Carta ao Morgan Stanley oferece informações de segurança sobre insiders
As empresas estão compreensivelmente preocupadas com a ameaça que os hackers representam à segurança de dados confidenciais em suas redes. Mas a Carta de encerramento que a equipe da FTC enviou para Morgan Stanley Smith Barney LLC avisa de outro perigo à espreita mais perto de casa.
A equipe da FTC investigou a alegação de que um funcionário do Morgan Stanley havia desviado informações sobre os clientes de gerenciamento de patrimônio da empresa. Como a pessoa fez isso? Supostamente transferindo dados da rede de Morgan Stanley para um site pessoal acessado no trabalho e depois para dispositivos pessoais. Os dados exportados mais tarde apareceram em outros sites, deixando as informações vulneráveis ao uso indevido – e expondo os clientes de Morgan Stanley a possíveis danos.
A carta Liste os motivos da equipe para fechar a investigação, incluindo o fato de o Morgan Stanley já ter implementado políticas projetadas para proteger contra roubo insider de informações pessoais. Que proteções a empresa possuía? Por exemplo, ele tinha uma política limitando o acesso aos funcionários a dados confidenciais do cliente sem uma necessidade comercial legítima, monitorou o tamanho e a frequência das transferências de dados pelos funcionários, proibia o uso dos funcionários de unidades de flash ou outros dispositivos para baixar dados, e o acesso bloqueado para certos aplicativos e sites de alto risco.
Mas, nesse caso, a investigação determinou que o funcionário do Morgan Stanley conseguiu obter determinadas informações do cliente porque os controles de acesso para um conjunto estreito de relatórios foram configurados indevidamente. No entanto, uma vez que o problema veio à tona, a empresa se moveu rapidamente para corrigi -lo.
Como na maioria das cartas como essa, a decisão de fechar a investigação não deve ser tomada para significar que os funcionários pensavam que a lei – ou não havia sido – foi violada. A carta Observa também: “A Comissão se reserva o direito de tomar uma ação adicional que o interesse público possa exigir”.
Provavelmente, você está lendo isso enquanto está conectado a uma rede com informações igualmente sensíveis. O que outras empresas podem aprender com o episódio de Morgan Stanley?
Uma onça de prevenção vale um quilo de violação. Enquanto você protege sua rede de ameaças externas, pense em qualquer lugar onde seu sistema possa ser poroso internamente. Considere como as informações confidenciais se movem através da sua empresa e, em seguida, refaz seus passos da perspectiva de um funcionário desonesto. Esforce -se qualquer ponto fraco em suas defesas.
Limite o acesso a material confidencial aos funcionários com um motivo comercial legítimo. Em um show, os passes nos bastidores são reservados para alguns poucos. Implementar uma política semelhante quando se trata de informações confidenciais na posse da sua empresa. Nem todo membro da equipe precisa de acesso instantâneo a todos os dados confidenciais.
A segurança dos dados é um processo contínuo. As empresas experientes ajustam suas práticas à luz dos riscos atuais e das tecnologias em mudança. À medida que os funcionários usam cada vez mais sites e aplicativos pessoais, implante controles apropriados para lidar com os riscos potenciais de acesso amplo em dispositivos de trabalho.
