituições reguladoras fecharão mais o cerco sobre os problemas de proteção.

“A não absorção dos valores de Segurança tem sido uma aflição constante dos Líderes em Cyber. Então isso pode se tornar uma corrente benéfica, ajudando os CISOs a quebrar a barreira de diálogo com os outros C-Levels. Será mais um incentivo para educar o board nas abordagens técnicas, permiti-los compreender nossos apontamentos e a importância dos investimentos”, afirma Ronaldo Andrade, CISO na Horiens Risk Advisors.

Essa mudança também levará os Heads de Cyber a tratarem os processos de evidência e informações como salvaguardas importantes na garantia de uma posição mais sólida. O fato de ser uma das obrigações do cargo produzir essas evidências e reportá-las frequentemente à alta gestão torna a aproximação mais simples, especialmente em cenários de crise.

“No geral, as empresas têm cuidado em não individualizar a responsabilidade de um incidente. Mas do ponto de vista jurídico, é essencial que o CISO ajude a alinhar as decisões do negócio. A sua atuação se torna mais tranquila quando a companhia considera a responsabilidade de Segurança como algo compartilhado por ela, executivos e colaboradores”, prossegue Andrade.

CISOs cobertos pelo D&O

As notificações enviadas pela SEC podem ainda repercutir fortemente no mercado de seguros corporativos, mais especificamente envolvendo os Seguros de Directors and Officers (D&O). Com essas mudanças, é esperado que os CISOs passem a ser mais um dos C-Levels interessados nessa proteção conjunta, provocando maior atenção aos detalhes dela.

“Apenas o fato de a Comissão emitir esses alertas já engaja uma notificação ao próprio D&O, pois determina que os executivos se defendam de uma forma conjunta e alinhada à organização. Além disso, esses processos podem envolver questões administrativas de proteção de dados. Então a alteração de paradigma pode chegar bastante longe”, disse Lichtenberger.

Ronaldo Andrade comenta que as demandas das regulações públicas estão aos poucos indo de encontro com os pleitos da Cibersegurança. Segundo ele, as empresas começaram a incorporar os CISOs em sua responsabilidade e a incluí-los mais nas garantias de D&O. Esse respaldo será de grande utilidade para coordenar eficientemente a responsabilização e resposta conjuntas aos processos judiciais.

“Será uma mudança essencial de maturidade em todos os mercados pelo mundo, incluindo o brasileiro. Se não era comum os Líderes terem essa visibilidade toda no mercado, as corporações também não se preocupavam com o controle rígido desse seguro. Hoje está se tornando mais uma normalidade”, finaliza o CISO.