El banco de inversiones Morgan Stanley, cuya sede central se encuentra en la ciudad de Nueva York, debe pagar una enorme multa de 60 millones de dólares por no desmantelar correctamente varios centros de datos comerciales que almacenaban información confidencial de los clientes, anunció la Oficina del Contralor de la Moneda (OCC) a principios de este mes.
Según una orden de consentimiento de sanción civil, los descuidos en el manejo del retiro de los centros de datos comenzaron en 2016, sin embargo, se observaron deficiencias similares en 2019, cuando el banco no eliminó adecuadamente los datos de los clientes almacenados en servidores informáticos de una sucursal local.
“En 2016, el Banco no ejerció una supervisión adecuada del desmantelamiento de dos centros de datos comerciales de Wealth Management, ubicados en los EE. UU.”, Dijo la OCC.
“En relación con el desmantelamiento, el Banco, entre otras cosas, no evaluó ni abordó de manera efectiva los riesgos asociados con el desmantelamiento de su hardware; no evaluó adecuadamente el riesgo de utilizar proveedores externos, incluidos subcontratistas; y no pudo mantener un inventario apropiado de los datos del cliente almacenados en los dispositivos. El Banco no ejerció la debida diligencia en la selección del proveedor externo contratado por Morgan Stanley y no supervisó adecuadamente el desempeño del proveedor ".
También se presentó una demanda colectiva de $ 5 millones en nombre de unos 100 clientes contra el banco a principios de este año.
La demanda alega que Morgan Stanley no protegió ni protegió la información de identificación personal en equipos propiedad de la empresa previamente retirados. Además, el banco desconoce el paradero del equipo retirado que almacenaba datos de clientes sin cifrar, como números de seguro social, números de pasaporte, direcciones, números de teléfono, direcciones de correo electrónico, números de cuenta, fechas de nacimiento, ingresos, valor de los activos y tenencia. información.
“El demandante presenta esta demanda colectiva contra Morgan Stanley por no asegurar y proteger adecuadamente la información de identificación personal”, se lee en una demanda colectiva. "El Demandante también alega que el Demandado no proporcionó un aviso oportuno, preciso y adecuado al Demandante y a los clientes actuales y anteriores de Morgan Stanley en situación similar (" Miembros del grupo ") de que se había perdido su PII y qué tipo de información no estaba encriptada y en posesión de terceros desconocidos ".
Las filtraciones de datos no provienen necesariamente de un actor malintencionado o de intrusiones en la red de una empresa. Aunque la mala gestión de los datos y su posible exposición a menudo se atribuye a errores por parte de TI, el comportamiento de los empleados y el descuido de los proveedores externos.
FUENTE: Hot For Security - Bitdefender
Comments