Los piratas informáticos representan un riesgo importante para los asesores financieros, no solo en términos de tiempo o dinero, sino también en términos de daño a la reputación. Los asesores pasan una vida profesional creando confianza que se puede erosionar con un clic del mouse.

El ex comisionado de la Comisión de Bolsa y Valores (SEC), Luis Aguilar, en un discurso en junio de 2015, calificó a la industria financiera como el "objetivo principal" para los cibercriminales internacionales. Según los informes, uno de los principales bancos de los EE. UU. Fue atacado 30,000 veces en una sola semana, un promedio de una vez cada 34 segundos. (Para obtener más información, consulte: Los asesores financieros se sienten cibernéticos .)

Se espera que los delitos cibernéticos generen $ 450 mil millones en pérdidas financieras totales este año. Los ataques vienen en una variedad de sabores, desde el robo de identidad de fuerza bruta hasta el ransomware, pasando por sofisticadas técnicas de phishing. Los ataques a grandes firmas como eBay, JPMorgan Chase o Home Depot pueden aparecer en los titulares, pero los expertos dicen que las empresas más pequeñas deben estar atentos y no asumir que están debajo del radar porque no son un nombre familiar.

Robo de identidad

El Buró Federal de Investigaciones denomina el robo de identidad cibernética el delito de más rápido crecimiento en los EE. UU. Según un estudio reciente de Symantec, los ladrones de identidad alcanzaron 429 millones de registros en 2015, un 23% más del año anterior. Y debido a que las empresas no informan completamente el alcance de sus incumplimientos, la cantidad real de identidades comprometidas podría ser mayor. Una estimación conservadora, dice Symantec, impulsaría el número de identidades expuestas reales a más de 500 millones.

Nueve violaciones expuestas a más de 10 millones de identidades. Pero muchos ataques más pequeños nunca son noticia. La brecha promedio expuso menos de 5,000 identidades. A pesar de la dificultad para cuantificar el alcance del problema, las razones de estos robos son tan sencillas como la oferta y la demanda. Aguilar ha dicho que el mercado estimado para las tarjetas de crédito robadas es mayor que el mercado de la cocaína en $ 29 mil millones.

Las consecuencias del robo de identidad pueden ser graves. Es costoso notificar a los clientes y es vergonzoso contarles sobre una infracción. La falta de protección de las identidades de los clientes puede hacer que se enfrente a las leyes que rigen la privacidad, lo que resulta en sanciones o prohibiciones. (Para la lectura relacionada, consulte: 7 Consejos de seguridad cibernética para asesores financieros. )

Ransomware

Según el informe de Symantec, las incidencias de ataques de ransomware aumentaron un 35% en 2015. En estos ataques, los hackers comandaron una computadora o red individual y luego exigir el pago, a veces en Bitcoin. En otro tipo de ataque de ransomware, los piratas informáticos cifran archivos individuales, y luego exigen un rescate a cambio de la clave de cifrado.

Spear Phishing

Los ataques de Spear phishing aumentaron a 1, 305 en 2015, frente a los 814 del año anterior, según Symantec.Y la industria financiera fue el objetivo principal, con un 35% de los ataques dirigidos a empresas financieras, de seguros o inmobiliarias. Además, estos tipos de ataques se vuelven más sigilosos, dicen los expertos. Symantec dice que varios grupos, incluidos grupos patrocinados por el estado, participaron activamente en ataques de spear phishing en 2015.

Expectativas aumentadas

Junto con la incidencia de ciberataques, las expectativas de los clientes hacia la seguridad han aumentado en los últimos años. Entonces tienen las expectativas de los reguladores. En un aviso emitido en enero de 2015, la Asociación Norteamericana de Administradores de Valores advirtió a los inversores que debían debatir sobre seguridad cibernética con sus asesores.

En su discurso, Aguilar dijo que era "decepcionante" que tantas empresas no tomaran medidas básicas para mitigar la amenaza de los ciberataques. Muchos no designaron a un oficial de seguridad de la información ni tienen un seguro cibernético. (Para lecturas relacionadas, consulte: Educar a los clientes sobre seguridad cibernética .)

Requisitos de cumplimiento

La SEC adoptó un reglamento sobre "Cumplimiento e integridad de sistemas" en noviembre de 2014 que requiere intrusiones significativas para ser informado en 24 horas. La regulación cubre las bolsas de valores y la infraestructura modelo. Pero se ha mantenido como una reglamentación modelo en la que se basa en los riesgos, alentando a las empresas a enfocar sus recursos preventivos en los sistemas donde hay mayor potencial de daño, e insta a la participación del liderazgo superior al nivel de la junta donde hay real responsabilidad.

La división de aplicación de la SEC investiga las infracciones, incluidos los escenarios en los que los asesores de inversiones no protegen la información confidencial de los clientes. En 2015, la División de Gestión de Inversiones de la Comisión emitió orientación sobre seguridad cibernética: prueba periódicamente tus sistemas de tecnología de la información, desarrolla una estrategia de ciberseguridad y capacita a los empleados para implementarla.

Los expertos dicen que los recursos humanos de una empresa a menudo son su mayor vulnerabilidad. Un estudio reciente de IBM descubrió que los iniciados eran responsables de la mayoría de las infracciones de seguridad cibernética. Incluso cuando no están alterando intencionalmente los sistemas, los empleados pueden dejar inadvertidamente la puerta abierta a los ladrones. (Para la lectura relacionada, consulte: SEC para asesores: implementar planes de seguridad cibernética .)

Además de capacitar a los empleados sobre las mejores prácticas, como la forma de proteger una contraseña y cómo identificar una estafa de phishing debería tener políticas escritas que deletreen los procedimientos en caso de un ataque cibernético y los pasos tomados para prevenir infracciones. La Asociación Norteamericana de Administradores de Valores enfatiza la importancia de las políticas escritas.

La SEC en sus revisiones recientes encontró que muchas empresas tenían tales políticas, pero que con frecuencia no especificaban cómo determinarían las pérdidas de los clientes como resultado de un ataque. En una revisión reciente, la SEC descubrió que muchas empresas no realizaron evaluaciones de riesgos de sus proveedores externos, dejándolas expuestas y vulnerables a los ataques que explotaron las relaciones con proveedores externos.Lo importante es llevar a cabo la diligencia debida para demostrar a los reguladores que ha tomado en serio las amenazas.

The Bottom Line

Los delitos cibernéticos están en aumento y se están volviendo cada vez más sofisticados. Los asesores deben contar con un sistema para protegerse contra ellos y asegurarse de que cumplan con las reglamentaciones. (Para obtener más información, consulte: Delito cibernético: consejos sobre cómo evitar una catástrofe .)