Влияние WikiLeaks на президентских выборах в США поставило проблемы кибербезопасности на главной странице национальных газет. Но реальная стоимость киберпреступности часто скрывается компаниями, которые предпочли бы, чтобы любые нарушения были спокойными. Juniper Research считает, что к 2019 году стоимость брешей данных может возрасти до 2 триллионов долларов, что в четыре раза превысит оценочную стоимость киберпреступности для предприятий и предприятий в прошлом году.

Финансовые консультанты могут быть особенно уязвимы для киберпреступности, учитывая характер их бизнеса, что побудило Комиссию по ценным бумагам и биржам (SEC) и FINRA ввести новые правила для защиты конфиденциальных данных клиентов. В дополнение к установке нового старшего советника по политике кибербезопасности, SEC начала второй раунд экзаменов по кибербезопасности. Агентство также наложило штрафы на крупные банки, такие как Morgan Stanley, за неспособность защитить потребительскую информацию. (Подробнее см. Ниже: Что вы не знаете о кибербезопасности, может повредить вам .)

В этой статье мы рассмотрим 12-этапный план, разработанный экспертом по вопросам соответствия нормативным требованиям, а также некоторые дополнительные соображения для финансовых консультантов.

12 шагов к обеспечению безопасности

Cipperman Compliance Services, независимый поставщик сторонних сторон в отношении соблюдения нормативных требований, недавно предоставил свой подход к кибербезопасности. В сообщении в блоге компания изложила 12 шагов, которые могут предпринять финансовые консультанты для обеспечения соответствия новым нормативным стандартам и лучшей защиты конфиденциальной информации клиентов. Эти шаги обеспечивают отличный план и отправную точку для консультантов, которые хотят реализовать свои собственные программы. (Более подробно см .: 7 советов по кибербезопасности для советников. )

12 шагов включают:

1. Идентификация конфиденциальной информации . Советники должны провести внутреннюю оценку, чтобы найти, где находится конфиденциальная информация, и определить, кто имеет доступ.
2. Ограничить доступ . Советники должны обеспечить, чтобы пароли были характерны для отдельных сотрудников и требовали обновления на регулярной основе.
3. Монитор для интрузий . Специалистам в области информационных технологий следует добавить мониторинг вторжений как часть протоколов вирусов и безопасности, а также отслеживать неудачи входа в систему.
4. Запретить съемное хранилище . Советники должны избегать использования съемного хранилища, которое может быть украдено, поскольку устройства подвержены атаке.
5. Ограничительные устройства . Советники должны использовать только утвержденные фирмой и зашифрованные устройства для доступа к внутренним сетям или файловым системам.
6. Тест на уязвимости . Эксперты в области информационных технологий должны быть наняты для проведения оценки уязвимости и проведения испытаний на проникновение.
7. Оценка поставщиков . Советники должны проводить тщательную проверку при выборе поставщиков и создании постоянных систем мониторинга и отчетности.
8. Отчет для управления . Советники должны добавить кибербезопасность в качестве пункта повестки дня для каждого совещания по вопросам управления и соблюдения и включать отчеты от ИТ-команды.
9. Назначьте головку . Консультационные фирмы должны назначить одного человека для ответственности за соблюдение кибербезопасности во всей организации.
10. Создать план Reponses . Советники должны разработать план реагирования, который включает уведомления клиентов и регуляторов, а также правила исправления уязвимостей.
11. Рассмотрим страхование . Советники должны рассмотреть политику страхования кибербезопасности для защиты фирмы от катастрофического события.
12. Реализация процедур . Советники должны создавать политики и процедуры, охватывающие все вышеуказанные шаги, и проводить ежегодные оценки для определения их эффективности.

Сохранение изменений

Финансовые консультанты должны рассмотреть эти шаги в контексте руководства по кибербезопасности, выпущенного SEC и FINRA. Эти регуляторы публикуют периодические обновленные рекомендации для консультантов, которые следует учитывать при разработке и поддержании своих программ кибербезопасности. (Подробнее см. Ниже: Советники чувствуют кибер-неуверенность. )

SEC предоставляет полный список своих руководств на странице Cybersecurity Spotlight, включая резюме прошлых проверок кибербезопасности. FINRA ведет страницу темы «Кибербезопасность», которая включает загружаемый контрольный список Cybersecurity, разработанный, чтобы помочь небольшим фирмам создать совместимую программу кибербезопасности. FINRA также предоставляет список поставщиков кибербезопасности, которые были представлены на Ежегодной конференции FINRA 2016 года.

Практический результат

Кибербезопасность представляет собой растущий риск для финансовых консультантов, учитывая характер их бизнеса. В дополнение к риску нарушения, советники, которые не соответствуют нормативным требованиям, рискуют получить штрафы, связанные с их недостаточной защитой. 12-ступенчатый процесс Cipperman представляет собой полезный план для консультантов, надеющихся защитить их практику и соответствовать нормативным требованиям, но важно не отставать от новых требований и потенциально использовать экспертные услуги. (Подробнее см. Обучение ваших клиентов о кибербезопасности .)