Takvim yeni bir mali yıla girerken, SEC Sınav Bölümü 2022 öncelikler listesini yayınladı. 2013’ten bu yana, inceleme önceliklerinin bir listesini yayınlamak, Bölüm için yıllık bir gelenek olmuştur – yatırımcılar ve tescil ettirenler arasında şeffaflığı artırmak, firmaların kendilerini korumak için ellerinden gelen her şeyi yapmalarını sağlamak için artan risk alanlarını işaretlemek için tasarlanmış bir hareket.
Ve 2022’de çok fazla risk var.
SEC’in 2022 öncelikleri
SEC’in bu yılki temel önceliklerinden bazıları, özel fonlar, Çevresel, Sosyal ve Yönetişim (ESG) Yatırımı, davranış standartları ve kripto varlıklar gibi gelişen teknolojiler gibi alanları kapsıyor. Siber güvenlik ekipleri için, SEC’in acil ilgi gerektiren bilgi güvenliği ve operasyonel esnekliğe odaklanması.
Bu yıl, SEC Sınav Bölümü, yatırımcı bilgilerini, kayıtlarını ve varlıklarını korumanın yanı sıra kritik görev hizmetlerinde kesintileri önlemek için özellikle komisyoncu-satıcıların, RIA’ların ve diğer tescil ettirenlerin önlemlerine odaklanacak.
Bölüm ayrıca, bir yatırımcının kimliğini doğrulamak için doğru adımların atıldığından emin olarak firmaların müşteri hesaplarını korumak ve hesaba izinsiz girişleri önlemek için “uygun önlemleri” alıp almadığını incelemeye devam edeceğini belirtiyor. Ayrıca firmaların satıcıları ve hizmet sağlayıcıları denetleyip denetlemediğini, kötü niyetli e-posta faaliyetlerini ele alıp almadığını, kimlik hırsızlığıyla ilgili tehlike işaretlerini belirleyip belirlemediğini ve evden çalışanlar için operasyonel riski yönetip yönetmediğini de inceleyecek. Bu nedenle Bölüm, uygulanabildiği durumlarda SP ve S-ID Düzenlemelerine uyuma özel önem verecektir.
Diğerlerinin yanı sıra Colonial Pipeline, JBS Foods ve CNA Financial’a yapılan saldırılarla birlikte 2021, bir fidye yazılımı saldırısının ne kadar büyük hasara yol açabileceği konusunda bir dersti. Siber saldırıların sayısı artık azalma belirtileri gösterdiğinden, Bölümün 2022 öncelikleri, firmaların operasyonel dayanıklılığı ve müşteri verilerini güvende tutmayı 2022’de temel bir öncelik haline getirmesi gerektiğini açıkça ortaya koyuyor.
Ancak bu sadece risk yönetimi ile ilgili değil, aynı zamanda iyileşme ile de ilgili. Bölüm ayrıca, iklim riskinin etkisine ve iş operasyonlarının akışındaki ‘önemli kesintilere’ özellikle dikkat ederek tescil ettirenlerin iş sürekliliği ve felaket kurtarma planlarını gözden geçirecek.
Uyumluluk için en iyi uygulama
Güvenlik ve uyumluluğun Bölümün gözetimi altında olmasıyla, firmalar güvenlik altyapılarını yeniden incelemeli ve tüm uyumluluk gereksinimlerini karşıladıklarından emin olmalı, özellikle de SEC tarafından işaretlenen olağanüstü durum kurtarma planlarına odaklanmalıdır.
İşletmeler, karşılaştıkları güvenlik riskleri ve bunları en iyi şekilde nasıl azaltabilecekleri konusunda gerçekçi olmalıdır. Net bir iyileşme süresi hedefi ve iyileşme noktası hedefi uygulamalıdırlar. Bir olay durumunda herkesin rolünü bildiğinden ve net bir emir komuta zinciri olduğundan emin olmaları gerekir. SEC’in de belirttiği gibi, şirket ağlarını genişleten ve fazladan uç noktalar ekleyen hibrit ve uzaktan çalışmaya geçiş, firmaları siber saldırılara karşı daha savunmasız hale getirdi. Bu nedenle, tüm güvenlik prosedürleri değişen manzarayı yansıtacak ve dağınık bir iş gücüne sahip firmaların bile güvende kalmasını sağlayacak şekilde uyarlanmalıdır.
Gerçek zamanlı güvenlik
Günümüzün hızlı tempolu ortamında, riski azaltmanın en etkili yollarından biri, ağların, üçüncü taraf sağlayıcıların ve uç noktaların gerçek zamanlı izlenmesidir; bu nedenle, kötü niyetli etkinlik ortaya çıkar çıkmaz işaretlenir ve ele alınır. Belirli bir noktada yapılan değerlendirmeler artık yeterli olmuyor – kötü niyetli etkinlik tespit edildiğinde, siber suçlular çok hassas bilgileri çoktan çalmış ve onarılamaz zararlar vermiş olabilir.
Elbette güvenlik açığı oluşturan sadece cihazlar değil, onları kullanan insanlardır. Çalışanlar bir şirketin güvenlik stratejisindeki en zayıf halka olurken aynı zamanda siber savunmasında da önemli bir rol oynayabilir. Çalışan eğitimi, kimlik avı saldırılarına ve hesap izinsiz girişlerine karşı korunmanın çok önemli bir parçasıdır. İnsanların cehaletini ve saflığını istismar etmek için tasarlanan saldırılarla, tüm çalışanların güvenlik konusunda bilgili olmasını sağlamak için düzenli siber güvenlik eğitimi tüm departmanlarda bir öncelik olmalıdır.
Ayrıca, kötü şöhretli Colonial Pipeline saldırısının, tek bir parola ile korunan eski bir VPN’i ihlal ederek başlatıldığını akılda tutarak, firmaların eski sistemlerini gözden geçirmeleri ve gerekli güncellemeleri yapmaları da akıllıca olacaktır.
2022’de risk tüm zamanların en yüksek seviyesinde olabilir, ancak bu, firmaların güçsüz olduğu anlamına gelmez. Mevcut güvenlik protokollerini gözden geçirerek, yeni stratejileri hayata geçirerek ve doğru yazılım sağlayıcıyla ortaklık kurarak, firmalar düzenleyici yükümlülükleri değerlendirmek ve karşılamak için daha iyi bir konuma sahip olacaklardır. Ne de olsa, güvenlik ve operasyonel esneklik en iyi uygulamasında zirvede kalmak, yalnızca SEC’in beklentilerini karşılamakla ilgili değil, aynı zamanda müşterilere en iyi korumayı ve hizmeti sağlamakla ilgilidir. Sınav Öncelikleri ne olursa olsun, bu iş için her zaman en yüksek öncelik olmalıdır.
yazar hakkında
Jason Elmer, Drawbridge’deki rolüne 20 yılı aşkın siber güvenlik ve BT altyapısı deneyimini getiriyor. Kurucu ve CEO olarak, firmanın günlük operasyonlarını yürütmekten, coğrafi ve teknolojik ayak izini genişletmekten ve şirketin küresel büyümesi ve ölçeği için liderlik etmekten sorumludur. Yönetim geçmişi, çoklu yönetici liderlik rollerini ve serbest fonların ve özel sermaye yöneticilerinin özel ihtiyaçlarını karşılayan iş açısından kritik FinTech yazılımları ve çözümleri sunan kapsamlı deneyimi içerir.
Daha önce Jason, Siber Güvenlik Hizmetleri ekibini kurduğu ve yönettiği Duff & Phelps’te (şimdi Kroll, LLC) Genel Müdür olarak görev yaptı ve yatırımcı taleplerini karşılarken uygun düzenleyici kurumlara uyumu sağlamalarına yardımcı olmak için dünya çapında alternatif yatırım yöneticileriyle birlikte çalıştı. . Bundan önce, alternatif yatırım şirketleri için siber güvenlik, barındırılan altyapı ve felaket kurtarma hizmetleri sağlamaya odaklanan Abacus Group’ta bir Ortaktı. Jason, kariyeri boyunca küresel finansal hizmetler endüstrisinin çeşitli yönlerinde iş, teknoloji ve müşteri hizmetleri inovasyonunun ön saflarında yer aldı.
Jason, Fordham Üniversitesi İşletme Fakültesi’nden finans alanında lisans derecesine sahiptir ve Genç Başkanlar Örgütü’nün (YPO) aktif bir üyesidir.
Jason’a çevrimiçi olarak http://www.drawbridgeco.com adresinden ulaşılabilir.