Forestil dig at du arbejder på at genbalancere en kundeportefølje, og pludselig bliver computerskærmen blank. En meddelelse vises, der kræver en $ 10, 000 løsepenge betalt inden for en time, ellers vil hele harddisken blive slettet. Du er bekymret for at miste måneds arbejde, men stjålet information ville være langt værre. Du skal informere kunder om sikkerhedsbruddet, mange vil sandsynligvis forlade, og du kan endda blive bødet af FINRA.

Dette scenario kan lyde som noget ud af en film, men det er faktisk en stadig mere almindelig form for cyberattack kendt som ransomware. Disse typer angreb kan stamme fra noget så uskadeligt som en e-mail fra en kollega med en virus, der er skjult som et regneark eller en faktura. Mange finansielle rådgivere er dårligt forberedt på at forhindre sådanne angreb, da de bliver mere og mere almindelige i dagens teknologidrevne verden.

I denne artikel vil vi se på hvorfor cybersikkerhed er blevet et primært fokus for regulatorer og hvorfor det bør være en for alle finansielle rådgivere uanset størrelse. (For mere, se: 7 Cybersecurity Tips til rådgivere. )

Øget reguleringsfokus

US Securities and Exchange Commission (SEC) begyndte at se nærmere på cybersikkerhedsproblemer og udførte sit første feje af mere end 100 mæglerhandlere og investeringsrådgivere i 2014. Efter frigivelsen af ​​sine resultater den følgende februar annoncerede agenturet en anden undersøgelsesrunde i september. SEC og FINRA har placeret cybersikkerhed tæt på toppen af ​​deres prioriteringsliste i 2016, hvilket kan føre til ny håndhævelsesaktivitet i 2016 og 2017. (Se mere: Rådgivere føler sig usikker på Cyber. ) <

Disse agenturer ser nu rutinemæssigt på finansielle rådgiveres sikkerhedskontrol gennem test og vurderinger. I mange tilfælde kan disse undersøgelser føre til et stigende antal håndhævelsesaktioner med det formål at tilskynde rådgivere til at forbedre deres sikkerhedsinfrastruktur. Agenturernes nøglefokusområder omfatter styring, adgangsrettigheder, forebyggelse af datatab, uddannelse og hændelsesrespons blandt andre emner. (For relateret læsning, se:

Hvilke rådgivere skal vide om SEO, sociale medier .) Under disse undersøgelser vil regulatorer anmode om en virksomheds politik og procedurer for informationssikkerhed, interviewe medarbejdere og anmode om information om sikkerhedshændelser, som firmaet allerede har oplevet. Finansielle rådgivere bør være parate til at besvare alle de spørgsmål, der findes i agenturernes eksisterende vejledning, samtidig med at de behandler mere tekniske og detaljerede spørgsmål, der kan stilles til yderligere klarhed. (For relateret læsning, se:

Hvilke rådgivere, kunderne bør forvente af en lav-retur-fremtid .) Finansielle rådgivere bør fokusere deres indsats på to områder, når det gælder opfyldelse af cybersikkerhedskrav og beskyttelse af kundedata. Det første fokusområde er teknologi, der sikrer, at klientdata er sikret og hjælper med at undgå problemer fra starten. Det andet fokusområde er dokumentation, der hjælper med at opfylde lovkravene og sikrer, at der findes politikker for at styre installation og vedligeholdelse af teknologiløsninger. (For relateret læsning se:

Hvilke rådgivere kan lære af Robo-Advisors .) Teknologiløsninger

Der er mange forskellige teknologier, der er ansat for at sikre netværk og sikre, at cyberkriminelle ikke kan adgangsfølsomme oplysninger. I de fleste tilfælde bør finansielle rådgivere arbejde sammen med informationsteknologikonsulenter for at vælge de rigtige teknologier og sikre, at de installeres korrekt. Det kan også være nyttigt at have disse konsulenter uddanne medarbejdere for at undgå, hvad der ofte er de svageste links: mennesker. De vigtigste teknologier, der skal implementeres, omfatter:

Hardware firewall:

• Forhindrer uautoriseret adgang til et computernetværk fra eksterne kilder ved hvidlistning af hver godkendt forbindelse og blokering af alle andre. Softwarekryptering:
• Sikrer følsomme data ved at gøre den ulæselig af enhver, der ikke besidder krypteringsnøglen eller adgangskoden. Adgangshåndtering:
• Sikrer, at alle rådgivere i en praksis har deres egne individuelle konti, der er adskilt for at forhindre et brud på at gå på kompromis med alle data. Antivirus / spyware:
• Forhindrer installation og spredning af vira og spyware på computere, der er tilsluttet et netværk og karantæner eventuelle vira, der allerede findes. Sikker fjernadgang:
• Sikrer adgang til netværkets computere fra rådgivere, der arbejder hjemme eller væk fra kontoret via krypteret kommunikation. Bærbar mediekryptering:
• Sikrer, at stjålne USB-drev og bærbare computere er låst, hvis de bliver stjålet for at beskytte følsomme klientoplysninger. Softwareopdateringer:
• Sikrer, at alle software løsninger installeret på en computer holdes ajourførte for at lukke eventuelle sikkerhedshuller opdaget af sælgeren. Personaleuddannelse:
• Hjælper personale med at forstå, hvordan man undgår vigtige sikkerhedsrisici, der plejer at være det mest almindelige indgangspunkt for cyberkriminelle. Korrekt dokumentation

FINRA og SEC har dokumentationskrav, der har tendens til at overflade, når disse agenturer gennemfører undersøgelser. I mange tilfælde er dokumentationen af ​​sikkerhedsprocedurer lige så vigtig som de faktiske sikkerhedsforanstaltninger i forbindelse med håndhævelsesforanstaltninger.

SEC-kontoret for overensstemmelses- og undersøgelsens Cybersecurity Initiative og 2015 Cybersecurity Examination Initiative er gode steder at starte. I dokumentet skitserede det regulerende agentur dets fokus på styring og risikovurdering, adgangsret og kontrol, forebyggelse af data tab, leverandørstyring og uddannelse og drøfter derefter de specifikationer, der er forbundet med implementering og dokumentation af løsninger på disse områder.(For relateret læsning, se:

Top Digital Age Tips til Financial Advisors. ) F.eks. Beskriver adgangsrettighederne og kontrolafsnittene følgende dokumentationskrav:

Firmapolitikker og procedurer vedrørende adgang af uautoriserede personer til faste netværksressourcer og -udstyr og begrænsninger for brugeradgang (f.eks. adgangskontrolpolitik, acceptabel brugspolitik, administrativ styring af systemer og corporate informationssikkerhedspolitik), herunder dem, der omhandler følgende: Etablering af medarbejderadgangsrettigheder, herunder medarbejderens rolle eller gruppemedlemskab Opdatering eller opsigelse af adgangsrettigheder baseret på personale- eller systemændringer; og, Enhver ledelsesgodkendelse kræves for ændringer af adgangsret eller kontrol. (For relateret læsning, se:

Håndtering af kundeforventninger i et flygtigt miljø .) Finansielle rådgivere bør omhyggeligt læse disse krav og sikre, at de fuldt ud kan besvare disse spørgsmål forud for tiden. Enhver mangel på at løse disse spørgsmål og bekymringer kan føre til håndhævelsesforanstaltninger. (For relateret læsning se:

Rådgivere skal fokusere på deres egen pensionering, successionsplaner .) Den nederste linje

Cybersecurity forbliver en topprioritet blandt regulatorer på SEC og FINRA som cybersikkerhedsrelateret hændelser er stigende. For finansielle rådgivere er det vigtigere end nogensinde at sikre data med teknologi og sikre, at alt er dokumenteret til regulatorer. Dem, der undlader at løse disse problemer, kan blive udsat for en stigende risiko for lovgivningsmæssige handlinger, bøder og andre konsekvenser, som politikkerne modnes på et lovgivningsmæssigt niveau. (For relateret se:

Uddannelse af dine kunder om cybersikkerhed. )