Letter to Morgan Stanley nabízí bezpečnostní informace o zasvěcených osobách

Firmy se pochopitelně obávají hrozby, kterou hackeři představují pro bezpečnost citlivých dat v jejich sítích. Ale a závěrečný dopis, který zaměstnanci FTC zaslali společnosti Morgan Stanley Smith Barney LLC varuje před dalším nebezpečím číhajícím blíže k domovu.

Zaměstnanci FTC prošetřili obvinění, že zaměstnanec Morgan Stanley zpronevěřil informace o klientech správy majetku společnosti. Jak to ten člověk udělal? Údajným přenosem dat ze sítě Morgan Stanley na osobní webovou stránku přístupnou v práci a poté na osobní zařízení. Exportovaná data se později objevila na jiných stránkách, takže informace byly náchylné ke zneužití – a vystavili klienty Morgan Stanley potenciální újmě.

Dopis uvádí důvody zaměstnanců pro uzavření vyšetřování, včetně skutečnosti, že Morgan Stanley již zavedla zásady určené k ochraně před krádeží osobních údajů zevnitř. Jaké ochrany měla společnost zavedena? Například měla politiku omezující přístup zaměstnanců k citlivým zákaznickým datům bez legitimní obchodní potřeby, monitorovala velikost a frekvenci datových přenosů zaměstnanci, zakazovala zaměstnancům používat flash disky nebo jiná zařízení ke stahování dat a blokovala přístup. do určitých vysoce rizikových aplikací a webů.

Ale v tomto případě vyšetřování zjistilo, že zaměstnanec Morgan Stanley byl schopen získat určité klientské informace, protože kontroly přístupu pro úzkou sadu zpráv byly nesprávně nakonfigurovány. Jakmile však problém vyšel najevo, společnost rychle přistoupila k jeho nápravě.

Stejně jako u většiny dopisů, jako je tento, by rozhodnutí o uzavření vyšetřování nemělo znamenat, že se zaměstnanci domnívají, že zákon byl – nebo nebyl – porušen. Dopis také poznamenává: „Komise si vyhrazuje právo podniknout další kroky, které si veřejný zájem vyžádá.“

Je pravděpodobné, že toto čtete, když jste připojeni k síti s podobně citlivými informacemi. Co se mohou ostatní společnosti naučit z epizody Morgan Stanley?

Unce prevence stojí za libru porušení. Zatímco chráníte svou síť před vnějšími hrozbami, promyslete všechna místa, kde by váš systém mohl být vnitřně porézní. Zvažte, jak se ve vaší společnosti pohybují důvěrné informace, a poté zopakujte její kroky z pohledu nepoctivého zaměstnance. Podepřete všechna slabá místa ve své obraně.

Omezte přístup k důvěrným materiálům na zaměstnance s legitimním obchodním důvodem. Na koncertě jsou vstupenky do zákulisí vyhrazeny pro pár vyvolených. Implementujte podobnou politiku, pokud jde o citlivé informace ve vlastnictví vaší společnosti. Ne každý zaměstnanec potřebuje okamžitý přístup ke všem důvěrným datům.

Zabezpečení dat je neustálý proces. Důvtipné společnosti přizpůsobují své postupy aktuálním rizikům a měnícím se technologiím. Vzhledem k tomu, že zaměstnanci stále více používají osobní weby a aplikace, nasaďte vhodné ovládací prvky k řešení potenciálních rizik širokého přístupu na pracovních zařízeních.

Leave a Comment

Your email address will not be published.