A Comissão de Valores Mobiliários (CVM) reconhece a urgência da atenção à segurança da informação para as companhias e entende que elas devem tomar consciência da importância do tema. Mas não planeja baixar novas regras para fazê-las investir nessa área, afirmou há pouco o presidente da autarquia, João Pedro Nascimento.
Leia também
“A CVM quer que as companhias identifiquem a segurança da informação como fator de risco para o negócio. É uma questão de awareness [conscientização]”, disse. Para ele, a preocupação com cibersegurança depende do nível de risco à que a companhia está exposta, o que está relacionado ao setor de atuação. Empresas cujo negócio se apoia em aplicativos naturalmente estão sujeitas a riscos maiores, exemplificou.
Nascimento participou na tarde de hoje do evento de divulgação da Pesquisa Setorial em Cibersegurança, que avaliou as companhias listadas na B3 e verificou que elas têm um grau de maturidade mediano, com nota média de 4,9 numa escala de 0 a 10. O trabalho conclui que parte das maiores empresas do país está distante das recomendações e melhores práticas indicadas pelas principais agências mundiais de cibersegurança.
Publicidade
Invista em oportunidades que combinam com seus objetivos. Faça seu cadastro na Ágora Investimentos
A pesquisa foi desenvolvida pela Associação Brasileira das Companhias Abertas (Abrasca) e pela rede global de pesquisa e desenvolvimento The Security Design Lab (SDL). O estudo usou a metodologia Cyber Score, que aferiu as respostas de 109 empresas de diversos setores.
Nascimento enfatizou que a CVM busca incentivar o desenvolvimento do mercado de capitais no Brasil e que a criação de mais regras e obrigações aumenta os custos de observância. Por isso, tende a desestimular a participação das empresas no mercado.
“Baixar mais regras regulatórias exige análise de impacto da intervenção”, disse. “Criar regras em cima de regras aumenta custo de observância. E mais regras e maiores custos acabam afastando participantes do mercado de capitais.”
Diante dos riscos de ataques cibernéticos às empresas no Brasil, foram feitas sugestões para que sejam obrigadas a notificar os clientes em até 30 dias após o incidente. A regra seguiria a tendência dos EUA, onde é necessário notificar a SEC (Securities and Exchange Commission, equivalente à CVM nos EUA) imediatamente.
Publicidade
Nascimento, porém, lembrou que os EUA adotam abordagem diferente porque o mercado americano é mais desenvolvido. Um ano de negociações na B3 equivale a dez dias de negócios na bolsa americana, comentou. Por isso, disse, “a criação de novas intervenções regulatórias não é a abordagem da CVM”.
A abordagem da reguladora brasileira, afirmou, é do open capital markets, que busca incluir no mercado mais emissores para captar recursos e investidores para rentabilizar seus recursos.