检查供应商的网络安全实践

(路透社)-许多财务顾问网络安全计划中的薄弱环节是帮助公司开展业务的外部公司,例如工资公司和计算机维修公司。

金融业监管局(FINRA)信息安全负责人约翰·布雷迪(John Brady)在最近的一次会议上表示,顾问希望专注于为客户提供优质服务,因此通常不会将卖方的网络安全实践放在首位。

布雷迪说:“在很多情况下,他们相信供应商会寻求最大利益。”

这种信任可能代价高昂。数据泄露可能需要昂贵的通知客户和信用监控服务付款,以及律师和技术专家的账单。

华尔街行业资助的监管机构FINRA要求其监管的4,000多家经纪人来监督他们的供应商。负责监督投资顾问的美国证券交易委员会(SEC)已发布有关公司如何监控卖方的指南。

根据二月份的一份报告,SEC对57位经纪交易商和49位注册投资顾问的调查显示,大多数人直接或通过其卖方经历了网络攻击。

此外,根据四月份的一份报告,在纽约金融服务部调查的40家银行组织中,有30%似乎没有要求外部供应商将违规情况通知他们。

安防措施

为了提高安全性,请针对可访问您公司最敏感数据的供应商考虑以下措施。

1.访问他们的办公室,对安全性有第一手的了解。纽约市地区信息安全咨询公司Breach Intelligence Inc的首席策略官兼联合创始人约瑟夫·里维拉(Joseph Rivela)说,检查相机并确保员工佩戴证章。

2.确保您的网络安全保险涵盖了供应商信息安全故障所造成的损失。Rivela说,然而,保险公司仍可能希望您在监控中发挥自己的作用。

3.高风险供应商,例如那些访问客户数据的供应商,应聘用分包商,让您知道。而且,您应该在合同中要求您为供应商设置的策略扩展到其分包商。例如,如果您的供应商员工必须进行背景检查,那么他们的分包商员工也应该进行。加州罗伯特·哈夫国际公司(Robert Half International Inc.)子公司Protiviti的全球信息安全部门负责人Rocco Grillo表示,根据某些供应商的风险水平,您甚至可能希望禁止某些承包商使用分包商。

4.考虑从供应商那里获得保证,保证他们将使用病毒防护。纽约金融服务监管机构本杰明·劳斯基(Benjamin Lawsky)预计,今年将提出一项规则,要求银行从卖方那里获得有关其现有网络安全保护的保证。

5.将供应商纳入应对违规的计划中。例如,记下供应商IT人员的手机号码。与供应商一起扮演数据泄露的角色,以查看其响应中是否存在弱点。

最后,如果必须快速切断与供应商的联系,请确保您有一家备用公司来接管。

格里洛说:“拔下插头并不容易。”

您可能感兴趣的: