Este post proviene de esta fuente de noticias

La Securities and Exchange Commission ha sancionado hoy a ocho empresas en tres acciones por fallos en sus políticas y procedimientos de ciberseguridad que dieron lugar a tomas de contacto de cuentas de correo electrónico que expusieron la información personal de miles de clientes de cada empresa. Las ocho empresas, que han acordado resolver los cargos, son: Cetera Advisor Networks LLC, Cetera Investment Services LLC, Cetera Financial Specialists LLC, Cetera Advisors LLC y Cetera Investment Advisers LLC (colectivamente, las Entidades Cetera); Cambridge Investment Research Inc. y Cambridge Investment Research Advisors Inc. (colectivamente, Cambridge); y KMS Financial Services Inc. (KMS). Todas ellas estaban registradas en la Comisión como agentes de bolsa, empresas de asesoramiento en materia de inversiones, o ambas cosas.

Según la orden de la SEC contra las Entidades Cetera, entre noviembre de 2017 y junio de 2020, las cuentas de correo electrónico basadas en la nube de más de 60 miembros del personal de las Entidades Cetera fueron tomadas por terceros no autorizados, lo que dio lugar a la exposición de información de identificación personal (PII) de al menos 4.388 clientes y consumidores. Ninguna de las cuentas tomadas estaba protegida de forma coherente con las políticas de las entidades Cetera. La orden de la SEC también concluye que Cetera Advisors LLC y Cetera Investment Advisers LLC enviaron notificaciones de infracción a los clientes de las empresas que incluían un lenguaje engañoso que sugería que las notificaciones se emitieron mucho antes de lo que realmente se hizo tras el descubrimiento de los incidentes.

Según la orden de la SEC contra Cambridge, entre enero de 2018 y julio de 2021, las cuentas de correo electrónico basadas en la nube de más de 121 representantes de Cambridge fueron tomadas por terceros no autorizados, lo que resultó en la exposición de PII de al menos 2,177 clientes y clientes de Cambridge. La orden de la SEC considera que aunque Cambridge descubrió la primera toma de cuentas de correo electrónico en enero de 2018, no adoptó ni implementó medidas de seguridad mejoradas en toda la firma para las cuentas de correo electrónico basadas en la nube de sus representantes hasta 2021, lo que resultó en la exposición y la posible exposición de registros e información de clientes y clientes adicionales.

Según la orden de la SEC contra KMS, entre septiembre de 2018 y diciembre de 2019, las cuentas de correo electrónico basadas en la nube de 15 asesores financieros de KMS o sus asistentes fueron tomadas por terceros no autorizados, lo que resultó en la exposición de PII de aproximadamente 4,900 clientes y clientes de KMS. La orden de la SEC encuentra además que KMS no adoptó políticas y procedimientos escritos que requieren medidas de seguridad adicionales en toda la empresa hasta mayo de 2020, y no implementó completamente esas medidas de seguridad adicionales en toda la empresa hasta agosto de 2020, poniendo en riesgo registros e información adicionales de clientes y clientes.

“Los asesores de inversión y los agentes de bolsa deben cumplir con sus obligaciones relativas a la protección de la información de los clientes”, dijo Kristina Littman, Jefa de la Unidad Cibernética de la División de Aplicación de la SEC. “No basta con redactar una política que exija medidas de seguridad mejoradas si esos requisitos no se aplican o se aplican solo parcialmente, especialmente ante ataques conocidos.”