Tänk på att du arbetar med att ombalansera en kundportfölj och plötsligt blir skärmen tom. Ett meddelande visas som kräver ett lösenord på $ 10 000 som betalas inom en timme annars kommer hela hårddisken att raderas. Du är orolig för att du förlorar månadens arbete, men stulen information skulle vara mycket värre. Du måste informera kunder om säkerhetsbrottet, många skulle sannolikt lämna, och du kan till och med bötfällas av FINRA.

Detta scenario kan låta som något ur en film, men det är faktiskt en allt vanligare form av cyberattack som kallas ransomware. Dessa typer av attacker kan härröra från något så oskyldigt som ett e-postmeddelande från en kollega med ett virus som är förklädd som ett kalkylblad eller en faktura. Många finansiella rådgivare är dåligt beredda att förhindra sådana attacker som de blir allt vanligare i dagens teknikdrivna värld.

I den här artikeln kommer vi att titta på varför cybersäkerhet har blivit ett primärt fokus för tillsynsmyndigheter och varför det borde vara en för alla finansiella rådgivare oavsett storlek. (För mer information, se: 7 Cybersecurity Tips för rådgivare. )

Ökat regleringsfokus

US Securities and Exchange Commission (SEC) började ta en närmare titt på cybersäkerhetsfrågor och genomförde sitt första svep av mer än 100 mäklare och investeringsrådgivare 2014. Efter att ha släppt sina resultat den följande februari meddelade byrån ytterligare en undersökning i september. SEC och FINRA har placerat cybersäkerhet nära toppen av deras prioriteringslista 2016, vilket kan leda till ny verkställighetsaktivitet 2016 och 2017. (Mer information finns i Rådgivare känner sig cyber-osäkra. ) <

Dessa byråer ser nu rutinmässigt på finansiella rådgivares säkerhetskontroller genom test och bedömningar. I många fall kan dessa undersökningar leda till ett ökande antal verkställighetsåtgärder som syftar till att uppmuntra rådgivare att förbättra sin säkerhetsinfrastruktur. Byråns viktiga fokusområden är styrning, åtkomsträttigheter, förebyggande av dataförlust, utbildning och incidenter, bland annat. (För relaterad läsning, se:

Vilka rådgivare behöver veta om SEO, sociala medier .) Under dessa undersökningar kommer regulatorer att begära ett företags informationssäkerhetspolicyer och rutiner, intervjua medarbetare och begära information om säkerhetshändelser som företaget redan har upplevt. Finansiella rådgivare bör vara beredda att svara på alla frågor som finns i myndigheternas befintliga vägledning, samtidigt som man tar upp mer tekniska och detaljerade frågor som kan ställas för ytterligare klarhet. (För relaterad läsning, se:

Vilka rådgivare, kunderna borde förvänta sig från en låg återvändande framtid .) Finansiella rådgivare bör fokusera sina ansträngningar på två områden när det gäller att uppfylla krav på cybersäkerhet och skydda kunddata. Det första fokusområdet är teknik som säkerställer att kunddata är säkrade och hjälper till att undvika problem från början. Det andra fokusområdet är dokumentation som hjälper till att uppfylla regelverkets krav och säkerställer att det finns riktlinjer för installation och underhåll av tekniska lösningar. (För relaterad läsning, se:

Vilka rådgivare kan lära av Robo-Advisors .) Teknologilösningar

Det finns många olika typer av teknik som används för att säkra nätverk och se till att de cyberkriminella inte kan tillgångskänslig information. I de flesta fall bör finansiella rådgivare arbeta med informationskonsulter för att välja rätt teknik och se till att de är ordentligt installerade. Det kan också vara till hjälp att dessa konsulter tränar medarbetare för att undvika vad som ofta är de svagaste länkarna: människor. De viktigaste teknikerna för implementering är:

Hårdvarubrandväg:

• Förhindrar obehörig åtkomst av ett datornätverk från externa källor genom att vitlista varje godkänd anslutning och blockera alla andra. Mjukvarukryptering:
• Håller känslig data genom att göra den oläslig av alla som inte har krypteringsnyckeln eller lösenordsfrasen. Åtkomsthantering:
• Säkerställer att alla rådgivare i en övning har sina egna individuella konton som är segregerade för att förhindra att ett brott bryts mot att kompromissa med all data. Antivirus / spyware:
• Förhindrar installation och spridning av virus och spionprogram på datorer som är anslutna till ett nätverk och karantäner eventuella virus som redan finns. Säkert fjärråtkomst:
• Säkert åtkomst till ett nätverks datorer från rådgivare som arbetar hemma eller bort från kontoret via krypterad kommunikation. Bärbar mediekryptering:
• Säkerställer att stulna USB-enheter och bärbara datorer är låsta när de blir stulna för att skydda känslig klientinformation. Programuppdateringar:
• Säkerställer att alla programvarulösningar som är installerade på en dator hålls uppdaterade för att stänga eventuella säkerhetshål som upptäckts av säljaren. Personalutbildning:
• Hjälper personalen att förstå hur man undviker viktiga säkerhetsrisker som brukar vara den vanligaste startpunkten för cyberkriminella. Korrekt dokumentation

FINRA och SEC har dokumentationskrav som tenderar att överföras när dessa myndigheter genomför undersökningar. I många fall är dokumentationen av säkerhetsprocedurer lika viktig som de faktiska säkerhetsåtgärderna när det gäller verkställighetsåtgärder.

Sekretessinitiativet för säkerhetsövervakning och undersökning, Cyber ​​Security Initiative och 2015 Cyber ​​Security Examination Initiative är bra ställen att börja. I dokumentet redogjorde den regulatoriska byrån för sitt fokus på styrning och riskbedömning, åtkomsträttigheter och kontroller, förebyggande av dataförlust, leverantörshantering och utbildning och diskuterar sedan de specifika aspekter som är kopplade till implementering och dokumentation av lösningar inom dessa områden.(För relaterad läsning, se:

Bästa tips om digital ålder för finansiella rådgivare. ) Till exempel beskriver avsnittet om åtkomsträttigheter och kontroller följande dokumentationskrav:

Fast policy och förfaranden för tillträde av obehöriga personer till fasta nätverksresurser och -enheter och begränsningar för användaråtkomst (t.ex. åtkomstkontrollpolitik, acceptabel användningspolitik, administrativ hantering av system och företags informationssäkerhetspolitik), inklusive de som behandlar följande: Upprättande av arbetstagarrättigheter, inklusive arbetstagarens roll eller gruppmedlemskap Uppdatera eller avsluta behörighetsrättigheter baserat på personal eller systemändringar; och, eventuellt hanteringsgodkännande som krävs för ändringar av åtkomsträttigheter eller kontroller. (För relaterad läsning, se:

Hantera kundförväntningar i en flyktig miljö .) Finansiella rådgivare bör noggrant läsa igenom dessa krav och se till att de kan svara fullt ut på dessa frågor i förväg. Eventuella misslyckanden att ta itu med dessa frågor och bekymmer kan leda till verkställighetsåtgärder. (För relaterad läsning, se:

Rådgivare måste fokusera på sin egen pension, uppdragsplaner .) Bottenlinjen

Cybersäkerhet är fortfarande högsta prioritet bland regulatorer i SEC och FINRA som cybersäkerhetsrelaterad incidenter är på väg upp. För finansiella rådgivare är det viktigare än någonsin att säkra data med teknik och se till att allt är dokumenterat för tillsynsmyndigheter. De som misslyckas med att ta itu med dessa problem skulle kunna möta en ökande risk för reglering, böter och andra konsekvenser som politiken mognar på en regleringsnivå. (För relaterade, se:

Utbildning av dina kunder om cybersecurity. )