Morgan Stanley Smith Barney multado por no proteger la información personal de sus clientes

¿Por qué se multó a Morgan Stanley Smith Barney?

Morgan Stanley Smith Barney (MSSB) ha recibido una gran multa por parte del gobierno de Estados Unidos después de no proteger la información personalmente identificable (PII) de millones de clientes. En un comunicado publicado el lunes, la SEC anunció que la compañía aceptó el hallazgo de la agencia de que violó las regulaciones federales relacionadas con la salvaguardia y disposición de los datos del cliente. En respuesta, MSSB acordó pagar una multa de $35 millones.

El hallazgo se deriva de acciones que se remontan hasta 2015 en las que MSSB no logró desechar correctamente el hardware que contenía la PII de sus clientes. Encargada de decomisionar miles de discos duros y servidores con datos de clientes en varias ocasiones, la compañía contrató a una empresa de mudanzas y almacenamiento sin experiencia en destrucción de datos y no supervisó el trabajo de la empresa, según la SEC.

La investigación de la agencia encontró que la empresa de mudanzas vendió miles de servidores y discos duros, algunos con PII de clientes, a un tercero. Estos dispositivos en última instancia se revendieron en un sitio de subastas en Internet, aún con los datos del cliente. MSSB recuperó algunos de los dispositivos, pero la mayoría aún están desaparecidos, incluidos 42 servidores. Los dispositivos recuperados se encontraron con información de clientes sin cifrar. Aunque la compañía los había equipado con una opción de cifrado, no activó esa función.

"Las fallas de MSSB en este caso son asombrosas", dijo Gurbir Grewal, director de la División de Cumplimiento de la SEC. "Los clientes confían su información personal a profesionales financieros con la comprensión y la expectativa de que será protegida, y MSSB quedó muy por debajo de eso. Si no se protege adecuadamente, esta información confidencial puede caer en manos equivocadas y tener consecuencias desastrosas para los inversores".

¿Cuál fue la respuesta de MMSB?

Por su parte, MSSB cumplió con la orden de la SEC y acordó pagar la multa sin admitir o negar los hallazgos reales. En un comunicado enviado a Newsmatic, un portavoz de MSSB dijo: "Nos complace resolver este asunto. Ya hemos notificado previamente a los clientes correspondientes sobre estos problemas, que se produjeron hace varios años, y no hemos detectado ningún acceso no autorizado o mal uso de la información personal del cliente".

Pero MSSB claramente cometió varios errores en esta cadena de eventos. La compañía no logró evaluar adecuadamente a la empresa de mudanzas y almacenamiento. No supervisó el trabajo de esa empresa. Y no implementó el cifrado adecuado aunque la opción estaba disponible.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

"El caso de MSSB es único ya que entregaron discos duros y servidores a un tercero mientras almacenaban PII en texto plano", dijo Gil Dabah, cofundador y CEO de la empresa de seguridad Piiano. "Por lo general, los atacantes deben obtener credenciales utilizando técnicas de manipulación social o aprovechando vulnerabilidades conocidas. Se necesitan varias líneas de defensa (como control de acceso, tokenización, enmascaramiento, etc.) para evitar el acceso no autorizado a la PII. Aquí, un simple cifrado habría resuelto el problema".

La multa, junto con las fallas de MSSB para proteger los datos personales, debería servir como un llamado de atención para otras organizaciones que recopilen y almacenen información confidencial de los clientes.

"El tamaño de la multa refleja la importancia que la seguridad de los datos debería tener dentro de una organización", dijo Mike Puterbaugh, CMO de la empresa de seguridad Pathlock. "Se puede decir que este tema debería ser de responsabilidad directiva. Esta noticia debería generar una llamada a la acción para revisar las capacidades de seguridad de los datos (herramientas, procesos, etc.) y asegurarse de que las auditorías internas incluyan la prueba y verificación de los controles de seguridad de los datos".

Consejos para las organizaciones

¿Cómo pueden las organizaciones asegurarse de proteger adecuadamente los datos de los clientes y evitar problemas regulatorios o legales?

"Las organizaciones deben empezar por el objetivo más atractivo para el robo de datos: las aplicaciones empresariales en las que todas las compañías confían", dijo Puterbaugh, citando como ejemplos específicos las aplicaciones ERP, de recursos humanos y de cadena de suministro.

La seguridad adecuada de los datos requiere que las organizaciones cuenten con las herramientas necesarias para probar sus controles, según Puterbaugh. Esto incluye controles de acceso basados en roles que determinen quién puede realizar qué tareas y controles de acceso basados en políticas diseñados para proteger dinámicamente los datos.

Cómo proteger tu computadora de los virus: métodos y consejos

"Lo que es importante que los consejos de administración y el liderazgo de la empresa entiendan es que la seguridad de los datos requiere que el negocio (las unidades de negocio que dependen de las aplicaciones empresariales que almacenan datos sensibles) y TI (responsable de proteger y asegurar los sistemas más amplios) trabajen juntos para crear políticas efectivas para asegurar datos sensibles", agregó Puterbaugh.

Si tu organización necesita una política para desechar adecuadamente datos electrónicos sensibles, Newsmatic Premium tiene una que puede ayudarte a empezar. Haz clic aquí para descargarla ahora y suscribirte para tener acceso a más recursos útiles.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Morgan Stanley Smith Barney multado por no proteger la información personal de sus clientes , tenemos lo ultimo en tecnología 2023.