Las empresas están comprensiblemente preocupadas por la amenaza que los piratas informáticos representan para la seguridad de los datos confidenciales en sus redes. Pero una carta de cierre que el personal de la FTC envió a Morgan Stanley Smith Barney LLC advierte sobre otro peligro que acecha más cerca de casa.
El personal de la FTC investigó la acusación de que un empleado de Morgan Stanley había apropiado información sobre los clientes de gestión de patrimonio de la compañía. ¿Cómo lo hizo la persona? Al presuntamente transferir datos de la red de Morgan Stanley a un sitio web personal al que se accede en el trabajo y luego a dispositivos personales. Los datos exportados más tarde aparecieron en otros sitios, dejando la información vulnerable al mal uso, y exponiendo a los clientes de Morgan Stanley a daños potenciales.
La carta enumera las razones del personal para cerrar la investigación, incluido el hecho de que Morgan Stanley ya había implementado políticas diseñadas para proteger contra el robo de información personal. ¿Qué protecciones tenía la compañía en su lugar? Por ejemplo, tenía una política que limitaba el acceso de los empleados a los datos confidenciales de los clientes sin una necesidad comercial legítima, monitoreó el tamaño y la frecuencia de las transferencias de datos por parte de los empleados, prohibió el uso de unidades flash de los empleados u otros dispositivos para descargar datos, y bloqueó el acceso a ciertas aplicaciones y sitios de alto riesgo.
Pero en este caso, la investigación determinó que el empleado de Morgan Stanley pudo obtener cierta información del cliente porque los controles de acceso para un conjunto estrecho de informes se configuraron incorrectamente. Sin embargo, una vez que salió a la luz el problema, la compañía se movió rápidamente para solucionarlo.
Como con la mayoría de las cartas como esta, la decisión de cerrar la investigación no debe tomarse como si el personal pensara que la ley había sido violada, o no había,. La carta también señala: "La Comisión se reserva el derecho de tomar medidas más adicionales que el interés público pueda requerir".
Lo más probable es que esté leyendo esto mientras está conectado a una red con información igualmente confidencial. ¿Qué pueden aprender otras compañías del episodio de Morgan Stanley?
Una onza de prevención vale una libra de violación. Mientras salvaguarda su red de amenazas externas, piense en cualquier lugar donde su sistema pueda ser poroso internamente. Considere cómo la información confidencial se mueve a través de su empresa y luego vuelve sobre sus pasos desde la perspectiva de un empleado deshonesto. Cierre cualquier punto débil en sus defensas.
Limite el acceso al material confidencial a los empleados con una razón comercial legítima. En un concierto, los pases detrás del escenario están reservados para unos pocos. Implemente una política similar cuando se trata de información confidencial en posesión de su empresa. No todos los miembros del personal necesitan acceso instantáneo a cada pieza de datos confidenciales.
La seguridad de los datos es un proceso continuo. Las empresas inteligentes ajustan sus prácticas a la luz de los riesgos actuales y las tecnologías cambiantes. A medida que los empleados usan cada vez más sitios y aplicaciones personales, implementen los controles apropiados para abordar los riesgos potenciales de un amplio acceso en los dispositivos de trabajo.
