Bedrijven maken zich begrijpelijkerwijs zorgen over de dreiging die hackers vormen voor de beveiliging van gevoelige gegevens op hun netwerken. Maar een Beëindigingsbrief verzonden door FTC-personeel aan Morgan Stanley Smith Barney LLC waarschuwt voor een ander gevaar dat dichter bij huis op de loer ligt.
FTC-personeel onderzocht een beschuldiging dat een medewerker van Morgan Stanley zich informatie over de klanten van het vermogensbeheerbedrijf had verduisterd. Hoe deed de persoon het? Naar verluidt worden gegevens van het netwerk van Morgan Stanley overgedragen naar een persoonlijke website die op het werk wordt bezocht en vervolgens op persoonlijke apparaten. De geëxporteerde gegevens verschenen vervolgens op andere sites, waardoor de informatie kwetsbaar werd voor misbruik en klanten van Morgan Stanley werden blootgesteld aan mogelijke schade.
De brief somt de redenen op die het personeel gaf om het onderzoek af te ronden, waaronder het feit dat Morgan Stanley al beleid had geïmplementeerd dat was ontworpen om te beschermen tegen interne diefstal van persoonlijke informatie. Welke beschermingsmaatregelen had het bedrijf getroffen? Het had bijvoorbeeld een beleid dat de toegang van werknemers tot gevoelige klantgegevens beperkte zonder een legitieme zakelijke noodzaak, de omvang en frequentie van de gegevensoverdrachten van werknemers bewaakte, werknemers verbood flashdrives of andere apparaten te gebruiken om gegevens te downloaden, en de toegang tot bepaalde risicovolle apps en sites blokkeerde.
Maar in dit geval bleek uit het onderzoek dat de medewerker van Morgan Stanley bepaalde klantinformatie kon verkrijgen omdat de toegangscontroles voor een beperkt aantal rapporten verkeerd waren geconfigureerd. Toen het probleem echter eenmaal werd ontdekt, kwam het bedrijf snel in actie om het op te lossen.
Zoals bij de meeste van dit soort brieven mag het besluit om het onderzoek af te sluiten niet worden geïnterpreteerd als een teken dat het personeel dacht dat de wet wel of niet was overtreden. De brief merkt verder op: “De Commissie behoudt zich het recht voor om verdere actie te ondernemen als het algemeen belang dit vereist.”
De kans is groot dat u dit artikel leest terwijl u bent verbonden met een netwerk met vergelijkbare gevoelige informatie. Wat kunnen andere bedrijven leren van de Morgan Stanley-episode?
Een ons preventie is een kilo overtreding waard. Terwijl u uw netwerk beschermt tegen bedreigingen van buitenaf, moet u nadenken over alle plaatsen waar uw systeem intern poreus kan zijn. Bedenk hoe vertrouwelijke informatie zich door uw bedrijf verplaatst en volg vervolgens de stappen ervan vanuit het perspectief van een oneerlijk personeelslid. Versterk eventuele zwakke punten in uw verdediging.
Beperk de toegang tot personeelsmateriaal om een legitieme zakelijke reden. Tijdens een concert zijn backstagepassen gereserveerd voor een select groepje. Implementeer een soortgelijk beleid als het gaat om gevoelige informatie die uw bedrijf bewaart. Niet alle medewerkers hebben direct toegang nodig tot alle gevoelige gegevens.
Gegevensbeveiliging is een continu proces. Slimme bedrijven passen hun praktijken aan in het licht van de huidige risico’s en evoluerende technologieën. Omdat werknemers steeds vaker persoonlijke sites en apps gebruiken, moeten passende controles worden geïmplementeerd om de potentiële risico’s van wijdverbreide toegang op werkapparaten aan te pakken.
