Hãy tưởng tượng rằng bạn đang làm việc để cân bằng lại danh mục đầu tư của khách hàng và đột nhiên màn hình máy tính trống rỗng. Một thông báo xuất hiện yêu cầu một khoản tiền chuộc trị giá 10 000 đô la được trả trong vòng một giờ nếu không toàn bộ ổ cứng sẽ bị xóa. Bạn đang lo lắng về việc mất giá trị của tháng làm việc, nhưng thông tin bị đánh cắp sẽ tồi tệ hơn nhiều. Bạn phải thông báo cho khách hàng về sự vi phạm bảo mật, nhiều người có thể sẽ bỏ đi, và thậm chí bạn có thể bị phạt bởi FINRA.

AD:

Kịch bản này có thể giống như một cái gì đó trong một bộ phim, nhưng nó thực sự là một hình thức ngày càng phổ biến của cuộc tấn công không gian được gọi là ransomware. Các loại tấn công này có thể bắt nguồn từ một cái gì đó vô hại như một email từ một đồng nghiệp với một loại virut giả mạo dưới dạng bảng tính hoặc một hoá đơn. Nhiều cố vấn tài chính không chuẩn bị tốt để ngăn chặn những kiểu tấn công này khi chúng trở nên phổ biến trong thế giới công nghệ hiện nay.

Trong bài này, chúng ta sẽ xem xét tại sao cybersecurity trở thành trọng tâm chính của các nhà quản lý và tại sao lại là một trong những nhà tư vấn tài chính bất kể quy mô của nó là như thế nào. Ủy ban Chứng khoán và Trao đổi Hoa Kỳ (SEC) đã bắt đầu xem xét kỹ hơn các vấn đề về an ninh mạng và tiến hành lần quét đầu tiên (xem phần

7 Mẹo Bảo mật về An ninh mạng cho các Cố vấn. ) của hơn 100 nhà môi giới và tư vấn đầu tư vào năm 2014. Sau khi phát hành kết quả của nó vào tháng hai, cơ quan công bố một cuộc kiểm tra khác vào tháng Chín. SEC và FINRA đã đặt an ninh mạng vào vị trí hàng đầu trong danh sách ưu tiên của họ vào năm 2016, điều này có thể dẫn đến hoạt động thực thi mới vào năm 2016 và 2017. (Để biết thêm thông tin, xem:

Các cố vấn cảm thấy không an toàn với máy tính.

) <

AD:

Các cơ quan này thường xem các kiểm soát an ninh của cố vấn tài chính thông qua kiểm tra và đánh giá. Trong nhiều trường hợp, các cuộc kiểm tra này có thể dẫn tới một số lượng các hành động cưỡng chế tăng lên nhằm khuyến khích các cố vấn cải tiến cơ sở hạ tầng an ninh của họ. Các lĩnh vực trọng tâm của các cơ quan bao gồm quản lý, quyền truy cập, phòng ngừa mất mát dữ liệu, đào tạo, và phản hồi sự cố, trong số các chủ đề khác. Trong các cuộc kiểm tra này, các nhà quản lý sẽ yêu cầu các chính sách và thủ tục bảo mật thông tin của công ty, nhân viên phỏng vấn, và yêu cầu thông tin về các sự cố bảo mật mà công ty đã có. Các cố vấn tài chính cần được chuẩn bị để trả lời tất cả các câu hỏi có trong hướng dẫn hiện tại của cơ quan, đồng thời giải quyết các câu hỏi kỹ thuật và chi tiết hơn mà có thể được yêu cầu để làm rõ thêm. (Để đọc có liên quan, xem: Những cố vấn, khách hàng nên kỳ vọng từ một tương lai quay trở lại thấp

.)

Các cố vấn tài chính nên tập trung nỗ lực vào hai lĩnh vực khi đáp ứng các yêu cầu về an ninh mạng và bảo vệ dữ liệu khách hàng. Khu vực trọng tâm đầu tiên là công nghệ đảm bảo dữ liệu của khách hàng được đảm bảo và giúp tránh bất kỳ vấn đề nào kể từ khi khởi đầu. Khu vực tập trung thứ hai là tài liệu giúp đáp ứng các yêu cầu về quy định và đảm bảo rằng các chính sách được áp dụng để quản lý việc cài đặt và duy trì các giải pháp công nghệ. (999). Giải pháp Công nghệ Có rất nhiều loại công nghệ khác nhau được sử dụng để bảo đảm an toàn mạng lưới và đảm bảo các tội phạm không gian mạng có thể không truy cập thông tin nhạy cảm. Trong hầu hết các trường hợp, cố vấn tài chính nên làm việc với các chuyên gia tư vấn công nghệ thông tin để lựa chọn các công nghệ phù hợp và đảm bảo rằng chúng được lắp đặt đúng cách. Cũng có ích khi các chuyên gia tư vấn này đào tạo nhân viên để tránh những mối liên kết yếu kém nhất là con người. Các công nghệ quan trọng nhất cần thực hiện bao gồm:

Tường lửa phần cứng: Ngăn chặn truy cập trái phép vào một mạng máy tính từ các nguồn bên ngoài bằng cách liệt kê các kết nối đã được phê duyệt và chặn tất cả những người khác. Mã hóa phần mềm:

Bảo vệ dữ liệu nhạy cảm bằng cách hiển thị dữ liệu không thể đọc được bởi bất kỳ ai không có khóa mã hóa hoặc cụm mật khẩu. Quản lý truy cập: Đảm bảo rằng tất cả các cố vấn trong thực tiễn đều có các tài khoản cá nhân riêng của họ được tách riêng để ngăn chặn một vi phạm xâm nhập tất cả dữ liệu.

Antivirus / spyware:

Ngăn chặn việc cài đặt và lây lan virus và spyware trên các máy tính kết nối với mạng và kiểm dịch các virut đã tồn tại.

• Bảo mật truy cập từ xa: Bảo đảm truy cập vào máy tính của mạng lưới từ các cố vấn đang làm việc tại nhà hoặc đi ra khỏi văn phòng thông qua giao tiếp được mã hóa.
• Phương tiện truyền thông mã hóa: Đảm bảo rằng các ổ USB và máy tính xách tay bị đánh cắp bị khóa trong trường hợp bị đánh cắp để bảo vệ thông tin khách hàng nhạy cảm.
• Cập nhật phần mềm: Đảm bảo rằng tất cả các giải pháp phần mềm được cài đặt trên máy tính được cập nhật để đóng bất kỳ lỗ hổng bảo mật nào được phát hiện bởi nhà cung cấp.
• Huấn luyện nhân sự: Giúp nhân viên hiểu cách tránh những nguy cơ bảo mật quan trọng có xu hướng trở thành điểm truy cập phổ biến nhất cho bọn tội phạm không gian mạng.
• Tài liệu thích hợp FINRA và SEC có yêu cầu tài liệu có xu hướng bề mặt khi các cơ quan này tiến hành kiểm tra. Trong nhiều trường hợp, tài liệu hướng dẫn về thủ tục an ninh cũng quan trọng như các biện pháp an ninh thực tế khi thực hiện các biện pháp cưỡng chế.
• Văn phòng SEC của Sáng kiến ​​Bảo mật về Tính Liên tục và Kỳ thi và Sáng kiến ​​Kiểm tra An ninh Kỹ thuật Số năm 2015 là những nơi tốt để bắt đầu. Trong tài liệu, cơ quan quản lý đã vạch ra trọng tâm của nó về quản trị và đánh giá rủi ro, quyền truy cập và kiểm soát, phòng ngừa mất mát dữ liệu, quản lý nhà cung cấp và đào tạo và sau đó thảo luận các chi tiết cụ thể liên quan đến việc thực hiện và lập hồ sơ các giải pháp trong các lĩnh vực này.(999) Các ví dụ về quyền truy cập và phần kiểm soát đã phác thảo các yêu cầu về tài liệu sau: Các chính sách và thủ tục liên quan đến việc tiếp cận bởi những người không có thẩm quyền đối với các tài nguyên và thiết bị mạng của công ty và các hạn chế truy cập của người dùng (ví dụ, chính sách kiểm soát truy cập, chính sách sử dụng có thể chấp nhận được, quản lý hành chính hệ thống và chính sách an ninh thông tin của công ty), bao gồm các quy định sau: Thiết lập các quyền truy cập của nhân viên, vai trò hoặc thành viên nhóm; Cập nhật hoặc chấm dứt quyền truy cập dựa trên sự thay đổi nhân sự hoặc hệ thống; và Bất kỳ sự chấp thuận quản lý nào được yêu cầu cho việc thay đổi quyền truy cập hoặc kiểm soát. (999) Quản lý sự mong đợi của khách hàng trong môi trường dễ bay hơi
• Các cố vấn tài chính cần đọc cẩn thận các yêu cầu này và đảm bảo rằng họ có thể trả lời đầy đủ những câu hỏi này trước thời hạn. Bất kỳ thất bại nào để giải quyết những câu hỏi và mối quan ngại này có thể dẫn đến các hành động cưỡng chế. (999).
• Dòng dưới cùng Cybersecurity vẫn là ưu tiên hàng đầu trong số các cơ quan quản lý tại SEC và FINRA là các mối quan hệ về an ninh phi cybersecurity sự cố đang gia tăng. Đối với cố vấn tài chính, quan trọng hơn bao giờ hết là đảm bảo dữ liệu với công nghệ và đảm bảo rằng mọi thứ đều được ghi lại cho các nhà quản lý. Những người không giải quyết được những vấn đề này có thể phải đối mặt với nguy cơ ngày càng tăng về các hành động, phạt và các hậu quả khác do các chính sách hoàn thiện ở mức quy định. (Đối với liên quan, xem:

Giáo dục khách hàng của bạn về Cyber ​​security.

)