目次:
- これらの機関は現在、テストと評価を通じて財務アドバイザーのセキュリティ管理を日常的に検討しています。多くの場合、これらの検査は、アドバイザがセキュリティインフラストラクチャを改善するよう促すための執行措置の増加をもたらす可能性があります。当局の主要な分野には、ガバナンス、アクセス権、データ損失防止、トレーニング、インシデント対応などがあります。 (関連資料については、
- 1つの違反がすべてのデータを侵害するのを防ぐために、練習中のすべてのアドバイザーが独自の個別アカウントを持つようにします。
- 結論
あなたがクライアントポートフォリオをリバランスさせることに取り組んでいて、突然コンピュータ画面が空白になったとします。 1時間以内に支払われる$ 10,000の身代金を要求するメッセージが表示されます。そうしないと、ハードドライブ全体が消去されます。あなたは数カ月間の仕事を失うことを心配していますが、盗まれた情報ははるかに悪くなります。セキュリティ違反について顧客に通知しなければならない場合が多く、おそらく多くの企業がFINRAに罰金を科す可能性があります。
<! - 1 - >このシナリオは映画のように聞こえるかもしれませんが、実際にはransomwareとして知られるサイバー攻撃の一般的な形です。これらの種類の攻撃は、同僚からの電子メールのような無害なものから発生し、スプレッドシートまたは請求書に偽装されたウイルスを伴います。多くのファイナンシャル・アドバイザーは、今日のIT主導の世界でますます一般的になっているこの種の攻撃を防止するために準備が整っていません。
<! - 2 - >この記事では、サイバーセキュリティが規制当局の主要な焦点になった理由、規模に関係なくすべての財務アドバイザーにとってなぜサイバーセキュリティが必要なのかを見ていきます。 (米国証券取引委員会(SEC)は、サイバーセキュリティ問題を詳しく見て、最初の掃引を実施した。 100社以上のブローカー・ディーラーと投資顧問会社を2014年に設立した。翌年2月にその調査結果を発表した後、代理店は9月までにさらに別の試験を発表した。 SECとFINRAは、2016年に優先順位リストの最上位にサイバーセキュリティを置き、2016年と2017年に新たな執行活動につながる可能性があります(詳細は、 顧問はCyber-Insecure <! - 3 - >
これらの機関は現在、テストと評価を通じて財務アドバイザーのセキュリティ管理を日常的に検討しています。多くの場合、これらの検査は、アドバイザがセキュリティインフラストラクチャを改善するよう促すための執行措置の増加をもたらす可能性があります。当局の主要な分野には、ガバナンス、アクセス権、データ損失防止、トレーニング、インシデント対応などがあります。 (関連資料については、
SEOに関するソーシャルメディア を参照してください。) これらの試験中、規制当局は企業の情報セキュリティポリシーと手順を要求し、スタッフにインタビューし、情報を要求します同社がすでに経験したセキュリティインシデントについてファイナンシャル・アドバイザーは、代理店の既存ガイダンスに記載されているすべての質問に答える一方で、より分かりやすくするためのより技術的で詳細な質問に対処するように準備する必要があります。 (関連する読書については、
クライアントが安価な将来から期待しなければならないアドバイザーを参照してください。) ファイナンシャル・アドバイザーは、サイバーセキュリティ要件を満たし、顧客データを保護するという2つの領域に力を注ぐべきである。第1の焦点は、クライアントのデータが確実に保護され、問題の発生を防ぐのに役立つ技術です。第2の焦点は、規制要件を満たすのに役立つドキュメンテーションであり、テクノロジソリューションのインストールと保守を管理するためのポリシーが適切に配置されていることを保証します。 技術的ソリューション
ネットワークを保護し、サイバー犯罪者を脅かすことのないようにするために使用される多くの異なるタイプのテクノロジーがあります(999ページを参照してください)機密情報にアクセスする。ほとんどの場合、ファイナンシャル・アドバイザーは情報技術コンサルタントと協力して、適切なテクノロジーを選択し、適切にインストールされていることを確認する必要があります。また、多くの場合、最も弱いリンクである人を避けるために、これらのコンサルタントにスタッフを訓練させることも役立ちます。 ハードウェアファイアウォール: 承認されたすべての接続をホワイトリストに載せ、他のすべての接続をブロックすることによって、外部からのコンピュータネットワークへの不正アクセスを防止します。
ソフトウェアの暗号化: 暗号鍵またはパスフレーズを持っていない人が機密データを読むことができないようにして保護します。 アクセス管理:
1つの違反がすべてのデータを侵害するのを防ぐために、練習中のすべてのアドバイザーが独自の個別アカウントを持つようにします。
ウイルス対策/スパイウェア:
- ネットワークに接続されたコンピュータにウイルスやスパイウェアがインストールされ、拡散するのを防ぎ、既存のウイルスを隔離します。 セキュリティ保護されたリモートアクセス:
- 暗号化された通信を介して、自宅またはオフィス外にいる顧問からネットワークコンピュータへのアクセスを保護します。 ポータブルメディアの暗号化:
- 盗難されたUSBドライブとラップトップが機密情報を保護するために盗難に備えてロックされるようにします。 ソフトウェアアップデート:
- コンピュータにインストールされているすべてのソフトウェアソリューションが、ベンダーが発見したセキュリティホールを閉じるために最新の状態に保たれるようにします。 人材育成:
- サイバー犯罪者にとって最も一般的なエントリーポイントとなるような重要なセキュリティリスクを避ける方法を理解する。 適切な文書
- FINRAとSECは、これらの機関が試験を実施するときに浮上する傾向のある文書化要件を持っています。多くの場合、セキュリティ手順の文書化は、執行措置に関する実際のセキュリティ対策ほど重要です。 SECのコンプライアンスと試験のサイバーセキュリティー・イニシアチブと2015年のサイバーセキュリティ・イニシアチブ・イニシアチブは始めるのに適しています。この文書では、規制当局がガバナンスとリスク評価、アクセス権とコントロール、データ損失防止、ベンダー管理、およびトレーニングに焦点を当て、これらの分野におけるソリューションの実装と文書化に関連する詳細について説明しました。(999)>
- 例えば、アクセス権とコントロールのセクションでは、以下の文書要件が概説されています。 アクセスに関する企業ポリシーと手順許可されていない者が以下のようなものを含むネットワークリソースとデバイス、ユーザーアクセス制限(アクセス制御ポリシー、許容使用ポリシー、システムの管理管理、企業情報セキュリティポリシーなど)を堅持すること。役割またはグループメンバーシップ。人員またはシステムの変更に基づいてアクセス権を更新または終了する。アクセス権またはコントロールの変更に必要な管理上の承認。 (揮発性環境におけるクライアントの期待を管理する
- を参照してください。) ファイナンシャル・アドバイザーは、これらの要件を注意深く読んで、これらの質問に十分に前もって十分に答えなければなりません。これらの疑問や懸案事項に対処できない場合は、執行措置につながる可能性があります。 (999)アドバイザリーは、自らの退職、継承計画に焦点を当てるべきである(999)。
結論
サイバーセキュリティは、SECとFINRAの規制当局の最優先課題であるインシデントが増加しています。ファイナンシャル・アドバイザーにとっては、テクノロジーを使用してデータを保護し、レギュレータのためにすべてが文書化されていることを確実にすることがこれまで以上に重要です。これらの問題に対処できない人は、規制レベルで成熟するにつれて規制措置、罰金、その他の結果のリスクが高まる可能性があります。 (関連については、
サイバーセキュリティについてのクライアントの教育 )