Veiligstellen van persoonlijk identificeerbare informatie

Wat is het een ding mensen beginnen met het opbouwen vanaf het moment dat ze geboren zijn, is het hoogtepunt van een heel leven &'; s het werk, het ding dat hen uniek maakt en vertegenwoordigt hun wezen en is hun stempel op de wereld? Het is het zelfde ding dat kan worden gestolen, gebruikt, en bijna onmiddellijk vernietigd; hun identiteit. Een groeiend probleem in de Verenigde Staten en de rest van de wereld is de diefstal van een ander &'; s identiteit
Computer technologie en een onderling verbonden netwerk van de computer apparaten heeft bewezen een geweldige tool voor het delen van informatie en het verstrekken van zakelijke oplossingen die een revolutie zijn. de manier waarop de handel wordt gedaan en de manier waarop mensen overal communiceren. Helaas is er een keerzijde aan deze technologie en onderlinge verbondenheid. Dezelfde technologie en informatie beschikbaar is om die in de samenleving die het zou gebruiken om schade te veroorzaken. Criminelen gebruiken deze toegang tot informatie om stukjes en beetjes van gegevens te verzamelen zodat ze de identiteit van anderen om de voordelen van hun harde werk plukken kunnen aannemen.

persoonlijk identificeerbare informatie
persoonlijk identificeerbare informatie (PII) gedefinieerd als alle gegevens over een persoon die die persoon kon identificeren. Voorbeelden van PII omvatten naam, sofi-nummer, en postadres. Bepaalde informatie op zich niet beschouwd PII, maar bij gebruik in combinatie met andere gegevens, helpt bij het identificeren van een individu en op dat moment als PII zijn. Voorbeelden van dit soort gegevens omvatten dingen zoals lengte, gewicht, en etniciteit.
PII is van cruciaal belang voor bedrijven en andere organisaties om de normale, dagelijkse operaties uit te voeren. Credit organisaties, banken en retailers gebruik maken van de persoonlijke informatie van anderen in de ethische en juridische manieren die aanvaardbaar zijn. Normaliter persoonlijke informatie is beveiligd en wordt gebruikt voor de noodzakelijke doeleinden. Het is wanneer de informatie in de verkeerde handen dat er problemen zijn.

Data Inbreuken
Eerder werd vermeld dat PII is normaal gesproken veilig en beveiligd. Maar dat betekent niet dat inbreuken gegevens zijn zeldzaam of zeldzaam. Sinds 2005 zijn er meer dan 250 miljoen platen die zijn aangetast (Chronologie van Data Inbreuken) geweest. Dit betekent niet dat er 250 miljoen mensen getroffen zijn geweest, maar het aantal is nog steeds aanzienlijk en is reden tot bezorgdheid. Het is vooral inzake gezien de soorten organisaties en bedrijven die deze schendingen van de gegevens hebben gehad en hoe de gegevens inbreuken voorgedaan

In augustus van 2006, de Veteran &';. Vrijgegeven s zaken administratie informatie die een contract bedrijf dat voorziet in software-ondersteuning voor de Pittsburgh en Philadelphia VA Medical Centers had een computer om te gaan ontbreekt (Informatie over VA Data Security). Deze inbreuk alleen invloed op de PII van meer dan 16.000 personen. Interessant is dat deze breuk niet het resultaat van de computer wordt gestolen. Dit is een geval van een laptop met gegevens die thuis door een contract werknemer en vervolgens ergens verloren. Het is een gangbare praktijk voor bedrijven om beveiligingsbeleid in de plaats die niet toestaan ​​dat het vervoer van gevoelige gegevens aan de huizen van medewerkers. Het is vrij duidelijk uit dit voorbeeld van waarom dit beleid is zo belangrijk en ook de reden waarom het is nog belangrijker het beleid worden nageleefd.

Meer verontrustend dan de VA inbreuk is informatie over de Internal Revenue Service. “ Volgens document s verkregen onder de Freedom of Information Act, 478 laptops waren ofwel verloren of gestolen van de IRS tussen 2002 en 2006 112 van de computers belastingbetaler gevoelige informatie gehouden zoals SSNs &"; (Chronologie van Data Inbreuken). Er zijn grote risico's voor de bescherming identificeren wanneer sofinummers in het gedrang. Vaak is een SSN is het stuk vitale informatie die nodig is door kredietverstrekkers om krediet te verlenen aan een lener. In de verkeerde handen kunnen deze gegevens worden gebruikt om ten onrechte te verkrijgen leningen onder een ander &';. De naam, dit alles zonder het slachtoffer zich bewust

bijbehorende kosten Heb Zodra een inbreuk heeft plaatsgevonden, de problemen alleen maar begonnen. Ongeacht of PII is gestolen of gewoon verloren, er zijn altijd grote kosten verbonden aan het in gevaar wordt gebracht. Deze kosten uit te breiden tot iedereen in de keten van de persoon aan wie de verloren PII gegevens betreft, de organisatie die verantwoordelijk is voor het onderhoud van de gegevens, aan een andere organisatie die data security diensten levert namens de primaire organisatie. De kosten zijn niet alleen monetaire, maar er zijn ook public relations kosten in verband met PII vallen in de verkeerde handen
In 2006, een studie toonde aan bedrijven betaalde een gemiddelde totale herstel kosten van $ 140 per verloren klant record (Fontana 1). Vermenigvuldig dit over vele duizenden records in een enkele data-inbreuk en de kosten snel oplopen. Er is ook de kwestie van de verloren vertrouwen van de consument als ze erachter komen dat ze een bedrijf hebben hun informatie toevertrouwd verliest hij of zij heeft genomen. Het vertrouwen van klanten is niet gemakkelijk verdiend en als er breuken in dat vertrouwen, is het moeilijk om die brug te bouwen.

De bedrijven zijn niet de enigen die de kosten in verband met PII datalekken oplopen. Er is een enorme belasting voor de slachtoffers van de diefstal van gegevens. Het gemiddelde verlies voor een slachtoffer van identiteitsdiefstal was rond de $ 5.000 in 2008 en het aantal slachtoffers was ongeveer 10 miljoen (identiteitsfraude). Er zijn talloze uren doorgebracht op de telefoons met de schuldeisers opruimen zaken, beschadigd credit ratings, en jaren van zorgen te maken over het aanvragen van krediet en onverwachte verrassingen op krediet verslagen. De stress in verband met het herstellen van identiteitsdiefstal is immens. De totale impact op de slachtoffers van gecompromitteerde PII gegevens is onmeetbaar.
Beschermingsmaatregelen

De bovenste twee oorzaken voor datalekken worden gestolen laptops of computers en het verliezen van laptops, computers, en back-up tapes. Andere populaire manier dat data gecompromitteerd omvatten hacken en personeel op de binnenkant van organisaties lekken informatie. De twee belangrijkste middelen zeer vermijden, vooral wanneer de data doorbraak plaatsvindt door diefstal.

Het beveiligen PII gegevens begint “ alomvattend beleid en de procedures voor de behandeling van PII &"; (McCallister, Grance, Scarfone, 4-1) en dan ervoor te zorgen dat er onderwijs, opleiding en bewustmakingsprogramma's om een ​​back-up die het beleid en de procedures (McCallister, Grance, Scarfone, 4-2). Het beleid en de procedures moeten omvatten, maar zijn niet beperkt tot: die toegang hebben tot PII, PII retentie schema's, en goedgekeurd op- en overslag van PII zal hebben. Niet iedereen binnen een bedrijf nodig heeft om de toegang tot de klant PII hebben.

Het beperken van de toegang tot de PII om alleen degenen die het nodig hebben sterk vermindert de oppervlakte voor mogelijke problemen. Indien er geen gedocumenteerde noodzaak van een individuele toegang tot PII, dan is het geen goed idee om toestaan ​​dat het toegankelijk is. Hoe minder mensen die toegang krijgen tot de betere
Behoud PII binnen een organisatie &';. S-records systemen is ook een belangrijk aspect. Er moet een strikte tijdlijn van hoe lang records moeten worden gehandhaafd. Zodra de verslagen het einde van hun levensduur hebben bereikt, moeten ze worden verwijderd uit de systemen. Bijhouden langer dan noodzakelijk verhoogt het risico dat zij zullen worden aangetast.

Het opslaan en overbrengen van gegevens op de systemen moet ook nauwgezet worden gecontroleerd en beheerd. Back-up tapes moeten worden opgesloten met dezelfde veiligheidsmaatregelen als computers en andere opslagmedia. Wanneer gegevens worden overgebracht, moeten er strenge verantwoording en chain of custody zijn. Dit zal ervoor zorgen dat de gegevens niet verloren gaan en het gedrang komen wanneer ze moeten worden verplaatst van één plaats naar de andere.

Als het beleid en de procedures worden vastgesteld organisatie moet kijken naar de werkelijke veiligheid van de gegevens. Dit begint met fysieke beveiliging. Fysieke beveiliging is de meest voor de hand liggende, of zo lijkt het. Echter, in te kijken naar de meest voorkomende vorm van het verlies van gegevens, diefstal, kunnen we zien dat het niet kan krijgen de aandacht die het verdient. Met zo veel nadruk op software security, veilige communicatieprotocollen en data-encryptie, is het soms makkelijk te vergeten dat als de computers huisvesting van de gegevens die door de buitenwereld niet buiten bereik worden gehouden, geen bedrag van technologie zal de data te houden van het vallen in de verkeerde handen. Het is absoluut noodzakelijk dat een organisatie &';. S algehele beveiliging van gegevens plannen omvatten het houden van de laptops achter gesloten deuren
technologische veiligheidsmaatregelen zijn een integraal onderdeel van een algemeen plan voor het beveiligen van PII gegevens. Organisaties moeten dergelijke maatregelen als het versleutelen van bestanden opgeslagen data, waardoor de gegevensoverdracht met behulp van netwerk communicatie zijn beveiligd, en het toezicht op de computer systemen voor de hackers proberen om de toegang tot computersystemen.

Encryptie is “ de meest voorkomende methode van gegevensbescherming in gebruik &"; (Hoff 37). Specifiek, PKI of Public Key Infrastructure, versleuteling wordt het meest gebruikt. Deze methode maakt gebruik van een private sleutel en een publieke sleutel voor het coderen en decoderen van de data. De persoonlijke sleutel blijft geheim en de publieke sleutel wordt gedeeld met het benodigde partijen kunnen de gegevens die zijn gecodeerd met de persoonlijke sleutel te decoderen. PKI heeft zich bewezen als een effectieve en veilige middelen voor het beveiligen van gegevens.
Monitoring netwerken voor ongeautoriseerde toegang moet een meegeleverde veiligheidsmaatregel voor organisaties die PII te behouden zijn. Er zijn vele netwerk monitoring tools beschikbaar voor bedrijven die beheerders kunnen waarschuwen wanneer een patroon overeenkomt met dat van een eerder bekende aanval. Deze handtekening gebeurtenissen leiden tot een alarm en snel actie kan worden ondernomen om de toegang af te snijden en te onderzoeken de activiteit. Een populaire signature-based tool die gebruikt wordt is Snort. Deze tool snuift inkomende en uitgaande pakketten op een netwerk en vergelijkt ze tegen de signature files. Het is een doeltreffend instrument voor de bescherming tegen bekende aanvallen.
Al deze maatregelen voor de beveiliging van PII zijn belangrijk voor organisaties en zal ervoor zorgen dat ze presteren zorgvuldigheid aan de privé-gegevens van hun cliënten, klanten en werknemers te beschermen. Er zijn stappen die mensen ook kunnen nemen om de kans dat hun informatie wordt aangetast verminderen. Men moet ervoor zorgen dat ze hun informatie blijven goed bewaard en alleen de informatie voor legitieme zakelijke behoeften. Een veel voorkomende praktijk voor identiteitsdieven te snuffelen door afval om informatie over anderen die kan worden gebruikt vinden. Teruggooien creditcard- en bankafschriften in de prullenbak kan rekeningnummers die gebruikt kunnen worden om geld te stelen of om ongeoorloofde financiële transacties te onthullen. Versnipperen papieren met deze informatie is de beste manier om dit probleem te voorkomen. Persoonsgegevens verzending via e-mail is niet aan te raden. E-mail is een niet-beveiligde communicatiemiddelen en kan gemakkelijk worden onderschept en gelezen. Wanneer elektronische communicatie wordt gebruikt om persoonlijke gegevens, een beveiligd kanaal overdragen zoals Secure Sockets Layer (SSL) worden gebruikt. Men moet zich ook informeren over gemeenschappelijke praktijken door identiteitsdieven. E-mail oplichting, telemarketing oplichting, en snel rijk regelingen zijn al problematisch geweest, maar had voorkomen kunnen worden als het slachtoffer op de hoogte waren van hen.

Het beveiligen van persoonlijk identificeerbare informatie is de verantwoordelijkheid van alle partijen die betrokken zijn bij bedrijven, uitbesteed agentschappen , overheidsinstanties, helemaal naar beneden om het individu. Preventie van inbreuken op gegevens en diefstal zijn veel minder kostbaar dan het herstellen van een incident van diefstal of verkeerd gebruik van de gegevens. Toch zijn er vele momenten waarop de beste praktijken niet worden opgevolgd of vervalt in het oordeel komen. Het beste wat één persoon kan doen is om zich te informeren en de praktijk van de technieken van het veiligstellen van een van de meest belangrijke dingen in het leven, hun identiteit.
Referenties
CNN Money. (2009). Identiteitsdiefstal recordhoogte 10M Amerikanen. Ontvangen van http: //money.cnn.com/2009/02/09/news/newsmakers/identity_theft.reut/inde ....
Fontana, John (2006, november). Gemiddeld inbreuk Kosten Bedrijven $ 5 miljoen. Network World. http://www.networkworld.com/news/2006/110206-data-breach-cost.html?page=1.
Hoff, Brandon (2007). Het beschermen van PII met On-the-Fly Encryption. Het beschermen van persoonlijk identificeerbare informatie. 37-38. http: //www.gsa.gov/gsa/cm_attachments/GSA_DOCUMENT/USA%20Services%20News ....
* McCallister, E., Grance, T., & Scarfone, K. (2009). Gids voor bescherming van de vertrouwelijkheid van de persoonlijk identificeerbare informatie (PII) (Draft): Aanbevelingen van het National Institute of Standards and Technology. National Institute of Standards and Technology Bijzondere Publicatie 800-122. 4-1 – 4-3. http://csrc.nist.gov/publications/drafts/800-122/Draft-SP800-122.pdf.
Bureau van Citizen Services en Communicatie. (2007). Actuele informatie over Veterans Affairs Data Security. Ontvangen van
http://www.usa.gov/veteransinfo.shtml. Privacy Rights Clearinghouse. (2009). Een chronologie van Data Inbreuken. Ontvangen 16 april 2009, van http://www.privacyrights.org/ar/ChronDataBreaches.htm
.