对于退休计划行业的任何参与者来说,财产或数据盗窃都意味着失去信任,这可能是毁灭性的。
网络攻击在过去几年中急剧增加,并影响到每个行业。虽然它开始时几乎没有风险,但现实情况是它们每天都在发生,并且只会在复杂性和复杂性上增加。微软的安全端点威胁报告显示,自大流行以来,印度在该地区的恶意软件遭遇率排名第七,去年为 5.89%。
对于退休计划行业的任何参与者来说,财产或数据盗窃都意味着失去信任,这可能是毁灭性的。大多数参与者通过推荐找到他们的计划顾问,如果他们觉得信任度低,则 70% 会更换顾问。对于计划发起人(即退休员工的雇主),数据泄露的成本包括检测泄露程度、恢复数据和恢复系统完整性所涉及的成本。
因此,至关重要的是,计划提供商和赞助商都将网络安全视为建立高度依赖客户信任和满意度的业务的关键资产。
退休计划行业——一个有吸引力的目标
个人退休账户(IRA - 一种特殊类型的储蓄账户,您可以将资金存入其中以创建退休库)仅在美国就有超过 11 万亿美元的退休资产,在印度则为5.99 万亿卢比。这些帐户包含大量敏感和个人数据,例如个人身份信息 (PII)、电子保护的健康信息 (EPHI) 和财务信息,这些信息与人的身份永久相关。
第三方通常需要访问大部分此类信息。他们包括计划管理员、审计员、受托人、保险公司等。对更广泛访问的需求使数据更容易受到攻击。网络犯罪分子使用网络钓鱼策略,例如发送经常出现在个人银行账户中的具有紧迫感的可疑电子邮件或链接,例如“您的退休计划发生重大变化”;甚至使用恶意软件进入账户持有人的系统并检索关键金融信息。我们也看到网络犯罪分子利用勒索软件攻击服务器来威胁和检索关键信息并获取金钱利益。例如,在美国圣路易斯,当地一家杂货店工人的联合养老金计划服务器被黑客入侵,肇事者要求数字货币的赎金。
构建强大的网络安全架构
这不再是“我的账户或我的公司是否会受到攻击”的问题,而是“何时?”的问题。确保强大的安全策略的最佳方法是假设网络攻击迫在眉睫。如果发生事故并且安全团队只对威胁做出反应,而不是使用预设工具来保护系统免受威胁,那么它就会变得效率低下且成本高昂。在退休计划中,有多个处理数据的机构、层次结构和层次,拥有一个精心策划的灾难恢复协议非常重要。一个强有力的战略应该包括——
数据管理,用于识别、分类、控制和保护数据。
技术管理,以确保所有服务提供商的端到端应用程序和安全软件都是最新的。
服务提供商管理对所有服务提供商的数据安全结构进行审计和尽职调查。
人员问题以确保所有涉及交易的人员都经过培训并了解最新的隐私政策。
这些问题中的每一个都需要在退休计划行业格局中加以考虑,包括发起人、受托人、记录保管人等。
美国劳工部顾问委员会针对员工福利和养老金福利计划制定了结构化方法,以建立网络安全战略。它始于退休计划流程中的每个利益相关者对数据、使用的流程以及如何保存数据的知识有透彻的了解。
计划发起人然后贡献一个共同的想法表,并使用根据他们的需要选择的共同安全框架。该过程通常需要
识别:了解业务背景、识别风险的资源
保护:制定保护措施以限制潜在网络安全事件的影响
检测:构建监控和检测系统以主动识别威胁
响应:制定应对网络安全事件的策略(如果发生)
恢复:从长期损害中恢复服务和恢复能力的计划
即使框架是标准化的,组织也需要一个独特的网络安全策略。因此,从不同来源获取想法并应用它们。使其具有动态性和适应性也很重要。网络安全威胁每天都在演变,变得越来越复杂。一个强大的安全策略也应该如此。
