Imagine que você está trabalhando no reequilíbrio de um portfólio de clientes e de repente a tela do computador fica em branco. Uma mensagem aparece exigindo um resgate de $ 10 000 pago dentro da hora, ou então todo o disco rígido será apagado. Você está preocupado com a perda de meses de trabalho, mas a informação roubada seria muito pior. Você teria que notificar os clientes da violação de segurança, muitos provavelmente sairão, e você pode até ser multado pela FINRA.

Este cenário pode soar como algo fora de um filme, mas na verdade é uma forma cada vez mais comum de ciberataque conhecido como ransomware. Esses tipos de ataques podem ser originários de algo tão inócuo como um e-mail de um colega com um vírus disfarçado de planilha ou de fatura. Muitos conselheiros financeiros estão mal preparados para evitar esses tipos de ataques à medida que se tornam cada vez mais comuns no mundo tecnológico atualizado.

Neste artigo, examinaremos por que a segurança cibernética tornou-se um foco primordial para os reguladores e por que deveria ser um para todos os consultores financeiros, independentemente do tamanho. (Para mais, consulte: 7 Dicas de Segurança Cibernética para Conselheiros. )

Aumento do foco regulatório

A Comissão de Valores Mobiliários (SEC) começou a examinar mais de perto os problemas de segurança cibernética e realizou sua primeira varredura de mais de 100 corretores e consultores de investimentos em 2014. Depois de divulgar suas descobertas no mês de fevereiro seguinte, a agência anunciou outra rodada de exame até setembro. A SEC e FINRA colocaram a segurança ciberneira no topo de sua lista de prioridades em 2016, o que poderia levar a uma nova atividade de execução em 2016 e 2017. (Para mais informações, veja: Os consultores estão se sentindo ciberesecados. ) <

Essas agências agora examinam rotineiramente os controles de segurança dos consultores financeiros através de testes e avaliações. Em muitos casos, esses exames podem levar a um número cada vez maior de ações de execução destinadas a encorajar os conselheiros a melhorar suas infra-estruturas de segurança. As principais áreas de foco das agências incluem governança, direitos de acesso, prevenção de perda de dados, treinamento e resposta a incidentes, entre outros tópicos. (Para leitura relacionada, consulte:

O que os consultores precisam saber sobre SEO, Social Media .) Durante esses exames, os reguladores solicitarão políticas e procedimentos de segurança de informações da empresa, entrevistar funcionários e solicitar informações em incidentes de segurança que a empresa já experimentou. Os consultores financeiros devem estar preparados para responder todas as questões presentes nas orientações existentes das agências, ao mesmo tempo em que abordam questões mais técnicas e detalhadas que podem ser solicitadas por clareza adicional. (Para leitura relacionada, veja:

O que os consultores, os clientes devem esperar de um futuro de baixo retorno .) Os consultores financeiros devem concentrar seus esforços em duas áreas quando se trata de atender aos requisitos de segurança cibernética e proteger os dados do cliente. A primeira área de foco é a tecnologia que assegura a segurança dos dados do cliente e ajuda a evitar problemas desde o início. A segunda área de foco é a documentação que ajuda a atender aos requisitos regulamentares e garante que as políticas estejam em vigor para governar a instalação e manutenção de soluções de tecnologia. (Para leitura relacionada, veja:

O que os consultores podem aprender com Robo-Advisors .) Soluções de tecnologia

Existem muitos tipos diferentes de tecnologia que são empregadas para proteger redes e garantir que os cibercriminosos não possam informações sensíveis ao acesso. Na maioria dos casos, os consultores financeiros devem trabalhar com consultores de tecnologia da informação para selecionar as tecnologias apropriadas e garantir que elas estejam corretamente instaladas. Também pode ser útil ter esses consultores treinando funcionários para evitar o que são muitas vezes os links mais fracos: humanos. As tecnologias mais importantes para implementar incluem:

Firewall de hardware:

• Previne o acesso não autorizado de uma rede de computadores a partir de fontes externas, listando todas as conexões aprovadas e bloqueando todas as outras. Encriptação de software:
• Protege dados confidenciais, tornando-o ilegível por qualquer pessoa que não possua a chave de criptografia ou a senha. Gerenciamento de acesso:
• Garante que todos os conselheiros em uma prática tenham suas próprias contas individuais segregadas para evitar que uma violação comprometa todos os dados. Antivírus / spyware:
• Previne a instalação e disseminação de vírus e spyware em computadores conectados a uma rede e coloca em quarentena qualquer vírus que já exista. Acesso remoto seguro:
• Protege o acesso aos computadores de uma rede de conselheiros que trabalham em casa ou longe do escritório através de uma comunicação criptografada. Criptografia de mídia portátil:
• Garante que as unidades USB e os laptops roubados sejam bloqueados no caso de serem roubados para proteger informações confidenciais do cliente. Atualizações de software:
• Garante que todas as soluções de software instaladas em um computador sejam mantidas atualizadas para fechar qualquer buraco de segurança descoberto pelo fornecedor. Treinamento de pessoal:
• Ajuda o pessoal a entender como evitar os principais riscos de segurança que tendem a ser o ponto de entrada mais comum para cibercriminosos. Documentação adequada

A FINRA e a SEC possuem requisitos de documentação que tendem a surgir quando essas agências realizam exames. Em muitos casos, a documentação dos procedimentos de segurança é tão importante quanto as medidas reais de segurança quando se trata de ações de execução.

A Iniciativa de Segurança Cibernética da Conformidade e Exame da SEC e a Iniciativa de Exame de Cibersegurança de 2015 são bons lugares para começar. No documento, a agência reguladora delineou seu foco na governança e avaliação de risco, direitos de acesso e controles, prevenção de perda de dados, gerenciamento de fornecedores e treinamento e depois discute as especificidades associadas à implementação e documentação de soluções nessas áreas.(Para leitura relacionada, consulte:

Principais dicas de idade digital para consultores financeiros. ) Por exemplo, a seção de direitos e controles de acesso descreve os seguintes requisitos de documentação:

Políticas e procedimentos firmes sobre acesso por pessoas não autorizadas para firmar recursos e dispositivos de rede e restrições de acesso de usuários (por exemplo, política de controle de acesso, política de uso aceitável, gerenciamento administrativo de sistemas e política de segurança de informações corporativas), incluindo aqueles que abordam o seguinte: Estabelecimento de direitos de acesso de funcionários, incluindo o participação em função ou grupo; Atualizando ou encerrando direitos de acesso com base em mudanças de pessoal ou de sistema; e, Qualquer aprovação de gerenciamento necessária para mudanças nos direitos de acesso ou controles. (Para leitura relacionada, veja:

Gerenciando Expectativas do Cliente em um Ambiente Volátil .) Os consultores financeiros devem ler atentamente esses requisitos e garantir que eles possam responder completamente a essas perguntas com antecedência. Qualquer falha na resolução dessas questões e preocupações pode levar a ações de execução. (Para leitura relacionada, veja:

Os conselheiros devem se concentrar em sua própria aposentadoria, planos de sucessão .) A linha inferior

A segurança cibernética continua a ser uma prioridade máxima entre os reguladores na SEC e FINRA como relacionados à cibersegurança os incidentes estão a aumentar. Para os consultores financeiros, é mais importante do que nunca garantir dados com tecnologia e garantir que tudo esteja documentado para os reguladores. Aqueles que não abordam essas questões podem enfrentar um risco crescente de ações reguladoras, multas e outras conseqüências à medida que as políticas amadurecem em um nível regulatório. (Para informações relacionadas, veja:

Educando seus clientes sobre a segurança cibernética. )