如何保护自己的数字足迹

基金经理保护其数据的方式远远不止是考虑办公室的四堵墙。随着技术的发展,尤其是云技术的发展,近来我们的工作方式发生了革命性变化,重新定义了工作场所的实际含义。通过wifi,云平台和手机,对冲基金的首席执行官可以根据需要在马提尼克岛的海滩上经营自己的业务。但是,每一个方面都有缺点。而今天,这意味着保护自己的外围已经成为更大的挑战。 

基金经理与其服务提供商之间的大量数据流,再加上他们继续采用数字和社交媒体平台,已经创造了更广阔的数字足迹。覆盖范围越大,公司越容易受到网络攻击。 

这构成了上个月在3月16日由全球基金媒体(Global Fund Media)在伦敦的The改革俱乐部举办的网络安全活动上进行的有趣的小组辩论的基础。 

对冲小组由对冲基金标准委员会首席执行官托马斯·迪内特(Thomas Deinet)(如图)主持,成员包括Intralinks的安全顾问Trevor Moore,Digital Shadows的研究分析师Michael Marriott,以及全球宏观对冲基金首席技术官Andrew Flatt。伙伴。

这样,黑客就可以轻松地构建自己的业务组织图,这对于基金经理来说,采用适当的流程和控制变得越来越重要,这不仅是为了保护正在分发的实际数据,而且是为了确保他们能够处理他们的公司数字足迹作为风险管理活动。 

数据勒索策略

万豪告诉听众,全球经济不同部门的组织都面临着一系列不同的威胁:特定于公司,特定于部门,特定于地理的威胁等等。 

“无法避免在线上发生的所有坏事。了解具体的威胁是非常重要的,”万豪说。 Digital Shadows帮助评估外部威胁,为其客户提供所谓的网络态势感知。它旨在通过“攻击者的眼光”对组织进行分析,以预防,检测和遏制与网络相关的事件。

在讨论当前威胁形势时,万豪提到了去年孟加拉国中央银行在纽约联邦储备银行帐户中的8100万美元的银行抢劫案。这是一次高度复杂的攻击,威胁参与者借此对银行的内部软件和运行情况有了深入的了解。这不是一件容易的事。 

“这可能是由于员工心怀不满或由于员工意外泄漏数据造成的;无论如何,参与人员使用这些数据来绘制组织结构图,并确定银行薄弱环节在网络中的位置,所使用的软件等。  

“关键是,建立组织内部结构的知识并不一定需要内部人员,数据已经存在。但是好消息是,公司可以做很多事情来检测这些信息。”万豪说。

无论公司如何,将过多数据泄漏到网络空间的后果是使它们容易受到勒索软件攻击。在过去的几年中,这些攻击主要涉及DDoS(分布式拒绝服务)攻击,但现在变得更加险恶和有针对性,威胁参与者提取了敏感信息,如果没有满足他们的要求,他们可能会发布这些信息。

最近,有一家欧洲银行涉嫌敲诈勒索。他们不仅针对数据并威胁说如果银行不支付赎金就将其释放,他们实际上针对的是该银行的个人高净值客户,并说:“如果你们每个人向我们支付赎金的5%,我们将不会泄露您的银行详细信息,完全绕开了银行。 

因此,基金经理在管理数据的方式以及用于加密和分发数据的解决方案类型方面不能放任自流。 

万豪说:“提前计划并尝试使流程适应不断变化的威胁形势至关重要。”

归根结底,许多漏洞围绕着基金经理使用的平台展开。 Intralinks的Moore表示,如果组织必须非常仔细地了解其底线,那么它可能并不总是投资于所需的安全框架类型。 

“周界开始缩小。随着公司越来越多地移动和员工远程工作,而不是保护整个环境,围绕数据保护的范围正在缩小到核心要素,他们不一定关注数据的分发方式,” Moore说。

电子邮件仍然主要用于共享信息。它已经成为我们许多人的第二天性,但请考虑一下。如果您附上包含重要信息的文档,那么在您发送邮件时,您将创建该数据的至少两个副本,如果在交易所保留,则可能会创建第三份。

因此,使用电子邮件会导致文档被多次复制。而且,这些数据或这些数据的片段最终总是多次散布到全世界,而企业甚至没有意识到这一事实。 

类似于Snapchat的许可

“我们要做的是提供一个平台,该平台旨在使用访问控制与合适的人共享数据,从而组织内的人员只能访问某些类型的数据,” Moore解释说。 “此外,我们使用信息权限管理。平台上的每一项数据都被赋予包装器,该包装器以密码方式应用。该包装器具有一定的智能,因为当您单击数据时,它知道您是否被允许访问它。 

“它还具有呼叫权限服务器并询问相关人员是否被允许使用数据,复制或发送数据或以任何方式对其进行编辑的能力。无论数据在何处,它都将完全控制数据。此外,您可以更改这些权限。我可以将一段数据发送给广泛的受众,但只能提供五天,之后权限管理人员将开始使用并有效地删除数据。”

将其视为Snapchat的扩展版本。

Intralinks拥有的第二个数据管理控件是对在Fundspace平台上共享的数据应用加密,为每个客户端提供自己的加密密钥。 

当数据存储在平台上时,Intralinks使用硬件安全模块对其进行加密。通过允许客户端拥有用于加密数据的密钥,他们可以在自己的场所确保数据的安全。如果他们担心数据泄露,也许他们正在关闭投资者的帐户或完成M交易&达成协议–他们可以在自己的场所销毁密钥,并删除所有必要的数据。

“最重要的是,必须强调归结于人为因素,”穆尔补充道。 “我们的平台具有非常精细的控件,使任何组织都能安全地共享他们想要的任何数据,但是控件越精细,人为因素就越重要:定义策略,确保访问控制正确等等。 。 

“您必须应用适当级别的人员监督来管理数据的信息权。”

显然,提高认识并弄清做事的正确方法和错误的方法很重要。

摩尔说,Intralinks平台还具有支持数据分类的元数据功能,这很有用,特别是对于运行多个基金产品并与多个资产类别的第三方共享数据的大型基金管理集团而言。 

“我们为尤其是大型客户提供有关如何对数据进行分类以及如何构造数据以进行共享的建议。有许多可以使用的定制方法。我认为信息权限管理工具的粒度足以支持大多数情况。” 

对于那些正在考虑使用第三方云供应商的人,FCA最近发布了第三方供应商和云托管指南: //www.fca.org.uk/publication/finalised-guidance/fg16-5.pdf

移动设备管理

移动设备管理是控制个人数字足迹的重要方面。 

“我们使用Microsoft Intune。我们确保每个人都使用四位数的密码,并且每个设备都已加密。我们已将工作政策推到每台设备上,这样,如果我们的一名员工丢失了手机或笔记本电脑,我们就可以对所有必要的公司(非个人)数据进行远程擦除。” Flatt确认。 

如果没有适当的控制措施,例如,如果员工不小心将其手机或笔记本电脑留在出租车上,公司将遭受严重的声誉损害。它只需要落入错误的人的手中,就可以访问和利用潜在的敏感数据。

这又回到了人为因素。您可以将一匹马带到水里,但不能喝水。市场上所有用于保护,加密和备份数据的解决方案都很棒,但它们的有效性仅与使用它们的人一样有效。 

“企业文化对于保护个人数据至关重要。让人们举报问题,而不必担心被大喊大叫或浪费时间。弗拉特说:“所有的玩具都很棒,但除非训练有素的人使用它们,并且知道什么时候提出问题或担忧,否则它们是没有用的。”

Intralinks拥有自己的移动应用程序功能,该功能使最终用户可以在安全的容器中构建和运行自己的应用程序。解决方案的使用方式实际上取决于每个组织以及员工如何使用移动设备。 “如果允许他们将工作设备用于个人用途,则可以根据需要进行任意控制。如果您试图鼓励他们仅将自己的设备用于业务,那么您就需要这些容器解决方案之一。”

信息权限管理和移动设备管理工具正迅速成为对冲基金CTO工具箱的关键部分,以确保对他们组织的数字足迹进行适当的监控和风险管理。 

为此,在此过程中选择合适的服务提供商至关重要。管理人员应进行认真的尽职调查,并确保平台提供商已拥有正确的安全证书。此外,如果作为尽职调查活动的一部分,他们未能提供足够的透明度,则应将其视为危险信号。

Moore确认:“尽职调查是管理人员评估我们的网络安全框架时流程的重要组成部分。” “组织越大,尽职调查就越详细。我认为Intralinks去年进行了180次渗透测试。例如,如果您尝试对Microsoft进行尽职调查,则访问其数据中心之一的权限将非常渺茫。这有点雷区,因为不同的服务提供商将以不同的方式参与。” 

风险是所有这些的关键方面。在一个人的操作环境中,请查看您的WISP并确保从服务提供商那里获得正确级别的保证。 

“内部链接在我们进行尽职调查的方式中非常开放。 Moore强调说,与客户一样,我们损失惨重。

GDPR将集中思想

好像经理们需要任何其他理由来集中精力于数据管理一样,该行业面临着GDPR将于明年引入欧洲的前景。简而言之,如果公司处理不正确的个人身份信息,将被处以相当于其年总营业额4%的罚款。 

但是,GDPR的一件事是,它将部分责任转移给了代表基金经理管理数据的人员。  

摩尔说:“就保护个人身份信息而言,我们将与最终客户一样承担责任。”

总之,万豪敦促观众不要沉迷于黑暗的网络。他说,它没有对网络犯罪的垄断,“那里有很多平庸的东西”。

归根结底,基金经理可以减少外部数据落入不当之手的风险,这一切都归结于人员和公司的精神。技术至今为止。 

 
作者简介
标签