Stel u voor dat u werkt aan het opnieuw afstemmen van een klantenportfolio en plotseling wordt het computerscherm leeg. Er verschijnt een bericht waarin een losgeld van $ 10.000 wordt gevraagd binnen het uur of anders wordt de volledige harde schijf gewist. U maakt zich zorgen over het verlies van maanden werk, maar gestolen informatie zou veel erger zijn. U zou klanten van de beveiligingsinbreuk op de hoogte moeten brengen, velen zouden waarschijnlijk vertrekken, en u zou zelfs kunnen worden beboet door FINRA.

Dit scenario klinkt misschien als iets uit een film, maar het is eigenlijk een steeds vaker voorkomende vorm van cyberaanvallen bekend als ransomware. Dit soort aanvallen kan afkomstig zijn van iets dat zo onschadelijk is als een e-mail van een collega met een virus dat is vermomd als een spreadsheet of een factuur. Veel financiële adviseurs zijn slecht voorbereid om dit soort aanvallen te voorkomen, omdat ze steeds gewoner worden in de moderne, door technologie aangedreven wereld.

In dit artikel zullen we bekijken waarom cybersecurity een primaire focus voor regelgevers is geworden en waarom het een voor alle financiële adviseurs zou moeten zijn, ongeacht de omvang. (Zie voor meer informatie: 7 Cybersecurity-tips voor adviseurs. )

Verhoogde regulatorische focus

De Amerikaanse Securities and Exchange Commission (SEC) begon cybersecurityproblemen onder de loep te nemen en voerde zijn eerste bezigheid uit van meer dan 100 makelaar-handelaars en beleggingsadviseurs in 2014. Na het vrijgeven van haar bevindingen in februari, kondigde het bureau in september een nieuwe ronde van onderzoek aan. SEC en FINRA hebben cybersecurity bovenaan de prioriteitenlijst gezet in 2016, wat zou kunnen leiden tot nieuwe handhavingsactiviteiten in 2016 en 2017. (Zie voor meer: ​​ Adviseurs voelen zich cyber-onzeker. ) <

Deze agentschappen bekijken nu routinematig de beveiligingscontroles van financiële adviseurs door middel van tests en beoordelingen. In veel gevallen kunnen deze onderzoeken leiden tot een toenemend aantal handhavingsacties om adviseurs aan te moedigen hun beveiligingsinfrastructuur te verbeteren. De belangrijkste aandachtsgebieden van de agentschappen omvatten onder meer governance, toegangsrechten, preventie van gegevensverlies, training en respons op incidenten. (Zie voor gerelateerde informatie:

Wat adviseurs moeten weten over SEO, sociale media .) Tijdens deze onderzoeken zullen regelgevers het beleid en de procedures voor informatiebeveiliging van een bedrijf opvragen, medewerkers interviewen en informatie opvragen over beveiligingsincidenten die het bedrijf al heeft meegemaakt. Financiële adviseurs moeten bereid zijn om alle vragen te beantwoorden die aanwezig zijn in de bestaande richtlijnen van de agentschappen, terwijl ze meer technische en gedetailleerde vragen behandelen die om meer duidelijkheid kunnen worden gevraagd. (Zie voor verwante literatuur:

Welke adviseurs moeten klanten verwachten van een toekomst met weinig rendement .) Financiële adviseurs moeten hun inspanningen concentreren op twee gebieden als het gaat om het voldoen aan cyberbeveiligingsvereisten en het beschermen van klantgegevens. Het eerste aandachtspunt is technologie die verzekert dat klantgegevens worden beveiligd en helpt bij het voorkomen van problemen vanaf het begin. Het tweede aandachtsgebied is documentatie die helpt te voldoen aan wettelijke vereisten en zorgt ervoor dat er beleid is om de installatie en het onderhoud van technologische oplossingen te regelen. (Voor gerelateerde informatie, zie:

Welke adviseurs kunnen leren van Robo-Advisors .) Technologieoplossingen

Er zijn veel verschillende soorten technologie die worden gebruikt om netwerken te beveiligen en ervoor te zorgen dat cybercriminelen niet kunnen toegang gevoelige informatie. In de meeste gevallen moeten financiële adviseurs samenwerken met IT-consultants om de juiste technologieën te selecteren en ervoor te zorgen dat ze correct worden geïnstalleerd. Het kan ook nuttig zijn om deze consultants medewerkers te laten trainen om te voorkomen wat vaak de zwakste schakels zijn: mensen. De belangrijkste te implementeren technologieën zijn:

Hardware-firewall:

• Voorkomt ongeautoriseerde toegang van een computernetwerk van externe bronnen door elke goedgekeurde verbinding op de witte lijst te plaatsen en alle andere verbindingen te blokkeren. Softwareversleuteling:
• beveiligt gevoelige gegevens door deze onleesbaar te maken voor iedereen die niet over de coderingssleutel of wachtwoordzin beschikt. Toegangsbeheer:
• Zorgt ervoor dat alle adviseurs in een praktijk hun eigen afzonderlijke accounts hebben die gescheiden zijn om te voorkomen dat één inbreuk alle gegevens compromitteert. Antivirus / spyware:
• Voorkomt de installatie en verspreiding van virussen en spyware op computers die op een netwerk zijn aangesloten en plaatst virussen die al bestaan ​​in quarantaine. Beveiligde externe toegang:
• Beveiligt de toegang tot de computers van een netwerk van adviseurs die thuis werken of weg van het kantoor via gecodeerde communicatie. Draagbare mediagenering:
• Garandeert dat gestolen USB-schijven en laptops worden vergrendeld als ze worden gestolen om gevoelige clientinformatie te beschermen. Software-updates:
• Garandeert dat alle software-oplossingen die op een computer zijn geïnstalleerd, up-to-date worden gehouden om eventuele beveiligingslekken die door de leverancier zijn ontdekt, te sluiten. Training voor personeel:
• helpt personeel te begrijpen hoe belangrijke veiligheidsrisico's, die meestal het meest voorkomende toegangspunt voor cybercriminelen zijn, te vermijden. Juiste documentatie

FINRA en de SEC hebben documentatievereisten die naar boven komen wanneer deze bureaus onderzoeken uitvoeren. In veel gevallen is de documentatie van beveiligingsprocedures net zo belangrijk als de feitelijke beveiligingsmaatregelen als het gaat om handhavingsacties.

Het SEC Office of Compliance en Examination Cybersecurity Initiative en het Cybersecurity Examination Initiative 2015 zijn goede plaatsen om te starten. In het document schetste het regelgevend agentschap zijn focus op governance en risicobeoordeling, toegangsrechten en -controles, preventie van gegevensverlies, leverancierbeheer en training en bespreekt vervolgens de details in verband met de implementatie en documentatie van oplossingen op deze gebieden.(Voor gerelateerde informatie, zie:

Tips voor topdigitale leeftijd voor financieel adviseurs. ) Het gedeelte met toegangsrechten en -controles beschrijft bijvoorbeeld de volgende documentatievereisten:

Bedrijfsbeleid en -procedures met betrekking tot toegang door onbevoegde personen om vaste netwerkbronnen en apparaten en gebruikerstoegangsbeperkingen (bijv. toegangscontrolebeleid, aanvaardbaar gebruiksbeleid, administratief beheer van systemen en bedrijfsinformatiebeveiligingsbeleid) vast te stellen, met inbegrip van die welke betrekking hebben op het volgende: Toegangsrechten voor werknemers vaststellen, waaronder de werknemer rol of groepslidmaatschap; Actualisering of beëindiging van toegangsrechten op basis van personeels- of systeemwijzigingen; en, Eventuele goedkeuring van het management vereist voor wijzigingen in toegangsrechten of besturingselementen. (Zie gerelateerde informatie voor meer informatie:

Klantverwachtingen beheren in een vluchtige omgeving .) Financiële adviseurs moeten deze vereisten aandachtig lezen en ervoor zorgen dat ze deze vragen van tevoren volledig kunnen beantwoorden. Elke mislukking om deze vragen en zorgen aan te pakken kan leiden tot handhavingsacties. (Zie voor gerelateerde literatuur:

Adviseurs moeten zich concentreren op hun eigen pensioen, opvolgingsplannen .) De bottom line

Cybersecurity blijft een topprioriteit onder toezichthouders van SEC en FINRA als cybersecurity-gerelateerd incidenten nemen toe. Voor financiële adviseurs is het belangrijker dan ooit om gegevens te beveiligen met technologie en ervoor te zorgen dat alles is gedocumenteerd voor toezichthouders. Degenen die deze problemen niet aanpakken, zouden te maken kunnen krijgen met een toenemend risico van regelgevende acties, boetes en andere gevolgen naarmate het beleid op een regelgevingsniveau verder is. (Voor gerelateerd, zie:

Uw klanten voorlichten over cyberbeveiliging. )