Vad fondstyrelser behöver veta om cybersäkerhet

Fondförvaltningschefer och styrelseledamöter spelar en avgörande roll för att hjälpa kapitalförvaltningsföretag att navigera i cybersäkerhet. Eftersom de finansiella, operativa och anseende kostnaderna för cyberrisk fortsätter att öka, framgångsrikt samarbete mellan fondförvaltning
chefer, cybersäkerhetschefer och styrelsen är avgörande för effektiv tillsyn över cybersäkerhet.

Accelererat regelskapande

Securities and Exchange Commission (SEC) har föreslagit regler som kräver att registrerade investeringsrådgivare och investeringsbolag ska anta och implementera skriftliga policyer och procedurer för cybersäkerhet.

Dessutom skulle de behöva rapportera betydande cybersäkerhetsincidenter som påverkar investeringsrådgivaren, eller de fonder som den ger råd till, till SEC inom 48 timmar efter att ha fastställt att en incident är betydande.

Företag skulle också behöva avslöja cybersäkerhetsrisker och incidenter i sina avslöjande dokument och implementera en rigorös ny arkiveringspolicy relaterad till cybersäkerhet.

Styrelser kan också krävas att godkänna cybersäkerhetspolicyer och procedurer för vissa registrerade fondtjänsteleverantörer, såsom dess investeringsrådgivare, huvudgarant, administratör eller överföringsagent.

Den primära avsikten med reglerna är att säkerställa att styrelser aktivt övervakar cybersäkerhetsprogrammet och hålls ansvariga för dess administration. En ytterligare avsikt är att skydda marknaden genom att undvika ett scenario där flera fonder inte kan
utföra nyckeloperationer samtidigt.

Förslagen bryter inte ny mark eller ställer betungande krav jämfört med tillvägagångssätt som används i andra branscher eller kodifieras i de flesta cybersäkerhetsstandarder.

Det kan dock finnas ett behov av att komma ikapp med mindre rådgivare och fondfamiljer, fonder som för närvarande är underinvesterade i cybersäkerhet eller fonder som inte utövar regelbunden styrelsekontroll av cybersäkerhet.

Gör mig i ordning

Cybersäkerhetsprogrammet bör skräddarsys för verksamheten, men fondbutiker bör alltid inkludera riskbedömning, hot- och åtkomsthantering, sårbarhetshantering och cybersäkerhetsincidentrespons och återställningsöverväganden i sina policyer
och procedurer.

SEC-förslagen kräver att fondstyrelseledamöter initialt godkänner dessa policyer och procedurer och därefter granskar den skriftliga rapporten om cybersäkerhetsincidenter och eventuella väsentliga förändringar.

När de utför sina tillsynsuppgifter bör styrelseledamöter söka information för att förstå de potentiella cybersäkerhetsriskerna och programmets framträdande egenskaper och funktioner. De måste utvärdera effektiviteten av cybersäkerhetsprogrammet och dess
genomförande och om fonden har tillräckliga resurser för cybersäkerhet.

De riskbedömningar som krävs av förslagen skulle hjälpa styrelsen att fastställa omfattningen, komplexiteten och arten av de cybersäkerhetsutmaningar som fondbutiken står inför och effektiviteten av dess cyberprogram.

Enligt förslagen skulle det gemensamma ansvaret för rapporteringen till styrelsen kunna läggas på en cybersäkerhetsexpert och en fondföretagare. Genom att arbeta tillsammans skulle dessa chefer behöva samarbeta för att säkerställa att styrelsen får rapportering
och råd som gör det möjligt för den att fylla sin tillsynsfunktion.

Styrelsen bör vara övertygad om att cybersäkerhetsprogrammet till fullo förstår organisationens prioriteringar, regelbundet engagerar sig med lämpliga intressenter i verksamheten och framgångsrikt hanterar affärsrisken relaterade till cybersäkerhet.

Cyberfunktionen bör kommunicera potentiella affärsrisker till de personer som är mest kunniga om verksamheten. Informationen bör levereras till intressenter med hjälp av språk som de förstår och med deras synpunkter och prioriteringar i åtanke.

Hur man arbetar med cybersäkerhetschefer

Styrelser bör se till att cyberfunktionens tekniska expertis omsätts till meningsfull och relevant information för styrelsen. Detta kan kräva att de tar itu med tendensen hos cybersäkerhetsproffs att hamna i "expertisfällan"
där cyberfunktionen förväntar sig att styrelsen förstår de tekniska aspekterna av cybersäkerhet.

Om företag fastställer att deras cybersäkerhetschefer ännu inte är redo för styrelsen, kan de anlita en rådgivare med cybersäkerhetsexpertis för att stödja processen. Till exempel kan en extern expert hjälpa till att utveckla cyberproffsens affärsmannaskap, föreslå
relevanta frågor till dem, förtydliga deras input och svar till styrelsen och rekommendera executive coaching.

Buck stannar här

Cybersäkerhetsfunktionen kan ge fokus, främja medvetenhet och utveckla verktyg för att stödja cybersäkerhet samt lyfta fram processer och beslut som leder till dålig säkerhet. Men den kan inte vara ensam ansvarig för cybersäkerhet.

Styrelserna bör inse att cybersäkerhet inte bara är teknikprofessionellas provins utan ett strategiskt krav, och slutligen avstå från föreställningen att "vi gör affärer, du gör säkerhet".

Cyberprogrammet behöver stöd från styrelsen och VD:n för att verkligen vara effektivt. Styrelseledamöter bör notera att chefer som rapporterar till styrelsen om cybersäkerhet kan vägleda och ge råd, men ansvaret för cybersäkerhet måste ligga hos VD. Brädor
bör vara medveten om VD:s nyckelroll i att driva en organisations cybersäkerhetskultur, bädda in den på alla nivåer i företaget och främja samarbete mellan chefer.

När de utvärderar effektiviteten av cybersäkerhetsprogrammet utvärderar styrelser i huvudsak verkställande direktörens prestation, såväl som för informationssäkerhetschefen (CISO) och andra cybersäkerhetschefer eller representanter för fondföretag som rapporterar
till styrelsen i cyberfrågor.

I ett ständigt växande och sammankopplat ekosystem för fondförvaltning måste styrelser säkerställa en delad förståelse mellan styrelseledamöter, ledande befattningshavare och teknikchefer om hur cyberrisk hanteras och mildras över hela värdekedjan av rådgivare,
fondkomplex och tredjepartstjänsteleverantörer.

Att få rätt cybersäkerhet är avgörande för att fondbolag ska kunna skydda investerarnas och kundernas förtroende, skydda varumärket och rykte och förbättra deras konkurrensfördelar i en allt mer digital värld.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.finextra.com/blogposting/25917/what-fund-management-boards-need-to-know-about-cybersecurity?utm_medium=rssfinextra&utm_source=finextrablogs