保护您的数字数据：第1部分

对于顾问来说，网络安全正变得越来越深奥-避免或委托IT人员来处理。越来越成为 头版新闻.

监管者意识到威胁并具有 顾问实施标准 跟随。鉴于新的劳工部信托基准规则，FINRA和证券交易委员会推荐的传统标准以及最近的网络攻击激增，顾问应清点其数字资产，以确定黑客可能在哪里利用入口点或如何利用它们。数据可能会因系统错误而丢失。

（有关： 敲响纽约网络法规的时钟)

许多客户也开始关注此问题，并开始向其顾问询问诸如以下问题：他们的数据存储在哪里？谁可以访问？如何确保通讯安全？如果他们的关系结束，他们的数据会怎样？

同时，许多顾问对应对挑战的能力还没有100％的信心。根据2016年的数据，只有十分之四的人表示他们完全了解网络安全的问题和风险，只有29％的人表示已做好充分准备以缓解这些风险 网络安全评估 由金融规划协会。同一项研究还显示，只有26％的受访者“完全同意”他们了解所有合规检查与检查（OCIE）要求。

在客户和监管机构出现问题之前，您可能需要查看企业对潜在数据泄露的保护和准备情况。

如何评估您当前的网络安全准备

根据安全公司的报告，在2017年的前几个月中，勒索软件增长了250％以上 卡巴斯基 。但是，勒索软件只是外部攻击的一种形式。对财务数据的威胁还包括自然灾害和电源故障，员工窃取信息以及网络钓鱼等其他黑客手段。

衡量网络安全准备情况的第一步是跟踪指标。跟踪您的网络攻击或尝试的历史记录（分布式拒绝服务，网络入侵和数据盗窃），适当的过程（对所有设备和电子邮件进行加密，Adobe Patch Coverage，Microsoft Patch Coverage和防病毒覆盖）以及员工之间的安全意识。

有一个 FINRA的清单 和一个 网络安全评估工具  联邦金融机构考试委员会（FFIEC）提供的咨询服务可帮助顾问整理其数据并确定风险水平。您还可以利用免费的Web服务器加密测试来探测和分析通信安全性。

当然，每种实践中技术连接类型，交付渠道，在线产品和服务以及组织结构的复杂层次使得每位顾问的风险都是独特的。考虑雇用具有网络安全和金融服务证书的外部IT顾问，以充分利用这些评估。特别建议由人来负责合规性，法律职能和网络安全计划的较小型企业，请他们提供额外的帮助。

在评估如何保护客户信息和自己的系统操作时，请务必评估保险将如何保护您的业务。一些公司和独立顾问将其留给了传统的错误与遗漏报道所依附的网络覆盖专家。这些政策可能未涵盖监管罚款或所有索赔，因此您可能要考虑独立的政策。

为潜在的网络威胁做准备

了解了您的数字优势和劣势之后，就该记录有关业务所有领域的详细政策和程序了。

考虑以下六个关键网络安全领域，它们也是OCIE考试的重点：

1. 治理和风险评估。 这些评估应至少每年进行一次。进行网络和服务器漏洞扫描，在所有设备上维护最新的防病毒保护，并主动管理补丁程序。软件修补程序意味着更新系统和应用程序，例如浏览器，插件，桌面应用程序等。如果系统无法更新，则很容易受到黑客利用。服务器消息块（SMB）协议广泛用于基于Windows的系统中的设备之间的文件共享，但未打补丁时就会受到攻击。最近的WannaCry勒索软件攻击以这种方式在全球企业和机构中的200,000多台计算机中造成了严重破坏。
2. 访问权限和控制。 加密软件和硬件，以及备份数据是处理敏感信息的企业的常规做法。密码保护和跟踪登录失败对安全性也至关重要。每90天强制更新一次密码可以刷新您的访问控制面板。有效使用数据和工具对服务客户很重要。但是，将员工限制在“需要知道”的基础上可以防止在人员或系统变更的情况下不必要的人为错误或数据管理不当。
3. 防止数据丢失。 《证券交易法》要求公司保留电子存储的记录。今天，一些顾问最近已转向基于云的数据备份服务。但是，使用云在内部和外部共享数据存在风险–您对该技术的控制可能会弱化或变得复杂。数据丢失保护解决方案包括内容扫描和检查技术，可在三个级别上监视并有时阻止数据移动：客户端级别（运行中），网络级别（传输中）和存储级别（静止）。您应该为每个级别创建定义明确的策略，以便在数据进出网络时，扫描可以评估材料的敏感性和数据位置的适当性。
4. 供应商管理。 了解您的供应商的技术保障，例如数据访问限制，病毒防护，浏览器会话超时，强大的密码要求以及静态或传输中数据的加密。他们应该定期更新软件和防火墙，以及经过认证的审核。询问其人身和行政安全；例如，数据备份以及切碎和处置程序。您需要定期与每个供应商完成此尽职调查，并要求您提供记录验证信息。
5. 事件响应。该保险单在这里生效。根据FINRA的要求，记录业务连续性计划以及敏感信息的内部或外部分发将有助于提出索赔。据一位网络安全专家称，事件响应在实施网络安全计划中所面临的挑战方面被评为最低。 2016 FPA网络安全调查。不过，只有不到一半的受访者表示他们已经正式记录了政策。
6. 网络安全意识培训。 根据2016年的数据，大约三分之二的顾问每年仅花费两个小时或更少的时间进行网络安全培训 金融规划协会评估。您总是可以要求IT员工或供应商查看可以采取哪些措施来加强技术保障，但不要把它留在那儿。必须对自己，员工和客户进行有关潜在威胁的教育。

—阅读 2017年针对金融公司的6种网络威胁：思科 在ThinkAdvisor上。