Brev till Morgan Stanley erbjuder säkerhetsinsikter om insiders

Företag är förståeligt nog oroade över hotet som hackare utgör mot säkerheten för känslig data på deras nätverk. Men a avslutande brev som FTC-personalen skickade till Morgan Stanley Smith Barney LLC varnar för en annan fara som lurar närmare hemmet.

FTC-personalen undersökte anklagelsen om att en Morgan Stanley-anställd hade förskingrat information om företagets förmögenhetsförvaltningskunder. Hur gjorde personen det? Genom att påstås överföra data från Morgan Stanleys nätverk till en personlig webbplats som nås på jobbet och sedan till personliga enheter. De exporterade uppgifterna dök senare upp på andra webbplatser, vilket gjorde informationen sårbar för missbruk – och exponerade Morgan Stanleys kunder för potentiell skada.

Brevet listar personalens skäl för att lägga ner utredningen, inklusive det faktum att Morgan Stanley redan hade implementerat policyer utformade för att skydda mot insiderstöld av personlig information. Vilka skydd hade företaget på plats? Till exempel hade den en policy som begränsade anställdas tillgång till känslig kunddata utan ett legitimt affärsbehov, den övervakade storleken och frekvensen av dataöverföringar av anställda, den förbjöd anställdas användning av flash-enheter eller andra enheter för att ladda ner data, och den blockerade åtkomsten till vissa högriskappar och webbplatser.

Men i det här fallet fastställde utredningen att Morgan Stanley-anställda kunde få viss kundinformation eftersom åtkomstkontrollerna för en smal uppsättning rapporter var felaktigt konfigurerade. Men när problemet väl uppdagades gick företaget snabbt för att åtgärda det.

Som med de flesta skrivelser som denna ska beslutet att lägga ner utredningen inte ses som att personalen trodde att lagen hade – eller inte hade – överträtts. Brevet noterar också, “Kommissionen förbehåller sig rätten att vidta sådana ytterligare åtgärder som det allmänna intresset kan kräva.”

Chansen är stor att du läser detta medan du är ansluten till ett nätverk med liknande känslig information. Vad kan andra företag lära sig av Morgan Stanley-avsnittet?

Ett uns av förebyggande är värt ett pund av brott. Medan du skyddar ditt nätverk från hot utifrån, tänk igenom alla platser där ditt system kan vara poröst internt. Fundera över hur konfidentiell information rör sig genom ditt företag och följ sedan dess steg från en oseriös personals perspektiv. Ta fram alla svaga punkter i ditt försvar.

Begränsa tillgången till konfidentiellt material till anställda med ett legitimt affärsskäl. På en konsert är backstagepass reserverade för ett fåtal utvalda. Implementera en liknande policy när det gäller känslig information i ditt företags ägo. Inte alla anställda behöver omedelbar tillgång till varje del av konfidentiell data.

Datasäkerhet är en pågående process. Kunniga företag anpassar sina rutiner i ljuset av nuvarande risker och föränderlig teknik. Eftersom anställda i allt högre grad använder personliga webbplatser och appar, implementera lämpliga kontroller för att hantera de potentiella riskerna med bred åtkomst på arbetsenheter.

Leave a Comment

Your email address will not be published.