Cybersicurezza del family office

In diversi sondaggi condotti tra gli utenti di software per family office, la sicurezza informatica è sempre la voce più importante e comunemente identificata come fonte di preoccupazione. La potenziale violazione del sistema informatico del family office e la perdita di dati riservati tengono sveglio il personale di molti family office.

E per una buona ragione. Un'indagine di Boston Private intitolata Surveying the Risk and Threat Landscape to Family Offices ha rilevato che il 26% dei family office ha subito un attacco informatico. Mentre le strutture di sicurezza tradizionali si concentrano sul rispetto degli obblighi di conformità e sulla prevenzione dell'accesso non autorizzato ai dati riservati, nel 2022 la cybersecurity è più complessa e più completa. La protezione dalle violazioni dei dati e dalla perdita di dati riservati è solo una componente di un quadro di cybersecurity completo e sfaccettato.

Così come il ruolo del family office si è evoluto nel corso degli anni, anche le sue responsabilità si sono evolute. Oggi i family office offrono ai clienti molto più che semplici caratteristiche e funzioni. I family office devono anche fornire l'infrastruttura, le certificazioni di settore e le operazioni necessarie per supportare le operazioni sicure e certificate che i loro clienti richiedono. I family office devono dimostrare che i dati altamente confidenziali dei loro clienti sono al sicuro e che le loro operazioni supportano il disaster recovery e la continuità operativa di livello mondiale.

Le aziende di software per family office devono ora adottare un approccio più olistico per proteggere i family office da una serie di minacce aziendali, tra cui i cyberattacchi, le violazioni dei dati e i cattivi attori interni ed esterni, e allo stesso tempo gestire la conformità, gli audit e gli obblighi di governance. Le aziende attente riconoscono di dover fornire ai propri clienti l'accesso ai più recenti progressi in materia di cybersecurity, mantenendo al contempo un maggiore controllo sui dati dei clienti e offrendo loro una certa flessibilità nelle operazioni di sicurezza.

Nel mondo connesso di oggi, il campo d'azione del family office si estende oltre il software e i dati. Gli uffici multifamiliari (MFO) vogliono offrire accesso e integrazione (API) senza soluzione di continuità nei sistemi interni dei loro clienti. I loro clienti vogliono utilizzare queste API per accedere alla governance e ai registri di utilizzo da integrare negli strumenti di compliance e governance aziendali.

Di conseguenza, gli MFO vogliono strutture di cybersecurity più dinamiche e flessibili. Naturalmente, si aspettano una sicurezza all'avanguardia dei dati e dei sistemi. Ma i moderni MFO mirano anche a utilizzare queste capacità per differenziare i loro servizi e posizionare meglio le loro offerte per i clienti, evidenziandole durante il ciclo di vendita per aggiudicarsi nuovi contratti. Inoltre, utilizzano l'infrastruttura e le offerte dei loro fornitori SaaS per soddisfare i loro obblighi contrattuali, come i pen-test, la conformità SOC2, il monitoraggio degli accessi ai dati riservati e altro ancora.

I requisiti essenziali di cybersecurity del family office che ci si aspetta dal fornitore di SaaS per il family office includono i seguenti:

• Flessibilità per soddisfare le diverse esigenze di sicurezza: I fornitori di software riconoscono che un modello di sicurezza non è adatto a tutti. Alcuni family office hanno requisiti molto sofisticati e necessitano di un software per family office che si integri perfettamente nei loro framework di conformità e monitoraggio dell'uso dell'identità. Altri richiedono che il SaaS per family office offra intrinsecamente un servizio di sicurezza sicuro e gestito, compresa la conformità SOC 2 e la gestione degli incidenti di sicurezza.

• Servizi di cybersicurezza gestiti per i Family Office: La sicurezza e la conformità sono le principali preoccupazioni per le organizzazioni che passano al cloud. Con una soluzione SaaS, il fornitore SaaS gestisce le patch, la manutenzione e le vulnerabilità di sicurezza, sollevando il family office da questa responsabilità e riducendo sostanzialmente l'onere operativo e il rischio del family office. Immaginate di non dovervi preoccupare se il team InfoSec del family office (che in genere ha meno esperienza di un team InfoSec di un'organizzazione SaaS) ha applicato l'ultima patch per contrastare una recente vulnerabilità software virale o un malware che sta mettendo in crisi i servizi Internet. Questi servizi gestiti includono il supporto per il disaster recovery e la continuità operativa, che riduce il rischio aggiuntivo per l'ufficio.

• Maturità ereditabile (conformità agli standard di sicurezza del settore e rispetto degli obblighi di legge e contrattuali): Molti clienti di software per family office richiedono la conformità a standard di settore accettati come SOC 2, ISO 27001 e altri. I family office devono anche soddisfare i requisiti nazionali di residenza dei dati. Inoltre, devono rispettare le leggi sulla protezione dei dati come il GDPR nell'UE, il CCPA in California e il DFS di New York. La maturità ereditabile consente ai family office di ereditare la maturità e le certificazioni dell'infrastruttura e della sicurezza del proprio fornitore SaaS, sfruttandola per i propri obiettivi aziendali.

• Controllo dei dati da parte del cliente: Per soddisfare le diverse esigenze dei loro clienti, i family office devono unirsi ad altre società FinTech che consentono ai clienti di fornire la propria chiave di crittografia, ovvero la Customer Supplied Encryption Key (CSEK). I family office utilizzano la CSEK per avere il 100% di fiducia nel controllo dei dati e per assicurare ai propri clienti che solo il personale autorizzato può accedere ai loro dati, poiché sono loro a controllare le chiavi di crittografia. Inoltre, gli MFO vogliono avere la flessibilità di separare i diversi dati dei clienti gestiti da vari partner, utilizzando chiavi di crittografia uniche e separate per ciascun cliente e relazione.

• Monitoraggio degli accessi a livello di transazione che si integra con gli strumenti di governance dei clienti: I fornitori di SaaS SFO/MFO devono fornire un eccellente monitoraggio degli accessi a livello transazionale. Ciò consente ai loro clienti di soddisfare gli obblighi di governance per il monitoraggio degli accessi ai dati riservati. I clienti desiderano estrarre questi registri di accesso e integrarli con i loro report e strumenti di governance e conformità per monitorare gli accessi. Grazie a questa dinamicità e alle funzionalità avanzate, i clienti possono tracciare e analizzare le transazioni con maggiore granularità e integrare questi metadati e la telemetria in ulteriori funzionalità di governance e reporting. Questi report e analisi aiutano a migliorare la governance e a comprendere meglio il comportamento degli utenti.

• Sicurezza cloud-nativa che consente protocolli di autorizzazione e accesso sofisticati: Un'integrazione cloud-native di Azure Active Directory, come quella di AtlasFive®, consente a un team di supportare requisiti molto complessi da parte dei clienti, complessità che non è possibile con i modelli SSO tradizionali. Ad esempio, un istituto finanziario globale potrebbe voler separare il modello di autorizzazione SSO per i propri utenti da quello per i login dei clienti. Un framework di sicurezza di alto livello consentirà a questo istituto di avere tre domini di sicurezza separati: uno per gli utenti che accedono alla piattaforma del family office, un'altra directory attiva per i clienti (separandoli dalla directory attiva interna) e una terza per il team operativo che gestisce il sistema SaaS.

Di seguito è riportato un quadro di riferimento per la cybersecurity di un family office. Il software, le caratteristiche e le funzioni sono "sopra l'iceberg", mentre la sicurezza è "sotto l'iceberg".

Per essere sempre attuale, il family office moderno dovrà evolvere la propria gamma di servizi, e con questi nuovi servizi arrivano anche nuove responsabilità. Mentre il family office svolge ruoli in espansione per i suoi clienti, deve concentrarsi sulla sicurezza per alleviare le crescenti preoccupazioni dei clienti riguardo alle violazioni dei dati. I family office sono consapevoli di questa preoccupazione dei clienti: il 57% dei family office intervistati da Boston Private ha identificato il rischio informatico come uno dei rischi più significativi che devono affrontare.

La sicurezza - e più specificamente la cybersicurezza - sta passando da un "ripensamento" a una chiave di volta del lancio commerciale del family office. Gli uffici che non rispondono a questa transizione con una piattaforma digitale flessibile, come AtlasFIve, e con strutture di sicurezza di livello mondiale diventeranno vulnerabili e persino obsoleti. In questo ambiente di sicurezza nuovo e in continua evoluzione, i family office hanno bisogno di qualcosa di più di un'applicazione per family office: hanno bisogno di un family office digitale sicuro e certificato dal settore.