Las primeras observaciones hechas públicas por la SEC del análisis de la OCIE sobre broker-dealers e investments advisors dejan patente que los broker-dealers son más conscientes de los riesgos relacionados con ciber seguridad y su política y procedimientos de prevención y mitigación de efectos es más avanzada que la de los Advisors.
La mayor parte de los broker-dealers (93%) y advisors (83%) analizados ha desarrollado información escrita sobre políticas de seguridad. La mayor parte de los broker-dealers (89%) y más de la mitad de los advisors (57%) lleva a cabo auditorias periódicas para determinar el cumplimiento de estas políticas y procedimientos.
Los planes escritos de continuidad de los negocios suelen tratar el impacto de ciber ataques o intrusiones. El 82% de los brokers y el 51% de los advisors discute la mitigación de los efectos de un incidente de ciber seguridad y da las líneas generales del plan de recuperación de estos incidentes.
Las políticas y procedimientos escritos generalmente no especifican cómo las firmas determinan su responsabilidad en caso de pérdidas, por parte de clientes, asociadas a incidentes de ciber seguridad. Solo un 30% de los broker-dealers y un 13% de los advisors contienen dichas provisiones, a pesar de que el 15% de los broker-dealers y el 9% de los advisors ofrecen garantías de seguridad para proteger a sus clientes contra las pérdidas relacionadas con estos incidentes.
Muchas firmas están utilizando estándares externos y otros recursos para definir el diseño de sus procesos de información de seguridad. El 88% de los broker-dealers y la mayor parte de los advisors (53%) hacen referencia a estándares publicados de gestión del riesgo de ciber seguridad, como los del National Institute of Standards and Technology (“NIST”), the International Organization for Standardization (“ISO”), y la Federal Financial Institutions Examination Council (“FFIEC”).
La mayoría de las firmas analizadas lleva a cabo valoraciones periódicas de riesgo en la firma de forma global, para identificar amenazas de ciber seguridad, vulnerabilidades, y potenciales consecuencias para el negocio. El 93% de los broker-dealers y el 79% de los advisors confirman que dicha evaluación se tiene en cuenta a la hora de diseñar las políticas y procedimientos de ciber seguridad.
Pocas son las firmas que aplican estos requerimientos a sus vendedores. El 84% de los brokers-dealers y sólo un tercio de los advisors, 32%, requieren valoración de riesgos de ciber seguridad a los vendedores que acceden a la red de la firma.
La mayor parte de las firmas examinadas reconocieron haber sido objeto de incidentes de ciber seguridad. Una gran mayoría de broker-dealers (88%) y de advisors (74%) declararon haber sufrido ciber ataques directamente o a través de uno o más de sus vendedores. La mayoría de los incidentes están relacionados con malware o correos electrónicos fraudulentos.
Más de la mitad de los broker-dealers (54%) y un poco menos de los advisors (43%) declararon haber recibido correos electrónicos fraudulentos que buscaban la transferencia de fondos de clientes. Más de un cuarto de esos broker-dealers (26%) reportaron pérdidas de más de 5.000 dólares relacionadas con correos fraudulentos; sin embargo, ninguna de ellas excedió individualmente la cifra de 75.000 dólares.
Una cuarta parte de los broker-dealers (25%) que habían tenido pérdidas relacionadas con correos electrónicos fraudulentos anotaron que éstas habían sido el resultado de la falta de seguimiento de los procedimientos de identificación de la firma por parte de los empleados.
Muchas de las firmas examinadas identifican buenas prácticas a través de grupos con los que comparten información. El 47% de los broker-dealers son miembros de algún grupo sectorial, asociación u organización existente y cuyo fin sea el de compartir información sobre ciber ataques y la identificación de controles efectivos para mitigar sus efectos.
Un gran 72% de los brokers-dealers incorpora requerimientos específicos sobre riesgos de ciber seguridad en los contratos con redes de ventas o partners y el 51% mantiene políticas y procesos sobre la formación en seguridad para aquellos vendedores y socios con autorización para acceder a sus redes. Por el contrario, solo el 24% de los advisors tiene requerimientos específicos y el 13% contempla la formación de estos terceros.
La gran mayoría de los broker-dealers (98%) y advisors (91%) analizados hace uso de la encriptación de alguna manera.
La mayor parte de las firmas analizadas facilitan a sus clientes sugerencias sobre cómo proteger su información más sensible. El 65% de los broker-dealers tiene clientes particulares con acceso online y todas ellas informan a sus clientes sobre cómo reducir el riesgo de ciber seguridad en las transacciones con la firma. Del mismo modo, del 26% de los advisors que asesoran a clientes particulares y permiten que estos accedan a la información de su cuenta online, el 75% facilita a éstos información sobre ciertos pasos a seguir para reducir el riesgo en sus transacciones.
El 58% de los broker-dealers tiene seguros para incidentes de ciber seguridad, mientras que solo el 21% de los advisors contrata seguros que cubran las perdidas y costes atribuibles a incidentes de ciber seguridad.
El análisis de la OCIE (Office of Compliance Inspections and Examinations) sobre brokers-dealers e investments advisors se ha llevado a cabo bajo la Cybersecurity Examination Initiative, anunciada el 15 de abril de 2014.
El equipo ha analizado 57 broker-dealers y 49 investment advisors registrados. Se ha recogido y analizado información sobre identificación de riesgos relativos a la ciber seguridad: establecimiento de la gobernanza de ciber seguridad, incluyendo políticas, procedimientos, redes de protección e información de la firma, identificación y gestión de riesgos asociados con el acceso remoto a la información de clientes y peticiones de transferencias de fondos, riesgos asociados a ventas y otros terceros y detección de actividad no autorizada.