El impacto de WikiLeaks en las elecciones presidenciales de EE. UU. Ha puesto a los temas de ciberseguridad en la portada de los periódicos nacionales. Pero el costo real del delito cibernético se oculta a menudo por las empresas que prefieren mantener quietas las infracciones. Juniper Research cree que el costo de las infracciones de datos podría elevarse a más de $ 2 billones en 2019, lo que supondría un aumento de cuatro veces sobre el costo estimado del cibercrimen para empresas y empresas el año pasado.

Los asesores financieros podrían ser particularmente vulnerables al delito cibernético dada la naturaleza de sus negocios, lo que ha llevado a la Comisión de Bolsa y Valores (SEC) y a FINRA a imponer nuevas reglamentaciones para salvaguardar los datos confidenciales de los clientes. Además de instalar un nuevo asesor principal en política de seguridad cibernética, la SEC comenzó la segunda ronda de exámenes de ciberseguridad. La agencia también ha impuesto multas a los principales bancos como Morgan Stanley por no proteger la información del consumidor. (Para obtener más información, consulte: Lo que no sabe sobre la ciberseguridad puede hacerle daño .)

En este artículo, analizaremos un plan de 12 pasos desarrollado por un experto en cumplimiento normativo, así como algunas consideraciones adicionales para los asesores financieros.

12 pasos hacia la seguridad

Cipperman Compliance Services, un proveedor independiente de la perspectiva de terceros sobre el cumplimiento normativo, proporcionó recientemente su perspectiva sobre seguridad cibernética. En una publicación de blog, la empresa describió 12 pasos que los asesores financieros pueden tomar para garantizar que cumplan con los nuevos estándares regulatorios y protejan mejor la información sensible del cliente. Estos pasos proporcionan un gran plan y punto de partida para los asesores que buscan implementar sus propios programas. (Para obtener más información, consulte: 7 Consejos de seguridad cibernética para asesores. )

Los 12 pasos incluyen:

1. Identificación de información confidencial . Los asesores deben realizar una evaluación interna para encontrar dónde se encuentra la información confidencial e identificar quién tiene acceso.
2. Restringir acceso . Los asesores deben asegurarse de que las contraseñas sean específicas de cada empleado y requieran una actualización periódica.
3. Monitor para Intrusiones . Los expertos en tecnología de la información deberían agregar monitoreo de intrusos como parte de los protocolos de virus y seguridad y rastrear los errores de inicio de sesión.
4. Prohibir almacenamiento extraíble . Los asesores deben evitar el uso de almacenamiento extraíble que puede ser robado ya que los dispositivos son propensos a atacar.
5. Dispositivos de límite . Los asesores solo deben usar dispositivos aprobados y encriptados para acceder a redes internas o sistemas de archivos.
6. Prueba de vulnerabilidades . Los expertos en tecnología de la información deben ser contratados para realizar una evaluación de vulnerabilidad y realizar pruebas de penetración.
7. Evaluar proveedores . Los asesores deben llevar a cabo una debida diligencia exhaustiva al seleccionar proveedores y crear sistemas de monitoreo e informes continuos.
8. Informe a la gerencia . Los asesores deben agregar ciberseguridad como un elemento de la agenda a cada reunión de gestión y cumplimiento, e incluir informes del equipo de TI.
9. Designar un jefe . Las empresas asesoras deben designar a una persona para que sea responsable del cumplimiento de la ciberseguridad en toda la organización.
10. Crear un plan de respuestas . Los asesores deben desarrollar un plan de respuesta que incluya avisos a los clientes y reguladores, así como las reglas para el parcheo de vulnerabilidades.
11. Considere seguro . Los asesores deben considerar una póliza de seguro de ciberseguridad para proteger a la empresa contra un evento catastrófico.
12. Implementar procedimientos . Los asesores deben crear políticas y procedimientos que cubran todos los pasos anteriores y realizar evaluaciones anuales para determinar su efectividad.

Mantenerse al día con los cambios

Los asesores financieros deben considerar estos pasos en el contexto de la orientación sobre ciberseguridad que ha emitido la SEC y la FINRA. Estos reguladores han publicado una guía periódica actualizada para que los asesores la consideren al desarrollar y mantener sus programas de seguridad cibernética. (Para obtener más información, consulte: Los asesores se sienten ciberseguros. )

La SEC proporciona una lista completa de sus directrices en su página Ciberseguridad, que incluye resúmenes de los exámenes anteriores de ciberseguridad. FINRA mantiene una página de Tema de seguridad cibernética que incluye una Lista de ciberseguridad descargable diseñada para ayudar a las pequeñas empresas a establecer un programa de ciberseguridad compatible. FINRA también proporciona una lista de proveedores de seguridad cibernética que exhibió en la Conferencia anual FINRA 2016.

The Bottom Line

La seguridad cibernética representa un riesgo creciente para los asesores financieros dada la naturaleza de su negocio. Además del riesgo de incumplimiento, los asesores que no cumplan con las pautas regulatorias corren el riesgo de incurrir en multas relacionadas con sus defensas inadecuadas. El proceso de 12 pasos de Cipperman proporciona un plan útil para los asesores que desean proteger sus prácticas y cumplir con los requisitos reglamentarios, pero es importante mantenerse al día con los nuevos requisitos y potencialmente utilizar los servicios de expertos. (Para obtener más información, consulte: Cómo educar a sus clientes sobre ciberseguridad .)