Kuvittele, että olet työskennellyt asiakassalkun tasapainottamisessa ja tietokoneen näytöstä tyhjentynyt. Viesti näyttää vaatineen 10 000 dollarin lunastuksen maksua tunnin sisällä tai muuten koko kiintolevy poistetaan. Olet huolestunut siitä, että menetät kuukausien työn, mutta varastetut tiedot olisivat paljon huonompia. Sinun tulee ilmoittaa asiakkaille tietoturvaloukkauksesta, monet todennäköisesti lähtevät, ja FINRA voi jopa tuomita sakot.

Tämä skenaario saattaa kuulostaa jotain elokuvasta, mutta se on itse asiassa yhä yleisempi cyberattackin muoto, joka tunnetaan ransomwareksi. Tällaiset hyökkäykset voivat olla peräisin harmittomalta kuin kollegasi sähköpostina, jossa on viruksia, jotka on peitetty laskentataulukkona tai laskuna. Monet rahoitusneuvojat eivät ole valmiit estämään tällaisia ​​hyökkäyksiä, koska ne ovat yleistyneet nykypäivän teknologiavetoisessa maailmassa.

Tässä artikkelissa tarkastelemme, miksi verkkoturvallisuus on tullut sääntelyviranomaisten ensisijaiseksi tavoitteeksi ja miksi sen pitäisi olla kaikkien rahoitusalan neuvonantajien kokoinen. ) Lisääntynyt sääntelykehitys

Yhdysvaltain arvopaperimarkkinayhdistys ry (SEC) alkoi tarkastella lähemmin verkkotietoturvaongelmia ja suoritti ensimmäisen lakaisunsa. (Lisätietoja:

7 tietoturvavihjeitä neuvonantajille. yli 100 välittäjää ja sijoitusneuvontaa vuonna 2014. Sen jälkeen, kun se julkaisi tulokset vasta helmikuussa, virasto ilmoitti toisen kierroksen tarkastelun syyskuuhun mennessä. SEC ja FINRA ovat asettaneet tietoverkkoturvallisuuden vuoden 2016 priorisointiluettelonsa yläpuolelle, mikä saattaa johtaa uusiin valvontatoimiin vuosina 2016 ja 2017. (Katso lisää: Neuvoo Cyber-Insecure ) <

Nämä virastot tarkastelevat nyt rutiininomaisesti taloudellisten neuvonantajien turvatarkastuksia testaamalla ja arvioimalla. Monissa tapauksissa nämä tutkimukset voivat johtaa yhä useampiin täytäntöönpanotoimiin, joiden tarkoituksena on kannustaa neuvonantajia parantamaan turvallisuusinfrastruktuuriaan. Virastojen tärkeimpiä painopistealueita ovat mm. Hallinto, käyttöoikeudet, tietojen menetyksen ehkäisy, koulutus ja tapausten vaste muun muassa.

. Näiden tutkimusten aikana sääntelyviranomaiset vaativat yrityksen tietoturvapolitiikkaa ja -menettelyjä, haastattelevat henkilökunnan jäseniä ja pyytävät tietoja jotka yritys on jo kokenut. Rahoituksen neuvonantajien tulisi olla valmiita vastaamaan kaikkiin virastojen nykyisiin ohjeisiin liittyviin kysymyksiin ja käsittelemään enemmän teknisiä ja yksityiskohtaisia ​​kysymyksiä, joita voidaan pyytää lisää selvyyttä. (Asiaan liittyvää lukua, katso: Mitä neuvonantajat, asiakkaat pitäisi odottaa alhaisen paluun tulevaisuudesta

.) Taloudellisen neuvonantajan tulisi keskittyä ponnisteluihinsa kahteen osaan tietoturva-vaatimusten täyttämiseksi ja asiakkaiden tietojen suojaamiseksi. Ensimmäinen tarkennusalue on teknologia, joka takaa asiakkaan tietojen turvaamisen ja auttaa välttämään ongelmia alkamisajankohdasta. Toinen painopistealue on dokumentaatio, joka auttaa täyttämään sääntelyvaatimukset ja varmistaa, että tekniikoita on olemassa hallinnoimaan teknologiaratkaisujen asennusta ja ylläpitoa. .

Teknologiaratkaisut On olemassa monia erilaisia ​​tekniikoita, joita käytetään varmistamaan verkot ja varmistamaan, että tietoverkkorikolliset eivät voi pääsy arkaluonteisiin tietoihin. Useimmissa tapauksissa rahoitusneuvonantajien tulisi työskennellä tietotekniikan asiantuntijoiden kanssa valitsemalla oikeat teknologiat ja varmistamalla, että heidät on asennettu oikein. Voi myös olla hyödyllistä, että nämä konsultit kouluttavat henkilökuntaa välttääkseen usein heikoimmat yhteydet: ihmiset. Tärkeimpiä toteutettavia tekniikoita ovat: Laitteiden palomuuri:

Estää tietokoneverkon luvattoman käytön ulkopuolisista lähteistä valkoisella listalla jokaisesta hyväksytystä yhteydestä ja estämällä kaikki muut.

Ohjelmiston salaus:

• Varmistaa arkaluonteiset tiedot tekemällä se lukemattomaksi kenellekään, jolla ei ole salausavainta tai salasanaa. Käyttöoikeuksien hallinta:
• Varmistaa, että kaikilla käytännön neuvonantajilla on omat erilliset tilinsä, jotka on erotettu toisistaan ​​estääkseen yhden rikkomisen vaarantamasta kaikkia tietoja. Virustorjunta / vakoiluohjelmat:
• Estää virusten ja vakoiluohjelmien asennuksen ja leviämisen verkkoon liitettyihin tietokoneisiin ja karanteeniin jo olemassa oleviin viruksiin. Turvallinen etäyhteys:
• Suojaa verkon tietokoneiden käyttöoikeudet neuvojilta, jotka työskentelevät kotona tai muualla toimistosta salatun tiedonsiirron kautta. Kannettava tallennusväline:
• Varmistaa, että varastetut USB-asemat ja kannettavat tietokoneet ovat lukittuneita, jos ne on varastettu, jotta voidaan suojata arkaluonteisia tietoja. Ohjelmistopäivitykset:
• Varmistaa, että kaikki tietokoneeseen asennetut ohjelmistoratkaisut ovat ajan tasalla, jotta kaikki toimittajan havaitsemat suojausreiät voidaan sulkea. Henkilöstön koulutus:
• Auttaa henkilöstöä ymmärtämään, miten vältetään tärkeimmät tietoturva-riskit, jotka yleensä ovat verkkorikollisten yleisimpiä tulopisteitä. Asianmukainen dokumentointi
• FINRA ja SEC ovat dokumentointivaatimuksia, jotka ovat taipuvaisia, kun nämä virastot suorittavat tutkimuksia. Monissa tapauksissa turvamenettelyjen dokumentointi on yhtä tärkeä kuin varsinaiset turvatoimet täytäntöönpanotoimien yhteydessä. SEC-viraston vaatimustenmukaisuuden ja tutkimuksen Cybersecurity Initiative ja 2015 Cybersecurity Examination Initiative ovat hyviä lähtöpaikkoja. Asiakirjassa sääntelyvirasto esitteli painopisteensä hallintoon ja riskien arviointiin, käyttöoikeuksiin ja valvontaan, tietojen menetyksen ehkäisyyn, toimittajien hallintaan ja koulutukseen sekä keskusteli siitä, millaisia ​​erityispiirteitä näihin alueisiin liittyvien ratkaisujen täytäntöönpanoon ja dokumentointiin liittyy.

Esimerkiksi käyttöoikeudet ja -valvonta -osiossa on seuraavat asiakirjatarpeet:

Käyttöoikeusohjeet ja -menettelyt luvattomat henkilöt kiinteisiin verkkoresursseihin ja laitteisiin sekä käyttäjien käyttörajoituksiin (esim. kulunvalvontapolitiikka, hyväksyttävä käyttötapa, järjestelmien hallinnointi ja tietoturvapolitiikka), mukaan lukien ne, jotka koskevat seuraavia aiheita: työntekijöiden oikeudet, mukaan lukien työntekijän rooli tai ryhmäjäsenyys; Henkilöstön tai järjestelmän muutosten perusteella tapahtuva käyttöoikeuksien päivitys tai lopettaminen; ja, mikä tahansa hallintaoikeus, jota tarvitaan käyttöoikeuksien muuttamiseen tai valvontaan.

Asiakkaan odotusten hallinta haihtuvassa ympäristössä .

Rahoituksen neuvonantajien on syytä lukea nämä vaatimukset huolellisesti ja varmistaa, että he pystyvät vastaamaan näihin kysymyksiin vasta etukäteen. Epäonnistuminen näiden kysymysten ja huolenaiheiden ratkaisemisessa voi johtaa täytäntöönpanotoimiin. (

. Bottom Line Tietoverkkorikollisuus on SEC: n ja FINRA: n sääntelyviranomaisten tärkein prioriteetti tietoturvaan liittyvissä kysymyksissä tapahtumat ovat lisääntymässä. Taloudellisten neuvonantajien kannalta on tärkeämpää kuin koskaan varmistaa tietoturva ja varmistaa, että kaikki on dokumentoitu sääntelijöille. Ne, jotka eivät käsittele näitä kysymyksiä, saattavat kohdata sääntelytoimien, sakkojen ja muiden seurausten lisääntyvä riski, sillä politiikat kypsyvät sääntelytasolla. (Lisätietoja, katso:

Asiakkaidesi koulutus tietotekniikkavarmuudesta. )