Siber Güvence Hakkında Bilinmeyen Neyin Zarar Vereceğini

ZEITGEIST: MOVING FORWARD | OFFICIAL RELEASE | 2011 (Ekim 2024)

ZEITGEIST: MOVING FORWARD | OFFICIAL RELEASE | 2011 (Ekim 2024)
Siber Güvence Hakkında Bilinmeyen Neyin Zarar Vereceğini

İçindekiler:

Anonim

Bir müşterinin portföyünü yeniden dengelemeye çalıştığınızı ve bilgisayar ekranının aniden boşaldığını düşünün. Bir saat içinde ödenen 10 bin dolar fidye talep eden bir mesaj görüntülenir veya tüm sabit disk silinir. Aylarca çalışma kaybetmekten endişe duyuyorsunuz, ancak çalınan bilgiler çok daha kötü olacaktı. Müşterileri güvenlik ihlalinden haberdar etmek zorundasınız, birçoğu muhtemelen terk edecek ve hatta FINRA tarafından cezalandırılmış olabilirsiniz.

Bu senaryo bir filmin dışında bir şey gibi gelebilir, ancak aslında fidye yazılımı olarak bilinen sibaret saldırı biçiminde yaygınlaşıyor. Bu tür saldırılar bir e-tablodaki veya faturada gizlenmiş bir virüslü bir meslektaşınız tarafından gönderilen e-postalar kadar zararsız bir şeyden kaynaklanabilir. Birçok finansal danışman, bugünün teknoloji odaklı dünyasında giderek yaygınlaştıkları için bu tür saldırıları önlemek için kötü hazırlanmışlardır.

Bu makalede, siber güvenliğin düzenleyiciler için birincil odak noktası haline geldiğini ve neden boyuttan bağımsız olarak tüm finansal danışmanlar için birer tane olması gerektiğini inceleyeceğiz. Artan Düzenleyici Odak

ABD Menkul Kıymetler ve Takas Komisyonu (SEC), siber güvenlik konularına daha yakından bir göz atmaya başladı ve ilk taramasını gerçekleştirdi (daha fazla bilgi için bkz.

7 Siber Güvenlik İpuçları. 2014'te 100'ün üzerinde broker-bayi ve yatırım danışmanının katıldığını açıkladı. Bulgularını ertesi Şubat ayında açıkladıktan sonra ajans Eylül ayına kadar bir inceleme daha tur açıkladı. SEC ve FINRA, 2016 ve 2017 yıllarında yeni yaptırım faaliyetine yol açabilecek olan siber güvenliği 2016 yılında öncelik listesinin en üst sıralarına yerleştirmiştir. (Daha fazla bilgi için, Danışmanlar Siber Güvensizliği İyiymiş 'e bakınız) <

Bu kurumlar şimdi finansal danışmanların güvenlik kontrollerini test ve değerlendirmeler yoluyla düzenli olarak inceliyorlar. Pek çok durumda, bu incelemeler, danışmanları güvenlik altyapısını iyileştirmeye teşvik etmek amacıyla yaptırım eylemlerinin sayısının artmasına neden olabilir. Ajansların odak noktası olan diğer alanlar arasında yönetişim, erişim hakları, veri kaybını önleme, eğitim ve olay tepkisi yer alır. (İlgili okumalar için, bkz.

SEO, Sosyal Medya hakkında hangi Danışmanların Bilmesi Gerekenler) Bu incelemelerde, düzenleyiciler firmanın bilgi güvenliği politikaları ve prosedürlerini isteyecek, personel üyelerine röportaj yapacak ve bilgi talep edecektir. firmanın zaten yaşadığı güvenlik olaylarıyla ilgili. Mali müşavirler, ek açıklık istemek için sorulabilecek daha teknik ve ayrıntılı sorulara değinirken, ajansların mevcut rehberliğinde yer alan tüm soruları cevaplamaya hazır olmalıdırlar. (İlgili okumalar için, bkz.

Müşterilerin Düşük Geleceğe Dönük Gelecekten Bekleyecekleri Danışmanlar).) Mali danışmanlar, siber güvenlik gereksinimlerini karşılama ve müşteri verilerini koruma konusunda çabalarını iki alana odaklamalıdır. Odaklanmanın ilk alanı müşteri verilerini güvence altına alan ve başlangıçtaki herhangi bir sorundan kaçınılmasına yardımcı olan teknolojidir. İkinci odaklanma alanı, düzenleyici gereksinimleri karşılamaya yardımcı olan ve teknolojilerin, teknoloji çözümlerinin kurulumunu ve bakımını yönetmek için politikaların yürürlükte olmasını sağlayan belgelerdir.

Teknoloji Çözümleri Şebekelerin güvenliğini sağlamak ve siber suçluların güvenliğini sağlamak için kullanılan pek çok farklı teknoloji türü vardır (bunlar ile ilgili okumalar için, bakınız: Robo-Danışmanlardan Ne Öğretmenler öğreneceksiniz

). hassas bilgilere erişmek. Çoğu durumda, finansal danışmanlar uygun teknolojileri seçmek ve bunların doğru bir şekilde kurulduğundan emin olmak için bilgi teknolojisi danışmanlarıyla çalışmalıdır. Sıklıkla en zayıf halkalar olan insanlardan kaçınmak için bu danışmanların personelini eğitmelerinin de yararlı olabilir: insanlar. Uygulanması gereken en önemli teknolojiler şunlardır:

Donanım güvenlik duvarı:

  • Her onaylanmış bağlantıyı beyaz listeleme ve diğerlerini bloke etme yoluyla bir bilgisayar ağının dış kaynaklardan yetkisiz erişimi önler. Yazılım şifrelemesi:
  • Hassas verileri, şifreleme anahtarı veya parolası olmayan birine okunamayan hale getirerek güven altına alıyor. Erişim yönetimi:
  • Bir uygulamadaki tüm danışmanların, bir ihlalin tüm verilerin tehlikeye düşmesine engel olmak için ayrılmış ayrı hesaplarına sahip olmasını sağlar. Antivirüs / casus yazılım:
  • Virüslerin ve casus yazılımların bir ağa bağlı bilgisayarlara yüklenmesini ve yayılmasını önler ve halihazırda var olan tüm virüsleri karantinaya alır. Güvenli uzaktan erişim:
  • Evde veya ofisten uzakta çalışan danışmanlardan şifreli iletişim yoluyla bir ağın bilgisayarlarına erişimini güvence altına alıyor. Taşınabilir ortam şifreleme:
  • Hassas müşteri bilgilerini korumak için çalınan USB sürücülerin ve dizüstü bilgisayarların çalındığından emin olabilirsiniz. Yazılım güncellemeleri:
  • Satıcının bulduğu güvenlik açıklarını kapatmak için bir bilgisayara yüklenmiş tüm yazılım çözümlerinin güncel tutulmasını sağlar. Personel eğitimi:
  • Siber suçlular için en yaygın giriş noktası olma eğiliminde olan kilit güvenlik risklerinden nasıl kaçınacağınızı personelin anlamasına yardımcı olur. Doğru Dokümantasyon

FINRA ve SEC, bu kuruluşlar incelemelerde bulunulduğunda yüzeye çıkma eğiliminde olan dokümantasyon gerekliliklerine sahiptir. Pek çok durumda, güvenlik önlemleri dokümantasyonu, icra eylemleri söz konusu olduğunda gerçek güvenlik tedbirleri kadar önemlidir.

SEC Uyum ve İnceleme Ofisi'nin Siber Güvenliği Girişimi ve 2015 Siber Güvenlik İncelemesi Girişimi, başlamak için iyi yerlerdir. Belgede düzenleyici kurum, yönetişim ve risk değerlendirmesi, erişim hakları ve kontrolleri, veri kaybını önleme, tedarikçi yönetimi ve eğitim üzerine odaklandı ve daha sonra bu alanlarda çözümlerin uygulanması ve dokümantasyonuyla ilgili özellikleri tartışıyor.

Örneğin, erişim hakları ve denetimleri bölümünde aşağıdaki dokümantasyon gereklilikleri ana hatlarıyla belirtilmektedir: Erişimle ilgili firma politikaları ve prosedürleri (

, Mali Danışmanlar İçin En Fazla Sayısal Yaş İpuçları

) aşağıdakileri ele alanlar da dahil olmak üzere yetkili olmayan kişiler tarafından firmanın ağ kaynaklarına ve cihazlarına ve kullanıcı erişim kısıtlamalarına (örneğin, erişim kontrol politikası, kabul edilebilir kullanım politikası, sistemlerin idari yönetimi ve kurumsal bilgi güvenliği politikası) başvurun: Çalışanların erişim hakları dahil olmak üzere rol veya grup üyeliği; Personel veya sistem değişikliklerine dayalı olarak erişim haklarının güncellenmesi veya sona erdirilmesi; ve, Erişim haklarına veya kontrollere yapılan değişiklikler için gereken herhangi bir yönetim onayı. (İlgili okumalar için bkz. Müşterinin Beklentilerini Uçucu Bir Ortamda Yönetme .

Mali müşavirler, bu gereksinimleri dikkatlice okumalı ve bu sorulara önceden tam olarak cevap verebilecek durumda olmalarını sağlamalıdır. Bu soruların ve endişelerin giderilmesi için yapılan herhangi bir başarısızlık, icra eylemlerine neden olabilir. (İlgili okumalar için, bkz. Danışmanlar Kendi Emekliliklerine Odaklanmalıdır, Süksesyon Planları )

Sonuç

Siber güvenlik, SEC ve FINRA düzenleyiciler arasında siber güvenlikle ilgili en öncelikli konudur olaylar yükselişte. Mali danışmanlar için, verileri teknolojiyle güvence altına almak her şeyden önce önemlidir ve her şeyin düzenleyiciler için belgelenmesini sağlayın. Bu konuları ele almayı başaramayanlar, düzenleyici eylemler, cezalar ve politikaların mevzuat düzeyinde olgunlaşması gibi diğer sonuçlarla ilgili artan bir riskle karşı karşıya kalabilirler. (İlgili olarak bkz: Müşterilerinizin Siber Güvenlik Hakkındaki Tanınması. )