Protezione informazioni personali

Qual è l'unica cosa che la gente cominciano a costruire dal momento in cui sono nati, è il culmine di tutta una vita &'; s lavoro, la cosa che li rende unici e rappresenta il loro essere e il loro timbro sul mondo? È la stessa cosa che può essere rubato, usato, e distrutto quasi istantaneamente; la loro identità. Un problema crescente negli Stati Uniti e in tutto il mondo è il furto di un'altra persona &'; s identità
La tecnologia informatica e una rete interconnessa di dispositivi informatici ha dimostrato di essere uno strumento meraviglioso per la condivisione di informazioni e di fornire soluzioni di business che hanno rivoluzionato. il modo in cui il commercio è fatto e il modo di comunicare in tutto il mondo. Purtroppo, c'è un aspetto negativo di questa tecnologia e interconnessione. Questa stessa tecnologia e le informazioni sono a disposizione di coloro che nella società che vorrebbero usarlo per causare danni. I criminali utilizzano questo l'accesso alle informazioni per raccogliere frammenti di dati in modo che possano assumere l'identità di altri a raccogliere i frutti del loro duro lavoro.

Informazioni personali identificabili
Informazioni di identificazione personale (PII) è definito come tutti i dati su un individuo che potrebbe identificare quella persona. Esempi di PII includono il nome, numero di previdenza sociale, e indirizzo postale. Alcuni dati di per sé non è considerato PII, ma se usato in combinazione con altri dati, consente di identificare un individuo ed è a quel punto considerato PII. Esempi di questo tipo di dati includono cose come altezza, peso ed etnia.
PII è fondamentale per le imprese e altre organizzazioni per condurre normali operazioni quotidiane. Organizzazioni di credito, banche e rivenditori utilizzano le informazioni personali degli altri in modi etici e legali che sono accettabili. Normalmente, le informazioni personali sono al sicuro e viene utilizzato per gli scopi necessari. E 'quando le informazioni cade nelle mani sbagliate che ci sono problemi.

Dati violazioni
Si è detto in precedenza che il PII è normalmente sicuro e protetto. Tuttavia, ciò non significa che le violazioni di dati sono infrequenti o rari. Dal 2005 ci sono stati oltre 250 milioni di record che sono stati compromessi (Cronologia di violazioni dei dati). Questo non vuol dire che ci sono stati 250 milioni di persone colpite, ma il numero è ancora rilevante ed è motivo di preoccupazione. E 'soprattutto per quanto riguarda date le tipologie di organizzazioni e imprese che hanno avuto queste violazioni di dati e come si è verificato le violazioni dei dati

Nel mese di agosto del 2006, il Veteran &';. S amministrazione Affari rilasciato informazioni che un'azienda contratto che fornisce supporto software per i VA Medical Center di Pittsburgh e Filadelfia aveva un computer per andare dispersi (Informazioni sulla sicurezza dei dati VA). Questa violazione da solo influenzato il PII di oltre 16.000 individui. È interessante notare che tale violazione non era il risultato del computer venga rubato. Questo è stato un caso di un computer portatile contenente dati che vengono portati a casa da un dipendente a contratto e quindi in qualche modo sta perdendo. Si tratta di una pratica comune per le aziende di avere politiche di sicurezza sul posto che non consentono il trasporto dei dati sensibili nelle case dei dipendenti. E 'abbastanza chiaro da questo esempio del perché la politica è così importante e anche per questo è ancora più importante la politica essere rispettato.

Più inquietante che la violazione dei dati VA sono informazioni circa l'Internal Revenue Service. “ Secondo il documento S ottenuto in base al Freedom of Information Act, 478 computer portatili sono stati perduto o rubato da IRS tra il 2002 e il 2006. 112 dei computer tenuti informazioni contribuenti sensibili come SSNs &"; (Cronologia di violazioni dei dati). Ci sono grandi rischi per identificare la protezione quando i numeri di previdenza sociale sono compromessi. Spesso, un SSN sono le informazioni necessarie pezzo vitale dagli istituti di credito al fine di estendere il credito di un mutuatario. Nelle mani sbagliate, queste informazioni possono essere utilizzate per ottenere prestiti a titolo falsamente un'altra persona &';. S nome, tutto senza che la vittima sia a conoscenza

costo associato
Una volta si è verificata una violazione dei dati, i problemi hanno appena iniziata. Indipendentemente dal fatto che PII di furto o semplicemente perso, ci sono sempre grandi costi connessi con esso venga compromesso. Tali costi si estendono a tutti nella catena dalla persona cui i dati persi PII si riferisce, l'organizzazione responsabile della manutenzione dei dati, per qualsiasi altra organizzazione che fornisce servizi di sicurezza dei dati per conto dell'organizzazione primario. I costi non sono solo monetari, ma ci sono anche i costi associati alle relazioni pubbliche PII cadere nella
mani sbagliate Nel 2006, uno studio ha mostrato aziende pagato un costo medio di recupero totale di $ 140 per record di un cliente perduto (Fontana 1). Moltiplicate questo attraverso molte migliaia di record in una singola violazione dei dati e dei costi si sommano rapidamente. C'è anche la questione della fiducia perduta per i consumatori quando vengono a sapere di una società hanno fiducia le loro informazioni con la perde o ha preso. La fiducia dei clienti non è facilmente guadagnato e quando ci sono interruzioni che la fiducia, è difficile ricostruire quel ponte.

Le società non sono gli unici che sostengono costi associati alla violazione dei dati PII. C'è un enorme onere per le vittime di furto di dati. La perdita media per una vittima di furto di identità è stato di circa $ 5.000 nel 2008 e il numero di vittime è stato di circa 10 milioni (furto di identità). Ci sono innumerevoli ore spese sui telefoni con i creditori chiarire le questioni, i rating di credito danneggiati, e anni di preoccuparsi di applicare per il credito e sorprese inaspettate su rapporti di credito. Lo stress associato con il recupero da furto di identità è immenso. L'impatto complessivo alle vittime di compromettere i dati PII è incommensurabile.
Misure di protezione

Le due principali cause di violazione dei dati vengono rubati computer portatili o computer e laptop perdere, computer e nastri di backup. Altri modi popolari che includono dati è compromessa hacker e personale all'interno delle organizzazioni che perdono le informazioni. Tuttavia, i principali due mezzi sono molto evitabili, soprattutto quando si verifica la violazione di dati a causa di furti.

La protezione dei dati PII comincia “ le politiche e le procedure complete per la gestione PII &"; (McCallister, Grance, Scarfone, 4-1) e poi fare che ci sia l'istruzione, la formazione e programmi di sensibilizzazione per il backup di tali politiche e procedure (McCallister, grance, Scarfone, 4-2). Le politiche e le procedure dovrebbero includono ma non sono limitati a: chi avrà accesso alle PII, i programmi di conservazione PII, e lo stoccaggio approvato e il trasferimento di informazioni personali. Non tutti all'interno di una società avrà bisogno di avere accesso alle informazioni personali dei clienti.

Limitare l'accesso al PII solo chi ne ha bisogno riduce notevolmente la superficie per possibili problemi. Se non vi è la necessità documentato per un individuo di avere accesso alle PII, allora non è una buona pratica per permettere che sia accessibile. Il minor numero di persone che hanno accesso alla migliore
Mantenendo PII all'interno di un'organizzazione &';. I sistemi di registrazione è anche un aspetto importante. Ci dovrebbe essere una rigorosa cronologia di come record lungo dovrebbe essere mantenuta. Una volta che i record hanno raggiunto la fine della loro vita utile, devono essere eliminati dai sistemi. Tenuta dei registri più del necessario aumenta il rischio che saranno compromessi.

Memorizzazione e trasferimento dei dati su sistemi dovrebbero essere attentamente monitorati e gestiti. Nastri di backup devono essere chiusi a chiave con le stesse misure di sicurezza come i computer e altri supporti di memorizzazione. Quando i record devono essere trasferiti, ci dovrebbe essere responsabilità oggettiva e la catena di custodia. Questo farà sì che i record non sono persi e compromessi quando devono essere spostati da o un luogo all'altro.

Una volta che le politiche e le procedure sono stabilite un'organizzazione deve esaminare la sicurezza effettiva dei dati. Questo inizia con la sicurezza fisica. Sicurezza fisica è la più ovvia, o almeno così sembra. Tuttavia, nel guardare il tipo più diffuso di perdita di dati, furto, possiamo vedere che non può essere sempre l'attenzione che merita. Con così tanta attenzione alla sicurezza del software, protocolli di comunicazione sicuri e la crittografia dei dati, a volte è facile dimenticare che se i computer che ospitano i dati non sono tenuti fuori dalla portata dall'esterno, nessuna quantità di tecnologia non mancherà di tenere i dati di cadere in mani sbagliate. E 'imperativo che un'organizzazione &';. S piano generale di sicurezza dei dati includono mantenendo i computer portatili a porte chiuse
misure di sicurezza tecnologiche sono parte integrante di un piano globale per la protezione dei dati PII. Le organizzazioni hanno bisogno di utilizzare tali misure come la crittografia dei file per i dati memorizzati, garantendo il trasferimento dei dati utilizzando comunicazioni di rete sono garantiti, e il monitoraggio di sistemi informatici per gli hacker che tentano di accedere ai sistemi informatici.

La crittografia è “ il metodo più comune di protezione dei dati in uso oggi &"; (Hoff 37). In particolare, PKI, Public Key Infrastructure o, la crittografia è usata più di frequente. Questo metodo utilizza una chiave privata e una chiave pubblica per crittografare e decrittografare i dati. La chiave privata rimane segreta e la chiave pubblica è condivisa per le parti necessarie per essere in grado di decifrare i dati cifrati con la chiave privata. PKI ha dimostrato di essere un mezzo efficace e sicuro per la protezione dei dati.
Reti di monitoraggio per l'accesso non autorizzato dovrebbe essere una misura di sicurezza in dotazione per le organizzazioni che mantengono PII. Ci sono molti strumenti di monitoraggio di rete disponibili per le aziende che possono avvisare gli amministratori quando un modello corrisponde a quello di un attacco precedentemente noto. Questi eventi firma scattare un allarme e veloce azione possono essere adottate per tagliare l'accesso e indagare l'attività. Una firma popolare strumento basato che viene utilizzato è Snort. Questo strumento annusa i pacchetti in entrata e in uscita su una rete e li confronta con i file di firma. Si tratta di uno strumento efficace per la protezione contro attacchi noti.
Tutte queste misure per assicurare PII sono importanti per le organizzazioni e contribuirà a garantire le proprie prestazioni dovuta diligenza per proteggere le informazioni private dei loro clienti, clienti e dipendenti. Ci sono passi che gli individui possono anche prendere per ridurre la probabilità che le loro informazioni viene compromesso. Le persone dovrebbero assicurarsi che mantengono le loro informazioni strettamente custoditi e forniscono solo le informazioni per le esigenze aziendali legittimi. Una pratica comune per i ladri di identità è quello di rovistare tra la spazzatura per trovare informazioni su altri che possono essere utilizzati. Scartare carta di credito e gli estratti conto bancari nel cestino può rivelare numeri di account che possono essere utilizzati per rubare denaro o effettuare transazioni finanziarie non autorizzate. Triturazione documenti di queste informazioni è il modo migliore per evitare questo problema. L'invio di informazioni personali via e-mail non è consigliabile. La posta elettronica è un mezzo non sicuro di comunicazione e può essere facilmente intercettati e letti. Quando la comunicazione elettronica è utilizzata per la trasmissione di informazioni personali, un canale sicuro, come Secure Sockets Layer (SSL) dovrebbe essere usato. Le persone dovrebbero anche educare se stessi sulle pratiche comuni da ladri di identità. E-mail fraudolente, truffe telemarketing, e arricchirsi rapidamente regimi sono stati tutti problematici ma avrebbero potuto essere evitati se la vittima fosse a conoscenza.

Protezione informazioni personali è la responsabilità di tutte le parti coinvolte da aziende, agenzie di subappalto , regolatori di governo, tutta la strada fino al singolo individuo. La prevenzione delle violazioni dei dati e furti sono molto meno costoso di recupero da un episodio di furto o uso improprio dei dati. Eppure, ci sono molti momenti in cui le migliori pratiche non sono seguiti o cali di giudizio si verificano. La cosa migliore una qualsiasi persona può fare è quello di educare se stessi e mettere in pratica le tecniche di assicurare una delle cose più importanti nella vita, la propria identità.
Riferimenti
CNN Money. (2009). Il furto di identità colpisce record di 10 milioni di americani. Estratto da http: //money.cnn.com/2009/02/09/news/newsmakers/identity_theft.reut/inde ....
Fontana, John (2006, Novembre). Violazione media dei dati Costi Aziende $ 5 milioni. Mondiale di rete. http://www.networkworld.com/news/2006/110206-data-breach-cost.html?page=1.
Hoff, Brandon (2007). Proteggere PII con On-the-fly di cifratura. Protezione delle informazioni personali. 37-38. http: //www.gsa.gov/gsa/cm_attachments/GSA_DOCUMENT/USA%20Services%20News ....
* McCallister, E., Grance, T., & Scarfone, K. (2009). Guida a proteggere la riservatezza delle informazioni personali identificabili (PII) (Bozza): Raccomandazioni del National Institute of Standards and Technology. Istituto Nazionale degli Standard e della Tecnologia di pubblicazione speciale 800-122. 4-1 – 4-3. http://csrc.nist.gov/publications/drafts/800-122/Draft-SP800-122.pdf.
Office of Citizen Servizi e comunicazioni. (2007). Ultime informazioni su Veterans Affairs Data Security. Estratto da http://www.usa.gov/veteransinfo.shtml.
Privacy Rights Clearinghouse. (2009). Cronologia di violazioni dei dati. Estratto 16 aprile 2009, da http://www.privacyrights.org/ar/ChronDataBreaches.htm Hotel  .;