Imagine que está trabajando en reequilibrar una cartera de clientes y de repente la pantalla de la computadora se queda en blanco. Aparece un mensaje que exige un pago de $ 10,000 dentro de una hora o de lo contrario se borrará todo el disco duro. Te preocupa perder trabajo por meses, pero la información robada sería mucho peor. Tendría que notificar a los clientes sobre la violación de seguridad, muchos probablemente se irían, e incluso FINRA podría multarlo.

Este escenario puede parecer algo sacado de una película, pero en realidad es una forma cada vez más común de ataque cibernético conocido como ransomware. Este tipo de ataques puede provenir de algo tan inocuo como un correo electrónico de un colega con un virus disfrazado de hoja de cálculo o factura. Muchos asesores financieros no están preparados para prevenir este tipo de ataques ya que se vuelven cada vez más comunes en el mundo impulsado por la tecnología actual.

En este artículo, veremos por qué la ciberseguridad se ha convertido en un foco primario para los reguladores y por qué debería ser uno para todos los asesores financieros, independientemente de su tamaño. (Para obtener más información, consulte: 7 Consejos de seguridad cibernética para asesores. )

Mayor enfoque normativo

La Comisión de Bolsa y Valores de los EE. UU. (SEC) comenzó a examinar más detenidamente los problemas de ciberseguridad y realizó su primer barrido de más de 100 corredores de bolsa y asesores de inversión en 2014. Luego de publicar sus hallazgos el siguiente febrero, la agencia anunció otra ronda de exámenes para septiembre. La SEC y FINRA colocaron la seguridad cibernética cerca de la parte superior de su lista de prioridades en 2016, lo que podría conducir a nuevas actividades de aplicación en 2016 y 2017. (Para obtener más información, consulte: Los asesores se sienten ciberseguros ) <

Estas agencias ahora rutinariamente observan los controles de seguridad de los asesores financieros a través de pruebas y evaluaciones. En muchos casos, estos exámenes podrían dar lugar a un número cada vez mayor de medidas coercitivas destinadas a alentar a los asesores a mejorar su infraestructura de seguridad. Las principales áreas de enfoque de las agencias incluyen gobernabilidad, derechos de acceso, prevención de pérdida de datos, capacitación y respuesta a incidentes, entre otros temas. (Para lecturas relacionadas, ver:

Lo que los asesores necesitan saber sobre SEO, redes sociales .) Durante estos exámenes, los reguladores solicitarán las políticas y procedimientos de seguridad de la información de la empresa, entrevistarán a los miembros del personal y solicitarán información en incidentes de seguridad que la empresa ya ha experimentado. Los asesores financieros deben estar preparados para responder a todas las preguntas presentes en la guía existente de las agencias, al tiempo que abordan preguntas más técnicas y detalladas que pueden ser solicitadas para mayor claridad. (Para la lectura relacionada, consulte:

Qué asesores, los clientes deberían esperar de un futuro de bajo rendimiento .) Los asesores financieros deberían centrar sus esfuerzos en dos áreas cuando se trata de cumplir con los requisitos de ciberseguridad y proteger los datos de los clientes. La primera área de enfoque es la tecnología que garantiza la seguridad de los datos del cliente y ayuda a evitar cualquier problema desde el inicio. La segunda área de enfoque es la documentación que ayuda a cumplir los requisitos reglamentarios y asegura que las políticas estén en su lugar para regir la instalación y el mantenimiento de soluciones tecnológicas. (Para la lectura relacionada, consulte:

Lo que los asesores pueden aprender de Robo-Advisors .) Soluciones de tecnología

Hay muchos tipos diferentes de tecnología que se emplean para proteger redes y garantizar que los ciberdelincuentes no puedan acceder a información sensible. En la mayoría de los casos, los asesores financieros deben trabajar con consultores de tecnología de la información para seleccionar las tecnologías adecuadas y garantizar que estén instaladas correctamente. También puede ser útil que estos consultores capaciten a los miembros del personal para evitar lo que a menudo son los eslabones más débiles: los humanos. Las tecnologías más importantes para implementar incluyen:

Firewall de hardware:

• Evita el acceso no autorizado de una red informática desde fuentes externas al hacer una lista blanca de todas las conexiones aprobadas y bloquear todas las demás. Encriptación de software:
• Protege los datos confidenciales haciéndolos ilegibles para cualquiera que no posea la clave de cifrado o la frase de contraseña. Administración de acceso:
• garantiza que todos los asesores en una práctica tengan sus propias cuentas individuales segregadas para evitar que una violación comprometa todos los datos. Antivirus / spyware:
• Impide la instalación y propagación de virus y spyware en computadoras conectadas a una red y pone en cuarentena los virus que ya existen. Acceso remoto seguro:
• Asegura el acceso a las computadoras de una red a través de asesores que trabajan en casa o fuera de la oficina a través de comunicaciones encriptadas. Cifrado de medios portátiles:
• Asegura que las unidades USB y portátiles que se roban estén bloqueadas en caso de que sean robadas para proteger la información sensible del cliente. Actualizaciones de software:
• Asegura que todas las soluciones de software instaladas en una computadora se mantengan actualizadas para cerrar cualquier agujero de seguridad descubierto por el proveedor. Capacitación de personal:
• Ayuda al personal a comprender cómo evitar riesgos clave de seguridad que tienden a ser el punto de entrada más común para los ciberdelincuentes. Documentación adecuada

FINRA y la SEC tienen requisitos de documentación que tienden a aparecer cuando estas agencias realizan exámenes. En muchos casos, la documentación de los procedimientos de seguridad es tan importante como las medidas de seguridad reales cuando se trata de acciones de cumplimiento.

La Iniciativa de Ciberseguridad de la Oficina de Cumplimiento y Examen de la SEC y la Iniciativa de Examen de Ciberseguridad 2015 son buenos lugares para comenzar. En el documento, la agencia reguladora describió su enfoque en gobernanza y evaluación de riesgos, derechos y controles de acceso, prevención de pérdida de datos, gestión de proveedores y capacitación, y luego analiza los detalles asociados con la implementación y documentación de soluciones en estas áreas.(Para obtener información relacionada, consulte:

Sugerencias principales para personas de edad digital para asesores financieros. ) Por ejemplo, la sección de derechos y controles de acceso describe los siguientes requisitos de documentación:

Políticas y procedimientos firmes con respecto al acceso por personas no autorizadas a recursos y dispositivos de red firmes y restricciones de acceso de usuario (por ejemplo, política de control de acceso, política de uso aceptable, administración administrativa de sistemas y política de seguridad de la información corporativa), incluyendo aquellos que abordan lo siguiente: Establecimiento de derechos de acceso de los empleados, incluyendo los empleados rol o membresía grupal; Actualizando o cancelando derechos de acceso basados ​​en cambios de personal o sistema; y, cualquier aprobación de la administración requerida para cambios a los derechos o controles de acceso. (Para la lectura relacionada, consulte:

Administración de las expectativas del cliente en un entorno volátil .) Los asesores financieros deben leer cuidadosamente estos requisitos y asegurarse de que puedan responder estas preguntas por adelantado. Cualquier falla al abordar estas preguntas y preocupaciones podría conducir a acciones de cumplimiento. (Para la lectura relacionada, ver:

Los asesores deben enfocarse en su propia jubilación, planes de sucesión .) La línea inferior

La ciberseguridad sigue siendo una prioridad para los reguladores de SEC y FINRA como relacionados con la ciberseguridad los incidentes van en aumento. Para los asesores financieros, es más importante que nunca proteger los datos con tecnología y garantizar que todo esté documentado para los reguladores. Aquellos que no abordan estos problemas podrían enfrentar un riesgo creciente de acciones regulatorias, multas y otras consecuencias a medida que las políticas maduran en un nivel regulatorio. (Para información relacionada, consulte:

Educando a sus clientes sobre ciberseguridad. )