Business
avril 26, 2021

Protéger votre Nest Egg contre les cybercriminels – Technologie

Par andy1712


Pour imprimer cet article, il vous suffit de vous inscrire ou de vous connecter sur Mondaq.com.

Synopsis de Seyfarth: Les régimes de retraite détiennent des millions (parfois des centaines de millions) de dollars d’actifs, et les renseignements personnels des participants sont de plus en plus conservés et accessibles en ligne. Avec des sommes d’argent aussi importantes accessibles par voie électronique, les régimes de retraite peuvent être une cible de choix pour les cybercriminels. En réponse à ce problème croissant, le 14 avril 2021, le ministère du Travail («DOL») a publié un ensemble en trois parties de directives informelles contenant les meilleures pratiques et des suggestions de différents points de vue pour aborder la cybersécurité dans le monde des régimes de retraite. Reconnaissant que les entreprises s’appuient largement sur des tiers, à savoir le gestionnaire de registres du plan, pour sécuriser et protéger les données des participants, le guide décrit la protection de cybersécurité à rechercher lors de la sélection des fournisseurs de services. Le guide fournit également des conseils aux archivistes et autres fournisseurs de services responsables de la gestion des données du plan, ainsi que des idées pour les participants au plan sur la protection de leurs données et comptes de plan en ligne.

Les trois documents d’orientation sont intitulés: Conseils pour embaucher un fournisseur de services avec de solides pratiques de sécurité, Meilleures pratiques du programme de cybersécurité et Conseils de sécurité en ligne.

“Conseils lors de l’embauche d’un fournisseur de services avec de solides pratiques de sécurité” (pour les fiduciaires du régime)

Les administrateurs de régime ont une obligation fiduciaire en vertu de l’ERISA d’agir avec prudence lors de la sélection et du suivi des fournisseurs de services de régime. Ce document d’orientation de deux pages DOL fournit des conseils aux fiduciaires lors de l’embauche d’un fournisseur de services et des dispositions à inclure dans le contrat avec le fournisseur de services.

Les conseils à prendre en compte lors de l’évaluation d’un fournisseur de services comprennent:

  • Tenez compte des normes, pratiques, politiques et résultats de cybersécurité du fournisseur de services et comparez-les aux normes adoptées par d’autres fournisseurs de services du secteur.
  • Recherchez un fournisseur de services qui respecte une «norme reconnue» en matière de sécurité de l’information et qui utilise un auditeur tiers pour examiner et valider ses pratiques de cybersécurité.
  • Demandez au fournisseur de services comment il valide ses pratiques de cybersécurité et les niveaux de normes de sécurité qu’il a respectés et mis en œuvre.
  • Évaluez les antécédents du fournisseur de services. Comment a-t-il géré les violations de sécurité passées?
  • Déterminez si le fournisseur de services souscrit des polices d’assurance qui couvriraient les pertes causées par la cybersécurité et les violations de vol d’identité (pour les menaces internes et externes).

Observation. Ces conseils pourraient être utiles et mettre en évidence ce que de nombreux administrateurs de régimes envisagent déjà lors de l’évaluation et de l’embauche de fournisseurs de services. Cependant, comme nous l’avons vu, le respect de ces conseils et suggestions peut réduire la probabilité ou la gravité des violations de données, mais ils ne constituent pas une garantie contre les problèmes de cybersécurité.

«Meilleures pratiques du programme de cybersécurité» (pour les fournisseurs de services)

Le DOL a également publié un certain nombre de bonnes pratiques à l’usage des archivistes de régime et d’autres fournisseurs de services responsables des données de régime. Les meilleures pratiques comprennent la mise en place d’un programme de cybersécurité formel et bien documenté, la réalisation d’évaluations annuelles des risques et d’audits par des tiers des contrôles de sécurité, la conduite de formations périodiques de sensibilisation à la cybersécurité et la réponse appropriée à tout incident de cybersécurité passé. Le DOL a indiqué que ces éléments devraient être examinés et pris en compte par les fiduciaires du régime lorsqu’ils évaluent l’opportunité d’embaucher un fournisseur de services.

Observation. Lors de l’examen du programme de cybersécurité et des contrôles internes d’un fournisseur de services, les administrateurs du plan peuvent envisager d’impliquer des personnes du service informatique ou un consultant en sécurité externe pour s’assurer que les explications fournies par le fournisseur correspondent à ces meilleures pratiques.

“Conseils de sécurité en ligne” (pour les participants)

Les directives du DOL montrent qu’il n’appartient pas uniquement aux fiduciaires et aux prestataires de services de planifier de prendre les mesures nécessaires pour sécuriser les données du plan. Les participants au régime jouent également un rôle essentiel dans la réduction du risque de fraude et de pertes de compte de régime de retraite résultant de cyberattaques. La troisième partie du guide DOL fournit des conseils de sécurité en ligne aux participants, notamment l’utilisation de mots de passe uniques, l’autorisation à deux facteurs, la surveillance régulière des comptes de plan, la prudence face aux attaques de phishing et la mise à jour du logiciel antivirus. À l’heure actuelle, les directives ne suggèrent pas que les fiduciaires du régime ou les fournisseurs de services fournissent périodiquement des conseils de sécurité en ligne aux participants.

Observation. Les administrateurs de régime et les teneurs de registres peuvent envisager d’examiner et de mettre à jour les descriptions sommaires des régimes, le matériel d’inscription et d’autres avis annuels destinés aux participants afin d’incorporer certains de ces conseils de sécurité afin que les participants soient informés des mesures qu’ils peuvent prendre pour réduire le risque de fraude. et les pertes de compte de retraite résultant d’un accès non autorisé à leur compte de retraite.

Prochaines étapes

Ces conseils informels montrent que la protection contre les violations de données est compliquée et n’est pas une proposition du tout ou rien. Un administrateur de régime pourrait suivre chaque conseil décrit par le DOL lors de la sélection d’un fournisseur de services, mais si le participant compromet le mot de passe de son propre compte, les efforts de l’administrateur sont inutiles. Ainsi, les fournisseurs de services, les fiduciaires du régime et les participants devraient tous prendre des mesures pour se protéger contre les violations de la cybersécurité.

Le contenu de cet article est destiné à fournir un guide général sur le sujet. Des conseils spécialisés doivent être recherchés sur votre situation particulière.

ARTICLES POPULAIRES SUR: Technologie des États-Unis

L’Utah crée la sphère de sécurité de violation de données

Sheppard Mullin Richter et Hampton

L’Utah a récemment modifié sa loi sur les avis de violation pour fournir certaines défenses aux entreprises qui subissent une violation de données.



Partagez
Tweetez
Partagez
Enregistrer

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *