Bedrijven maken zich begrijpelijkerwijs zorgen over de dreiging die hackers vormen voor de beveiliging van gevoelige gegevens op hun netwerken. Maar één slotbrief die het FTC-personeel naar Morgan Stanley Smith Barney LLC stuurde waarschuwt voor een ander gevaar dat dichter bij huis op de loer ligt.
Het FTC-personeel onderzocht de beschuldiging dat een medewerker van Morgan Stanley zich informatie over de vermogensbeheercliënten van het bedrijf had verduisterd. Hoe deed de persoon het? Door naar verluidt gegevens van het netwerk van Morgan Stanley over te dragen naar een persoonlijke website waartoe u op het werk toegang hebt, en vervolgens naar persoonlijke apparaten. De geëxporteerde gegevens verschenen later op andere websites, waardoor de informatie kwetsbaar werd voor misbruik – en de klanten van Morgan Stanley werden blootgesteld aan mogelijke schade.
De brief vermeldt de redenen van het personeel om het onderzoek af te sluiten, waaronder het feit dat Morgan Stanley al beleid had geïmplementeerd dat was ontworpen om te beschermen tegen diefstal van persoonlijke informatie door insiders. Welke beschermingsmaatregelen had het bedrijf getroffen? Het had bijvoorbeeld een beleid dat de toegang van werknemers tot gevoelige klantgegevens beperkte zonder een legitieme zakelijke noodzaak, het controleerde de omvang en frequentie van gegevensoverdrachten door werknemers, het verbood werknemers om flashdrives of andere apparaten te gebruiken om gegevens te downloaden, en het blokkeerde de toegang tot bepaalde risicovolle apps en websites.
Maar in dit geval wees het onderzoek uit dat de medewerker van Morgan Stanley bepaalde klantinformatie kon verkrijgen omdat de toegangscontroles voor een beperkt aantal rapporten verkeerd waren geconfigureerd. Maar toen het probleem aan het licht kwam, kwam het bedrijf snel in actie om het op te lossen.
Zoals bij de meeste brieven als deze mag het besluit om het onderzoek af te sluiten niet worden opgevat als een teken dat het personeel van mening was dat de wet wel of niet was overtreden. De brief merkt ook op: “De Commissie behoudt zich het recht voor om verdere actie te ondernemen als het algemeen belang dit vereist.”
De kans is groot dat u dit leest terwijl u verbonden bent met een netwerk met vergelijkbare gevoelige informatie. Wat kunnen andere bedrijven leren van de Morgan Stanley-episode?
Een ons preventie is een pond breuk waard. Terwijl u uw netwerk beschermt tegen bedreigingen van buitenaf, moet u nadenken over alle plaatsen waar uw systeem intern poreus kan zijn. Bedenk hoe vertrouwelijke informatie door uw bedrijf beweegt en volg vervolgens de stappen ervan vanuit het perspectief van een malafide medewerker. Krijg grip op eventuele zwakke punten in uw verdediging.
Beperk de toegang tot vertrouwelijk materiaal tot werknemers met een legitieme zakelijke reden. Bij een concert zijn backstage-passen gereserveerd voor een select groepje. Implementeer een soortgelijk beleid als het gaat om gevoelige informatie in het bezit van uw bedrijf. Niet iedere medewerker heeft directe toegang nodig tot alle vertrouwelijke gegevens.
Gegevensbeveiliging is een continu proces. Slimme bedrijven passen hun praktijken aan in het licht van de huidige risico’s en veranderende technologieën. Nu werknemers steeds vaker persoonlijke websites en apps gebruiken, moet u passende maatregelen implementeren om de potentiële risico’s van brede toegang op werkapparaten aan te pakken.
