未雨绸缪是理财顾问的责任,但网络安全专家警告说,如果他们没有采取必要的措施来避免网络攻击,那他们自己可能会面临一场灾难。
网络安全咨询公司 Invisus 的创始人兼首席执行官 James Harrison 和网络安全专家 John Sileo 都希望大型和小型的企业都能制定一个安全计划,而不是由 IT 主管或精通技术的朋友来管理。
Harrison 表示,万一数据真的泄露,制定防御策略和行动计划有助于保护您的公司,并加强您在法律方面的抵御能力。“我们生活在数据时代,数据堪比黄金。数据比诸多金融工具更有价值,所以您在规划过程中应该合理考虑第三方风险。”他说。
两位专家都表示,网络钓鱼诈骗、黑客入侵和其他类型的网络攻击,对金融服务行业来说可谓家常便饭,但随着居家办公的员工人数激增,许多公司面临着一系列不断变化的威胁,因此制定数字安全措施刻不容缓。
开始
根据 Sileo 的说法,制定网络安全计划的核心部分之一是选择一家能够进行安全评估的公司。“不管是只有一名员工的小公司,还是有上千名员工的大企业,如果您没有请外部安全公司来验证防御系统是否有漏洞,那请务必尽快把它提上议程。”他说。
Sileo 建议那些还未制定安全计划的顾问去咨询同行,了解一下情况。“如果您是顶尖会员或某类商业团体中的一员,可以请他们为您推荐提供安全评估服务的机构;如果您没有加入这些团体,我强烈建议您去当地的社区银行咨询一下,问问他们能否推荐一家信誉良好的供应商。”他说。
他还表示,请公司进行网络安全评估的额外成本是值得的,因为网络安全在疫情期间发生了变化,云计算领域尤为如此。“网络安全,预防的成本远比复原要低。”
Harrison 表示,安全评估可以确定您的系统是否存在漏洞,检查您的安全计划是否万无一失。“首先,顾问需要请管理层重视网络安全问题。”Harrison 表示,“那么,公司有没有任命员工来监管网络安全呢?如果您是个体经营者,那这个人就是您自己。”他说。
如果一家公司有几位合伙人,那就要明确由谁承担网络安全的监管职责,同时此人还要负责确保该计划符合网络安全法规。“他们希望看到清晰成文的政策和程序,审计师和监管机构会查看这些资料。”该计划应涵盖基本的检查清单项目,如进行年度风险评估、防止数据泄露的信息,以及员工应遵循的培训政策。
“这个计划不仅可以保护您自己,还能让客户放心把信息交给我们。”Harrison 表示,“您不一定要向客户展示这些政策和程序,但他们只要知道您制定了一份成文的安全计划并严格遵守,而且您的计划符合美国证券交易委员会和国家的规定,这一事实就会让他们感到安心。” 他说。
缩小差距
初步评估完成后,企业主应在评估结果的基础上制定或构建现有的政策和程序。Sileo 建议公司首先找出系统太过陈旧的电脑。他说,在某些情况下,电脑可能需要更换,因为旧型号可能无法支持安全系统更新。
他说,更新这些系统是确保网络安全的关键。Sileo 说,公司需要检查所有用于工作的电子设备,如电脑、平板电脑、手机和智能设备,他建议公司(尤其是小公司)在电脑上设置自动更新,这样每次遇到新威胁,系统就能自动更新。
这个计划不仅可以保护您自己,还能让客户放心把信息交给我们。
—James Harrison
Sileo 补充说道,接下来,强大的网络安全计划少不了数据加密技术。这包括电脑和硬盘驱动器上的所有数据,最重要的是,平台之间传输或传输到云端的数据。“我发现很多理财规划师和寿险代理人与客户之间电子邮件都没有加密,这些邮件内都涵盖社保号码、金融账户和银行账户信息。”
Harrison 表示,但如今如果员工不在办公室办公,那么建立防火墙和虚拟专用网络 (VPN) 等数据加密和其他安全措施也难以完全保护公司的数据,因为黑客可以通过入侵互联网 Wi-Fi 连接来访问数据。“他们会直接通过您的 VPN、各个多重验证渠道,从您的居家办公场所直接进入公司系统。”Harrison 警告道,
“大型公司也在努力解决这个问题,但这其实不算什么难题。”他鼓励大小型企业让员工签署一份协议,确保他们遵守居家办公的网络安全协议。公司还应定期检查家中使用的 Wi-Fi 路由器和电脑的安全状况。
不只是基本
落实该计划为建立长期网络安全战略奠定了基础,例如安排第三方顾问进行定期安全检查。Harrison 表示,为了及时了解不断变化的威胁和新法规,您的计划一定要走在内部 IT 团队的前面。
他说,很多 IT 专业人士都没有能力测试漏洞并与新法规保持同步。“另外,IT 专业人士无法由内而外地测试(漏洞)。他们无法使用那些强大的工具,试图攻击或入侵您的网络,检查您可能会遭受黑客入侵的地方。”
Harrison 说,有时候,网络攻击来自您的附属公司,而这些公司已经沦为黑客攻击的目标,因此漏洞更难修补。他指出,近期对冲基金经理在交易《财富》(Fortune) 杂志 500 强企业的股票时,很多人都会研究这些公司的附属公司,从而识别出网络安全威胁。“他们如何陷我们于风险中呢?现在,上市公司都有网络安全程度的评分,他们将深入供应链领域,以验证第三方风险。”他说。不论企业规模如何,理财顾问都应考虑这种模式。
他还建议企业购入网络安全保险,避免出现网络入侵无法阻挡的情况。网络风控计划可以帮助公司抵御安全漏洞带来的威胁,但如果您的系统遭到黑客攻击,该计划也能帮您获得不错的理赔。
“如果您提出保险理赔,网络保险供应商会无条件接受。”他说,此外他还建议中小型企业购买 50 万到 100 万美元的保险。但您得明白,如果您没有计划,或者计划不周全,没有打点好各个方面,他们将拒绝您的理赔申请并加倍收取来年的保费,所以遵守法律法规至关重要,而制定一个网络安全计划并记录在案,则不失为一种简单易行且经济实惠的办法。
联系方式
James Harrison james@invisus.com
John Sileo john@sileo.com