Det du ikke vet om cybersecurity kan skade deg

Safe and Sorry – Terrorism & Mass Surveillance (November 2024)

Safe and Sorry – Terrorism & Mass Surveillance (November 2024)
Det du ikke vet om cybersecurity kan skade deg

Innholdsfortegnelse:

Anonim

Tenk deg at du jobber med å rebalansere en kundeportefølje, og plutselig går skjermbildet tomt. En melding vises som krever en $ 10 000 løsesum betalt innen en time, ellers blir hele harddisken slettet. Du er bekymret for å miste måneders arbeidsverdi, men stjålet informasjon ville være langt verre. Du må informere kundene om sikkerhetsbrudd, mange vil trolig gå, og du kan til og med bli bøtelagt av FINRA.

Dette scenariet kan høres ut som noe ut av en film, men det er faktisk en stadig mer vanlig form for cyberattack kjent som ransomware. Disse typer angrep kan stamme fra noe så uskyldig som en e-post fra en kollega med et virus som er skjult som et regneark eller en faktura. Mange finansielle rådgivere er dårlig forberedt på å forhindre slike angrep som de blir stadig vanligere i dagens teknisk drevne verden.

I denne artikkelen vil vi se på hvorfor cybersikkerhet har blitt et hovedfokus for regulatorer og hvorfor det bør være en for alle finansielle rådgivere, uansett størrelse. (For mer, se: 7 Cybersecurity Tips for Advisors. )

Økt regulatorisk fokus

US Securities and Exchange Commission (SEC) begynte å se nærmere på cybersikkerhetsproblemer og gjennomførte sin første feie av mer enn 100 meglerforhandlere og investeringsrådgivere i 2014. Etter å ha slettet sine funn i februar, annonserte byrået en annen undersøkelsesrunde innen september. SEC og FINRA har plassert cybersikkerhet nær toppen av prioriteringslisten i 2016, noe som kan føre til ny håndhevelseaktivitet i 2016 og 2017. (For mer, se: Rådgivere føler Cyber-Insecure. ) <

Disse byråene ser nå rutinemessig på økonomiske rådgiveres sikkerhetskontroller gjennom testing og vurdering. I mange tilfeller kan disse undersøkelsene føre til et økende antall håndhevelseshandlinger som skal oppfordre rådgivere til å forbedre sikkerhetsinfrastrukturen. Agenturets sentrale fokusområder er styring, adgangsrettigheter, forebygging av dataforebygging, opplæring og hendelsesrespons blant annet. (For relatert lesing, se:

Hvilke rådgivere trenger å vite om SEO, sosiale medier .) Under disse undersøkelsene vil regulatorer be om et firmas retningslinjer for informasjonssikkerhet, intervju med ansatte og be om informasjon på sikkerhetshendelser som firmaet allerede har opplevd. Finansrådgivere bør være forberedt på å svare på alle spørsmålene som finnes i agenturets eksisterende veiledning, samtidig som de tar opp mer tekniske og detaljerte spørsmål som kan bli bedt om ytterligere klarhet. (For relatert lesing, se:

Hvilke rådgivere, kundene bør forvente fra en tilbakevendende fremtid .) Finansrådgivere bør fokusere sin innsats på to områder når det gjelder å møte krav til cybersikkerhet og beskytte klientdata. Det første fokusområdet er teknologi som sikrer at klientdata er sikret og hjelper til med å unngå problemer fra starten. Det andre fokusområdet er dokumentasjon som bidrar til å tilfredsstille regulatoriske krav og sikrer at det finnes retningslinjer for styring av installasjon og vedlikehold av teknologiløsninger. (For relatert lesing, se:

Hvilke rådgivere kan lære av Robo-Advisors .) Teknologiløsninger

Det finnes mange forskjellige typer teknologi som er ansatt for å sikre nettverk og sikre at cyberkriminelle ikke kan tilgangssensitiv informasjon. I de fleste tilfeller bør finansielle rådgivere arbeide med informasjonsteknikkkonsulenter for å velge riktig teknologi og sikre at de er riktig installert. Det kan også være nyttig å ha disse konsulentene trene medarbeiderne for å unngå det som ofte er de svakeste koblingene: mennesker. De viktigste teknologiene for å implementere inkluderer:

Maskinvarebrannmur:

  • Forhindrer uautorisert tilgang til et datanettverk fra eksterne kilder ved å merke hver godkjent tilkobling og blokkere alle andre. Programvarekryptering:
  • Sikrer følsomme data ved å gjøre det uleselig av alle som ikke har krypteringsnøkkel eller passord. Tilgangshåndtering:
  • Sikrer at alle rådgivere i en praksis har sine egne individuelle kontoer som er segregerte for å hindre at et brudd bryter mot at alle dataene blir ødelagt. Antivirus / spyware:
  • Forhindrer installasjon og spredning av virus og spionprogrammer på datamaskiner som er koblet til et nettverk og karantene i alle virusene som allerede eksisterer. Sikker ekstern tilgang:
  • Sikrer tilgang til nettverks datamaskiner fra rådgivere som arbeider hjemme eller bort fra kontoret gjennom kryptert kommunikasjon. Bærbar mediekryptering:
  • Sikrer at stjålet USB-stasjoner og bærbare datamaskiner er låst ned hvis de blir stjålet for å beskytte sensitiv klientinformasjon. Programvareoppdateringer:
  • Sikrer at alle programvareløsninger installert på en datamaskin holdes oppdatert for å lukke eventuelle sikkerhetshull oppdaget av leverandøren. Personellopplæring:
  • Hjelper personell med å forstå hvordan man kan unngå viktige sikkerhetsrisikoer som pleier å være det vanligste inngangspunktet for cyberkriminelle. Riktig dokumentasjon

FINRA og SEC har dokumentasjonskrav som har tendens til å overflate når disse byråene gjennomfører undersøkelser. I mange tilfeller er dokumentasjon av sikkerhetsprosedyrer like viktig som de faktiske sikkerhetstiltakene når det gjelder håndhevelseshandlinger.

Cybersecurity Initiative og SECs Cybersecurity Examination Initiative er et bra utgangspunkt for å starte. I dokumentet redegjorde tilsynsorganet for sitt fokus på styring og risikovurdering, tilgangsrettigheter og kontroller, forebygging av data, leverandørhåndtering og opplæring, og drøfter deretter detaljene knyttet til implementering og dokumentasjon av løsninger på disse områdene.

) For eksempel beskriver tilgangsrettigheter og kontroller seksjonen følgende krav til dokumentasjon: Fast politikk og prosedyrer angående tilgang av uautoriserte personer til faste nettverksressurser og -innretninger og begrensninger for brukertilgang (f.eks. tilgangskontrollpolitikk, akseptabel brukspolicy, administrativ styring av systemer og bedriftsinformasjonssikkerhetspolitikk), inkludert de som adresserer følgende: Etablering av arbeidstakerrettigheter, inkludert arbeidstakerens rolle eller gruppemedlemskap Oppdatere eller avslutte tilgangsrettigheter basert på personell eller systemendringer; og, Enhver godkjenning for ledelse som kreves for endringer i tilgangsrettigheter eller kontroller. (For relatert lesing, se:

Administrere kundeforventninger i et flyktig miljø

.) Finansielle rådgivere bør nøye lese gjennom disse kravene og sørge for at de fullt ut kan svare på disse spørsmålene på forhånd. Eventuelle feil i å håndtere disse spørsmålene og bekymringene kan føre til håndhevelse. (For relatert lesing, se: Rådgivere må fokusere på egen pensjon, oppfølgingsplaner

.) Den nederste linjen Cybersecurity forblir en topp prioritet blant regulatorer på SEC og FINRA som cybersecurity-relatert hendelser er på vei oppover. For finansielle rådgivere er det viktigere enn noensinne å sikre data med teknologi og sikre at alt er dokumentert for regulatorer. De som ikke klarer å løse disse problemene, kan møte en økende risiko for regulatoriske tiltak, bøter og andre konsekvenser som retningslinjene forfaller på et regulatorisk nivå. (For relatert, se:

Opplæring av kundene dine om Cybersecurity.

)