Fon yöneticileri, düşük öncelikli bir hedef olduklarını düşünerek yakalanmamalıdır: Yatırımcı verilerini ve varlıklarını korumak için riskleri nasıl belirleyeceğiniz ve esnekliği nasıl oluşturacağınız aşağıda açıklanmıştır.
Roland Thomas, Kurumsal Gelişim Müdürü, Thomas Murray
Geleneksel bilgelik bize, yatırım riskinin yalnızca bir finansal aracın başarısına veya başarısızlığına bağlı olduğunu söyler. Daha yüksek bir risk iştahı daha yüksek getiriler elde edebilir, ancak bir yatırımın değeri silinebilir. Bu doğrudur, ancak kaç yatırımcı seçtikleri fonların karşı karşıya kaldığı çok sayıda başka riskin farkındadır? Ve kaç yatırım yönetimi şirketi siber riski bir yatırım riski olarak görüyor? Bu makalede, siber riskin neden yatırım şirketleri için akut bir güvenlik açığı alanı olduğunu ve firmaların güvenlik oluşturmak için atabilecekleri adımları açıklıyoruz.
Bankalar tehdit aktörleri için daha zor bir hedef
Varlık yönetimi şirketleri, diğer şirketler gibi ve çoğundan daha fazlası, kendilerini siber suçlulardan korumak için benzeri görülmemiş zorluklarla karşı karşıya. Tarihsel olarak bilgisayar korsanları için daha fazla odak noktası olan bankalar, genellikle tehditlere karşı iyi korundukları ve saldırılar kaçınılmaz olarak meydana geldiğinde yanıt vermeye hazır oldukları için güvenliğe çok fazla yatırım yaptıkları için sektör özel bir inceleme altındadır.
Çoğu büyük küresel ve bölgesel bankanın artık siber tehditleri ve olayları tespit etmekten, ölçmekten ve bunlara yanıt vermekten sorumlu özel Güvenlik Operasyon Merkezleri var. Tüm bunlara rağmen Thomas Murray’in analizine göre bankaların %20’si son 12 ayda hala siber saldırılara maruz kalıyor ve %8’i ifşa etmeyi reddediyor. Bankalar, özellikle savunmasız tedarik zincirleri aracılığıyla hala bir hedeftir, ancak mantıksal olarak, siber suçluların giderek daha fazla varlık açısından zengin ancak daha zayıf güvenliğe sahip hedefleri takip edecekleri sonucu çıkar.
Yatırım şirketleri savunmasız
Yönetim Altındaki Önemli Varlıklar (AUM) ancak genellikle sınırlı operasyonel bütçeler ile varlık yönetimi şirketleri son derece savunmasızdır. Finansal firmaların saldırı yaşama olasılığı diğer kurumlardan 300 kat daha fazla ve 2021’de bir veri ihlalinin ortalama maliyeti 4,23 milyon dolardı. Bankaların bu maliyetleri karşılayacak bilançoları olsa da, en büyük varlık yöneticilerinin çok azı var. Şirketler, daha karmaşık hale gelen tehdit aktörleri tarafından daha yüksek hacimli saldırılarla hedef alınıyor ve varlık yöneticileri, BT altyapısına düşük yatırım yaparak ve kendilerini çok çeşitli hizmet sağlayıcılara maruz bırakarak kendilerini savunmasız hale getiriyor.
Saldırı yüzeyleri büyüyor
Varlık yöneticileri yeni dijital hizmetlerle yenilik yaparak Covid’e yanıt verirken, farkında olmadan saldırı yüzeylerini büyüttüler. Sonuç, güvenliğin çoğu zaman dijitalleşmeye ayak uyduramaması ve performansın dayanıklılıktan önce gelmesi oldu. Aynı zamanda, yatırım firmaları orta ve arka ofislerini dış kaynak kullanarak, kendilerini ve müşterilerini her zamankinden daha fazla sayıda üçüncü tarafa maruz bırakarak sunulan verimlilik ve uzmanlıktan yararlandı. Bu yatırım kurumları, minimum gereklilik olarak yatırımcıların ve tasarruf sahiplerinin varlıklarını koruyan güvenlik kaleleri olmalıdır, ancak büyüyen saldırı yüzeyleri, savunmasız tedarik zincirleri, artan siber suçluluk ve karmaşık düzenlemelerden oluşan mükemmel bir fırtına ile karşı karşıyadırlar. Sorunu kabul etmek ilk adımdır, ancak bu zorluğa nasıl yanıt verebilirler?
Varlık yöneticileri ne yapabilir?
Varlık yönetimi şirketlerinin ön, orta ve arka ofiste siber riski azaltabilmelerinin üç yolu vardır ve bu da güvenliği C-Suite önceliği haline getirir.
- Üçüncü ve dördüncü tarafların kim olduğunu öğrenin
51% Ponemon Enstitüsü’ne (2021) göre, kuruluşların yüzdesi üçüncü bir tarafın neden olduğu bir veri ihlali yaşadı. Yatırım firmaları için bu üçüncü şahıslar arasında yazılım sağlayıcıları, fon yöneticileri, transfer acenteleri, üçüncü şahıs yönetim şirketleri, distribütörler ve birçoğu müşteri verilerinin ihlali ve siber saldırılara maruz kalma riski taşıyan şaşırtıcı bir dizi başka firma yer alabilir. Bunun da ötesinde, sağlayıcılarınız için herhangi bir sağlayıcı dördüncü taraftır ve genellikle ihmal edilen bir risk alanıdır. Şirketler, sağlayıcılarının ve dolaylı risklerin envanterlerini tutmalı ve hepsini izlemeye çalışmalıdır.
- Yatırım durum tespitine siber riski dahil edin
Siber durum tespiti, kritik bir yatırım durum tespiti alanı haline geliyor. Yatırım portföyü şirketlerinin ilk kontrolleri ve sürekli izlenmesi, AML ve KYC kontrolleri gibi ele alınmalıdır: Asla yaptırım uygulanan kişilerle çalışmaz veya dolaylı olarak terörün finansmanını sağlamazsınız, öyleyse neden müşterilerinizi gereksiz siber riske maruz bırakasınız?
Portföylerinde az sayıda teknoloji etkin şirket bulunan Girişim Sermayesi ve Özel Sermaye şirketleri söz konusu olduğunda bu özellikle uygun bir noktadır. Güvenlik, özellikle ilk aşamalarında bu tür şirketler için potansiyel olarak varoluşsal bir risktir ve durum tespiti ve sürekli tehdit istihbaratının bir kombinasyonu, bir fonun ölçülmesine ve bu risklerin azaltılmasına yardımcı olabilir.
- BT Güvenliği ekiplerine ve çözümlerine yatırım yapın
Belirli bir tür varlık yöneticisi, uzun zamandır BT’yi ne görülen ne de duyulan bir arka ofis işlevi olarak görüyordu. Bugün BT Güvenliğinin bir ön, orta ve arka ofis yatırımı olarak kabul edilmesi gerekiyor. İyi finanse edilen, yetkin ekipler olmadan, bir yatırım şirketinin BT altyapısı, personel farkındalığı ve üçüncü tarafların maruz kalması zarar görecektir.
yazar hakkında
Roland Thomas, Thomas Murray’de Kurumsal Geliştirme Müdürüdür. Strateji ve inovasyondan sorumludur. Roland, 2021’de başlatılan Thomas Murray’in ödüllü AI Tehdit İstihbaratı ve Siber Güvenlik Derecelendirme Platformunu piyasaya sürmekten sorumludur. Roland ve Thomas Murray’deki Siber Risk ekibi 100’lerce banka, fon, piyasa altyapısı, devlet kurumu ve uzun vadeli güvenlik oluşturmalarına yardımcı olmak için diğer kuruluşlar.
Roland’a LinkedIn üzerinden https://www.linkedin.com/in/roland-thomas-60a6a3125 ve Thomas Murray’in web sitesi https://thomasmurray.com üzerinden ulaşılabilir.
ADİL KULLANIM BİLDİRİMİ: “Adil kullanım” yasası uyarınca, başka bir yazar, orijinal yazarın eserini izin almadan sınırlı olarak kullanabilir. 17 ABD Yasası § 107 uyarınca, telif hakkıyla korunan materyalin “eleştiri, yorum, haber raporlama, öğretim (sınıf kullanımı için birden çok kopya dahil), burs veya araştırma gibi amaçlarla belirli kullanımları, bir telif hakkı ihlali değildir.” Politika gereği, adil kullanım, halkın telif hakkıyla korunan materyallerin bölümlerini yorum ve eleştiri amacıyla özgürce kullanma hakkına sahip olduğu inancına dayanır. Adil kullanım ayrıcalığı, bir telif hakkı sahibinin münhasır haklarındaki belki de en önemli sınırlamadır. Siber Savunma Medya Grubu, siber haberleri, olayları, bilgileri ve çok daha fazlasını ücretsiz olarak web sitemiz Cyber Defense Magazine’de bildiren bir haber raporlama şirketidir. Tüm görüntüler ve raporlama, yalnızca ABD telif hakkı yasasının Adil Kullanımı kapsamında yapılır.