Bedrijven maken zich begrijpelijkerwijs zorgen over de dreiging die hackers vormen voor de veiligheid van gevoelige gegevens op hun netwerken. Maar een slotbrief die FTC-personeel naar Morgan Stanley Smith Barney LLC stuurde waarschuwing voor andere gevaren die op de loer liggen in de buurt van het huis.
FTC-personeel onderzocht beschuldigingen dat een medewerker van Morgan Stanley misbruik maakte van informatie over de vermogensbeheerklanten van het bedrijf. Hoe deed de persoon het? Door naar verluidt gegevens van het netwerk van Morgan Stanley over te dragen naar persoonlijke sites waartoe u op het werk toegang hebt, en vervolgens naar persoonlijke apparaten. De geëxporteerde gegevens verschenen vervolgens op andere sites, waardoor de informatie kwetsbaar werd voor misbruik – en klanten van Morgan Stanley werden blootgesteld aan mogelijke schade.
Die brief somde de redenen van het personeel op om het onderzoek af te sluiten, waaronder het feit dat Morgan Stanley beleid had geïmplementeerd dat was ontworpen om te beschermen tegen diefstal van persoonlijke informatie door insiders. Welke beschermingen heeft het bedrijf? Het bedrijf heeft bijvoorbeeld beleid dat de toegang van werknemers tot gevoelige klantgegevens beperkt zonder een legitieme zakelijke noodzaak, het bedrijf monitort de omvang en frequentie van gegevensoverdrachten door werknemers, het bedrijf verbiedt het gebruik van flashdrives of andere apparaten door werknemers om gegevens te downloaden, en het bedrijf blokkeert de toegang tot bepaalde risicovolle applicaties en sites.
Maar in dit geval stelde het onderzoek vast dat medewerkers van Morgan Stanley bepaalde klantinformatie konden verkrijgen omdat de toegangscontroles voor een beperkt aantal rapporten niet goed waren geconfigureerd. Maar toen het probleem eenmaal aan het licht kwam, kwam het bedrijf onmiddellijk in actie om het op te lossen.
Zoals bij de meeste brieven als deze mag het besluit om een onderzoek af te sluiten niet betekenen dat het personeel denkt dat de wet wel of niet is overtreden. Die brief merkte ook op: “De Commissie behoudt zich het recht voor om verdere actie te ondernemen in het algemeen belang.”
De kans is groot dat u dit leest terwijl u verbonden bent met een netwerk met vergelijkbare gevoelige informatie. Wat kunnen andere bedrijven leren van de Morgan Stanley-episode?
Een ons preventie is een pond overtreding waard. Terwijl u uw netwerk beschermt tegen bedreigingen van buitenaf, moet u nadenken over de plaatsen waar uw systeem intern kwetsbaar kan zijn. Bedenk hoe vertrouwelijke informatie zich door uw bedrijf verplaatst en volg vervolgens de stappen vanuit het perspectief van de malafide medewerker. Versterk alle zwakke punten in je verdediging.
Beperk de toegang tot vertrouwelijk materiaal tot werknemers met legitieme zakelijke redenen. Bij een concert zijn backstage-passen gereserveerd voor een select groepje. Implementeer een soortgelijk beleid met betrekking tot gevoelige informatie die in het bezit is van uw bedrijf. Niet alle medewerkers hebben direct toegang nodig tot alle vertrouwelijke gegevens.
Gegevensbeveiliging is een continu proces. Slimme bedrijven passen hun praktijken aan om rekening te houden met de huidige risico’s en technologische veranderingen. Naarmate meer werknemers persoonlijke sites en apps gebruiken, moet u passende controles implementeren om de potentiële risico’s van wijdverbreide toegang tot werkapparatuur aan te pakken.
