Multan con US$1 millón a Morgan Stanley por falencias en la protección de datos, mucho para aprender del cumplimiento ALD
Por Brian Monroe
16 de junio, 2016
El regulador de valores de EE.UU. penalizó a Morgan Stanley Smith Barney LLC con US$ 1 millón por no proteger los datos del cliente en cientos de miles de cuentas, algunas de las cuales fueron más tarde hackeadas y ofrecidas a la venta en la web oscura o deep web.
En la orden del 8 de junio la Comisión de Bolsa y Valores de EE.UU. (SEC) declaró que las lagunas cibernéticas de Morgan Stanley permitieron que alguien dentro de la compañía accediera y transfiera datos durante un período de tres años de unas 730.000 cuentas a su servidor personal, que fue «finalmente hackeado por parte de terceros» y ofrecido en fragmentos a grupos ilícitos, con la posibilidad de ser divulgado más tarde en grandes cantidades.
La decisión de penalizar a un corredor por laxas políticas de seguridad cibernética no es común para la SEC, que señala que tal filtración es una violación de lo que se conoce como la «regla de garantías».
La orden da también la oportunidad para que los profesionales de seguridad cibernética aprendan de sus colegas en la lucha contra el lavado de dinero, ya que la medida refleja casi todas las puntas del programa de cumplimiento de los delitos financieros, incluyendo la creación de políticas y procedimientos, seguimiento y funciones de auditoría.
El programa de cumplimiento contra la delincuencia financiera tiene cuatro, y pronto cinco, puntas clave y mejores prácticas:
–Controles internos, tales como la creación de políticas y procedimientos para detectar y reportar actividades sospechosas, entre otras obligaciones. Esto incluiría también los procesos de seguimiento del cliente, que pronto se convertirá en su propia punta. Una de las mejores prácticas y que todavía no es una obligación regulatoria es la evaluación de riesgo ALD.
–Pruebas independientes del programa ALD. Esto también se conoce como la auditoría independiente y lo pueden hacer personas dentro o fuera del banco.
–Oficial de Cumplimiento: las habilidades y pericia de esta persona deben estar en línea con los riesgos totales de la institución financiera.
— Capacitación: empleados del banco, junto con analistas ALD y todos los miembros de una institución financiera, se supone que obtengan un entrenamiento continuo sobre la delincuencia financiera, en algunos casos específicos y adaptados a las tendencias actuales, vulnerabilidades pendientes o prácticas de línea de negocio.
Morgan Stanley Smith Barney LLC es el corredor de bolsa de la antigua fusión denominada Morgan Stanley Smith Barney en 2009, cuando Smith Barney era parte de Citigroup. La empresa fusionada decidido cambiar el nombre a Morgan Stanley Wealth Management en 2012 y actualmente cuenta con más de US$ 2 billones en activos.
La SEC dijo que las leyes de valores requieren que los agentes de bolsa y asesores de inversión registrados «adopten políticas y procedimientos escritos razonablemente diseñados para proteger los registros de clientes y la información», un requisito idéntico al primer punto de un programa ALD.
Ciber área, aprende de ALD
El regulador detalló las fallas cibernéticas de Morgan Stanley:
Portales permeables: las políticas y procedimientos de Morgan Stanley no eran razonables. Dos aplicaciones internas de web o «portales» permitieron a sus empleados acceder a información confidencial de la cuenta de los clientes. Los profesionales de seguridad cibernética podrían apoyarse en sus colegas ALD para crear este tipo de procedimientos y ponerlos en práctica, junto con el entrenamiento.
Modulación de autorización: para estos portales, Morgan Stanley no tuvo módulos de autorización eficaces durante más de 10 años para restringir el acceso de los empleados a los datos de los clientes sobre la base de legítima necesidad de negocio de cada empleado. Por lo general, en el área ALD, las auditorías, que actualizan las políticas, descubrirían estas fallas.
Probar, supervisar: Morgan Stanley tampoco auditó o probó los módulos de autorización pertinentes, ni tampoco controló o analizó el acceso de los empleados a estos portales y el uso de los mismos. Ambos requisitos, seguimiento y control, son parte del programa ALD, a pesar de que el personal de cumplimiento normalmente mira la actividad transaccional del cliente, en lugar de puntos de acceso a información privilegiada de TI. Además, cuando se implementa un programa de seguridad cibernética, debe ser probado para asegurar que no haya puntos débiles, algo rutinario para los auditores ALD.
Fisura en la confianza: en consecuencia, el entonces empleado Galen Marsh descargó y transfirió información confidencial a su servidor personal entre 2011 y 2014.
Aluvión de datos: presuntamente un tercero hackeó el servidor personal de Marsh que resultó en la publicación de porciones de los datos confidenciales en Internet con ofertas para vender cantidades más grandes.
Marsh fue penalizado también.
En otra orden, Marsh fue condenado penalmente por sus acciones el año pasado y recibió 36 meses de libertad condicional y una orden de restitución de US$ 600.000.
La SEC endurece su política de ciberseguridad
En septiembre, la SEC levantó cargos similares contra el asesor de inversión R.T. Jones Capital Equities Management con una multa de US$ 75.000 relacionada con una filtración que comprometió la identificación personal (PII) de aproximadamente 100.000 personas, incluyendo miles de clientes de la firma.
Los investigadores resaltaron estas fallas:
R.T. Jones almacenó información PII sensible de los clientes y otros en servidores de terceros.
El servidor web de la empresa fue atacado en julio de 2013 por un hacker desconocido que obtuvo acceso y la posibilidad de copiar los datos en el servidor, haciendo vulnerable al robo la información de identificación personal de más de 100.000 personas, incluyendo miles de clientes de R. T. Jones.
La firma falló completamente en la adopción de políticas y procedimientos escritos razonablemente diseñados para salvaguardar la información del cliente. Por ejemplo, R.T. Jones no llevó a cabo evaluaciones periódicas de los riesgos, no implementó un cortafuego, no encriptó información de identificación personal almacenada en su servidor, ni mantuvo un plan de respuesta a incidentes de seguridad cibernética.
Tras la filtración, la empresa sin demora retuvo más de una empresa de consultoría de seguridad cibernética para confirmar el ataque, que fue rastreado hasta China. También notificó a individuos que pudieron haberse visto afectados y proveyó servicio gratuito de robo de identidad a través de un proveedor.