Bedrijven maken zich begrijpelijkerwijs zorgen over de dreiging die hackers vormen voor de veiligheid van gevoelige gegevens op hun netwerken. Maar een slotbrief die het FTC-personeel naar Morgan Stanley Smith Barney LLC stuurde waarschuwt voor een ander gevaar dat dichter bij huis op de loer ligt.
Het FTC-personeel onderzocht de beschuldiging dat een medewerker van Morgan Stanley zich informatie had verduisterd over de vermogensbeheercliënten van het bedrijf. Hoe deed de persoon het? Door naar verluidt gegevens van het netwerk van Morgan Stanley over te dragen naar een persoonlijke website die op het werk wordt bezocht, en vervolgens naar persoonlijke apparaten. De geëxporteerde gegevens verschenen later op andere sites, waardoor de informatie kwetsbaar werd voor misbruik – en de klanten van Morgan Stanley werden blootgesteld aan mogelijke schade.
De brief vermeldt de redenen van het personeel om het onderzoek af te sluiten, inclusief het feit dat Morgan Stanley al beleid had geïmplementeerd dat was ontworpen om te beschermen tegen diefstal van persoonlijke informatie door insiders. Welke beschermingsmaatregelen had het bedrijf getroffen? Het had bijvoorbeeld een beleid dat de toegang van werknemers tot gevoelige klantgegevens beperkte zonder een legitieme zakelijke noodzaak, het controleerde de omvang en frequentie van gegevensoverdrachten door werknemers, het verbood werknemers het gebruik van flashdrives of andere apparaten om gegevens te downloaden, en het blokkeerde de toegang naar bepaalde risicovolle apps en sites.
Maar in dit geval bleek uit het onderzoek dat de medewerker van Morgan Stanley bepaalde klantinformatie kon bemachtigen omdat de toegangscontroles voor een beperkt aantal rapporten onjuist waren geconfigureerd. Toen het probleem echter aan het licht kwam, kwam het bedrijf snel in actie om het op te lossen.
Zoals bij de meeste brieven als deze mag het besluit om het onderzoek af te sluiten niet worden opgevat als een teken dat het personeel dacht dat de wet wel of niet was overtreden. De brief merkt ook op: “De Commissie behoudt zich het recht voor om verdere actie te ondernemen als het algemeen belang dit vereist.”
De kans is groot dat u dit leest terwijl u verbonden bent met een netwerk met vergelijkbare gevoelige informatie. Wat kunnen andere bedrijven leren van de Morgan Stanley-episode?
Een ons preventie is een pond inbreuk waard. Terwijl u uw netwerk beschermt tegen bedreigingen van buitenaf, moet u nadenken over de plekken waar uw systeem intern poreus kan zijn. Bedenk hoe vertrouwelijke informatie zich door uw bedrijf verplaatst en volg vervolgens de stappen ervan vanuit het perspectief van een malafide medewerker. Verbeter eventuele zwakke plekken in uw verdediging.
Beperk de toegang tot vertrouwelijk materiaal tot werknemers met een legitieme zakelijke reden. Bij een concert zijn backstage-passen gereserveerd voor een select groepje. Implementeer een soortgelijk beleid als het gaat om gevoelige informatie in het bezit van uw bedrijf. Niet ieder personeelslid heeft direct toegang nodig tot alle vertrouwelijke gegevens.
Gegevensbeveiliging is een continu proces. Slimme bedrijven passen hun praktijken aan in het licht van de huidige risico’s en veranderende technologieën. Nu werknemers steeds vaker persoonlijke sites en apps gebruiken, moeten passende maatregelen worden genomen om de potentiële risico’s van brede toegang op werkapparaten aan te pakken.
