Φανταστείτε ότι εργάζεστε για την επανεξισορρόπηση ενός χαρτοφυλακίου πελάτη και ξαφνικά η οθόνη του υπολογιστή είναι κενή. Εμφανίζεται ένα μήνυμα που απαιτεί ένα $ 10,000 λύτρα που καταβάλλεται εντός της ώρας ή αλλιώς ολόκληρος ο σκληρός δίσκος θα διαγραφεί. Ανησυχείτε ότι χάσατε εργασία αξίας μηνών, αλλά οι κλεμμένες πληροφορίες θα ήταν πολύ χειρότερες. Θα πρέπει να ειδοποιείτε τους πελάτες για την παραβίαση της ασφάλειας, πολλοί πιθανόν να αποχωρήσουν και ίσως να σας επιβληθεί πρόστιμο και από την FINRA.

Αυτό το σενάριο μπορεί να ακούγεται σαν κάτι έξω από μια ταινία, αλλά είναι στην πραγματικότητα μια ολοένα και πιο κοινή μορφή cyberattack γνωστή ως ransomware. Αυτοί οι τύποι επιθέσεων μπορεί να προέρχονται από κάτι τόσο αβλαβές όπως ένα ηλεκτρονικό μήνυμα από έναν συνάδελφο με έναν ιό που είναι συγκαλυμμένος ως λογιστικό φύλλο ή τιμολόγιο. Πολλοί χρηματοοικονομικοί σύμβουλοι είναι κακό προετοιμασμένοι για να αποτρέψουν τέτοιου είδους επιθέσεις, καθώς καθίστανται όλο και πιο συνηθισμένοι στον σημερινό κόσμο που βασίζεται στην τεχνολογία.

Σε αυτό το άρθρο, θα εξετάσουμε γιατί ο κυβερνοχώρος έχει καταστεί πρωταρχικός στόχος των ρυθμιστικών αρχών και γιατί πρέπει να είναι ένας για όλους τους οικονομικούς συμβούλους ανεξάρτητα από το μέγεθος. (999)

Αυξημένη ρυθμιστική εστίαση Η Επιτροπή Κεφαλαιαγοράς των ΗΠΑ (SEC) άρχισε να εξετάζει προσεχώς τα ζητήματα ασφάλειας στον κυβερνοχώρο και διεξήγαγε την πρώτη σάρωσή της από περισσότερους από 100 διαμεσολαβητές και επενδυτικούς συμβούλους το 2014. Μετά την αποδέσμευση των διαπιστώσεών της το επόμενο Φεβρουάριο, ο οργανισμός ανακοίνωσε έναν ακόμη γύρο εξέτασης έως τον Σεπτέμβριο. Η SEC και η FINRA έχουν τοποθετήσει την ασφάλεια στον κυβερνοχώρο κοντά στην κορυφή της λίστας προτεραιότητάς τους το 2016, η οποία θα μπορούσε να οδηγήσει σε νέες δραστηριότητες επιβολής του νόμου το 2016 και το 2017. (Για περισσότερες πληροφορίες, ανατρέξτε στο: Οι συμβούλοι αισθάνονται ότι το Cyber-Insecure

Οι οργανισμοί αυτοί τώρα εξετάζουν συστηματικά τους ελέγχους ασφαλείας των οικονομικών συμβούλων μέσω δοκιμών και αξιολογήσεων. Σε πολλές περιπτώσεις, οι εξετάσεις αυτές θα μπορούσαν να οδηγήσουν σε αυξανόμενο αριθμό δράσεων επιβολής που αποσκοπούν στην ενθάρρυνση των συμβούλων να βελτιώσουν την υποδομή ασφαλείας τους. Οι κύριοι τομείς εστίασης των οργανισμών περιλαμβάνουν τη διακυβέρνηση, τα δικαιώματα πρόσβασης, την πρόληψη της απώλειας δεδομένων, την κατάρτιση και την αντιμετώπιση περιστατικών, μεταξύ άλλων θεμάτων. Κατά τη διάρκεια αυτών των εξετάσεων, οι ρυθμιστικές αρχές θα ζητήσουν πολιτικές και διαδικασίες για την ασφάλεια των πληροφοριών της επιχείρησης, θα συνεννοηθούν με τα μέλη του προσωπικού και θα ζητήσουν πληροφορίες για συμβάντα ασφαλείας που έχει ήδη βιώσει η επιχείρηση. Οι χρηματοοικονομικοί σύμβουλοι θα πρέπει να είναι έτοιμοι να απαντήσουν σε όλα τα ερωτήματα που υπάρχουν στις υπάρχουσες κατευθυντήριες γραμμές των οργανισμών, αντιμετωπίζοντας παράλληλα πιο τεχνικά και λεπτομερή ερωτήματα που μπορεί να ζητηθούν για μεγαλύτερη σαφήνεια. (Για σχετική ανάγνωση, δείτε: Τι Σύμβουλοι, οι Πελάτες πρέπει να περιμένουν από ένα Μέλλον Χαμηλής Επιστροφής

.)

Οι χρηματοοικονομικοί σύμβουλοι πρέπει να επικεντρώσουν τις προσπάθειές τους σε δύο τομείς όσον αφορά την τήρηση των απαιτήσεων στον τομέα της ασφάλειας στον κυβερνοχώρο και την προστασία των δεδομένων των πελατών. Ο πρώτος τομέας εστίασης είναι η τεχνολογία που εξασφαλίζει την ασφάλεια των δεδομένων του πελάτη και βοηθά στην αποφυγή προβλημάτων από την εμφάνισή τους. Ο δεύτερος τομέας εστίασης είναι η τεκμηρίωση που συμβάλλει στην τήρηση των κανονιστικών απαιτήσεων και διασφαλίζει ότι υπάρχουν πολιτικές που διέπουν την εγκατάσταση και τη συντήρηση των τεχνολογικών λύσεων. Τεχνολογικές Λύσεις Υπάρχουν πολλοί διαφορετικοί τύποι τεχνολογίας που χρησιμοποιούνται για τη διασφάλιση δικτύων και για την εξασφάλιση ότι οι εγκληματίες στον κυβερνοχώρο δεν μπορούν να πρόσβαση σε ευαίσθητες πληροφορίες. Στις περισσότερες περιπτώσεις, οι οικονομικοί σύμβουλοι θα πρέπει να συνεργαστούν με τους συμβούλους της τεχνολογίας της πληροφορίας για να επιλέξουν τις κατάλληλες τεχνολογίες και να εξασφαλίσουν ότι έχουν εγκατασταθεί σωστά. Μπορεί επίσης να είναι χρήσιμο οι σύμβουλοι αυτοί να εκπαιδεύουν τα μέλη του προσωπικού προκειμένου να αποφεύγουν αυτό που συχνά είναι ο ασθενέστερος δεσμός: ο άνθρωπος. Οι σημαντικότερες τεχνολογίες που πρέπει να εφαρμοστούν περιλαμβάνουν:

Τείχος προστασίας υλικού: Αποτρέπει την μη εξουσιοδοτημένη πρόσβαση ενός δικτύου υπολογιστών από εξωτερικές πηγές με λευκή λίστα όλων των εγκεκριμένων συνδέσεων και αποκλεισμού όλων των άλλων. Κρυπτογράφηση λογισμικού:

Εξασφαλίζει ευαίσθητα δεδομένα καθιστώντας το μη αναγνώσιμο από οποιονδήποτε δεν διαθέτει το κλειδί κρυπτογράφησης ή τη φράση πρόσβασης. Διαχείριση πρόσβασης: Εξασφαλίζει ότι όλοι οι σύμβουλοι μιας πρακτικής έχουν τους δικούς τους μεμονωμένους λογαριασμούς που είναι διαχωρισμένοι για να αποτρέψουν μια παραβίαση από το να θέσει σε κίνδυνο όλα τα δεδομένα.

Antivirus / spyware:

Αποτρέπει την εγκατάσταση και διάδοση ιών και λογισμικού υποκλοπής σε υπολογιστές συνδεδεμένους σε δίκτυο και τοποθετεί σε καραντίνα τυχόν ιούς που υπάρχουν ήδη.

• Ασφαλής απομακρυσμένη πρόσβαση: Εξασφαλίζει πρόσβαση σε υπολογιστές δικτύου από συμβούλους που εργάζονται στο σπίτι ή μακριά από το γραφείο μέσω κρυπτογραφημένης επικοινωνίας.
• Κρυπτογράφηση φορητών μέσων: Εξασφαλίζει ότι οι κλεμμένες μονάδες USB και οι φορητοί υπολογιστές είναι κλειδωμένοι σε περίπτωση κλοπής τους για την προστασία ευαίσθητων πληροφοριών πελατών.
• Ενημερώσεις λογισμικού: Διασφαλίζει ότι όλες οι λύσεις λογισμικού που είναι εγκατεστημένες σε έναν υπολογιστή ενημερώνονται για να κλείσουν τυχόν τρύπες ασφαλείας που εντοπίζονται από τον προμηθευτή.
• Κατάρτιση προσωπικού: Βοηθά το προσωπικό να καταλάβει πώς να αποφύγει τους βασικούς κινδύνους ασφαλείας που τείνουν να είναι το πιο κοινό σημείο εισόδου για τους εγκληματίες στον κυβερνοχώρο.
• Κατάλληλη τεκμηρίωση Η FINRA και η SEC έχουν απαιτήσεις τεκμηρίωσης που τείνουν να εμφανίζονται όταν οι οργανισμοί αυτοί διεξάγουν εξετάσεις. Σε πολλές περιπτώσεις, η τεκμηρίωση των διαδικασιών ασφαλείας είναι εξίσου σημαντική με τα πραγματικά μέτρα ασφαλείας όσον αφορά τις ενέργειες επιβολής.
• Η Πρωτοβουλία Κινητής Ασφάλειας του Office of Compliance and Examination της Cyber ​​Security και η Πρωτοβουλία Εξέτασης του Κινητού Ασφαλείας του 2015 είναι καλές θέσεις για να ξεκινήσετε. Στο έγγραφο, ο ρυθμιστικός φορέας υπογράμμισε την επικέντρωσή του στη διακυβέρνηση και την εκτίμηση κινδύνων, τα δικαιώματα πρόσβασης και τους ελέγχους, την πρόληψη της απώλειας δεδομένων, τη διαχείριση προμηθευτών και την κατάρτιση και στη συνέχεια εξετάζει τις λεπτομέρειες που σχετίζονται με την υλοποίηση και τεκμηρίωση λύσεων σε αυτούς τους τομείς. Για παράδειγμα, η ενότητα δικαιωμάτων πρόσβασης και ελέγχου περιγράφει τις ακόλουθες απαιτήσεις τεκμηρίωσης:
• Εταιρικές πολιτικές και διαδικασίες σχετικά με την πρόσβαση (π.χ. πολιτική ελέγχου πρόσβασης, πολιτική αποδεκτής χρήσης, διοικητική διαχείριση συστημάτων και πολιτική ασφαλείας εταιρικών πληροφοριών), συμπεριλαμβανομένων εκείνων που αφορούν τα εξής: Καθιέρωση δικαιωμάτων πρόσβασης των εργαζομένων, συμπεριλαμβανομένων των δικαιωμάτων των εργαζομένων συμμετοχή στο ρόλο ή στην ομάδα Ενημέρωση ή τερματισμό δικαιωμάτων πρόσβασης βάσει αλλαγών προσωπικού ή συστήματος. και, οποιαδήποτε έγκριση διαχείρισης απαιτείται για αλλαγές στα δικαιώματα πρόσβασης ή τα στοιχεία ελέγχου. Οι οικονομικοί σύμβουλοι θα πρέπει να διαβάσουν προσεκτικά τις απαιτήσεις αυτές και να διασφαλίσουν ότι είναι σε θέση να απαντήσουν πλήρως σε αυτές τις ερωτήσεις εκ των προτέρων. Οποιεσδήποτε αποτυχίες για την αντιμετώπιση αυτών των ζητημάτων και ανησυχιών θα μπορούσαν να οδηγήσουν σε ενέργειες εφαρμογής
• Η κατώτατη γραμμή

Η Cybersecurity παραμένει κορυφαία προτεραιότητα μεταξύ των ρυθμιστικών αρχών της SEC και της FINRA, καθώς σχετίζονται με την ασφάλεια στον κυβερνοχώρο τα περιστατικά αυξάνονται. Για τους οικονομικούς συμβούλους, είναι πιο σημαντικό από ποτέ να εξασφαλίζουμε δεδομένα με τεχνολογία και να διασφαλίζουμε ότι όλα είναι τεκμηριωμένα για τους ρυθμιστές. Εκείνοι που δεν μπορούν να αντιμετωπίσουν αυτά τα ζητήματα θα μπορούσαν να αντιμετωπίσουν έναν αυξανόμενο κίνδυνο ρυθμιστικών ενεργειών, προστίμων και άλλων συνεπειών καθώς οι πολιτικές ωριμάζουν σε ρυθμιστικό επίπεδο. (Για σχετικές πληροφορίες, δείτε:

Εκπαίδευση των πελατών σας σχετικά με την ασφάλεια στον κυβερνοχώρο.

)