Sei responsabile della protezione delle informazioni private memorizzate sul tuo computer o della trasmissione su Internet. Ma che mi dici dei tuoi dati personali che sono nelle mani di qualche organizzazione di cui ti fidi?

Dall'IRS al fiorista locale, le tue informazioni private sono ampiamente condivise. Ogni giorno un'organizzazione perde dati sensibili sui propri clienti o clienti, a causa di un attacco di hacker o (più probabile) per la perdita o il furto di un computer o di un dispositivo di archiviazione.

Ecco tre esempi recenti del database Data Loss della Open Security Foundation:

• Un dipendente scontento ruba i numeri di previdenza sociale, conti di carte di credito e altri dati personali di circa 1.200 clienti. Le informazioni vengono utilizzate per creare falsi conti di disoccupazione, frodare il Dipartimento del lavoro, le licenze e il regolamento del Maryland fino a $ 170.000.
• Un laptop rubato da una società di gestione immobiliare nel Vermont contiene alcuni SSN e altri dati personali sui residenti, secondo la comunicazione inviata dalla ditta ai clienti interessati (pdf).
• Un servizio di preparazione fiscale è sfrattato dal loro ufficio a San Francisco e lascia una scatola di vecchie dichiarazioni dei redditi davanti alla porta principale.

Un'altra utile fonte di informazioni sulle recenti violazioni dei dati è la cronologia dei violazioni dei dati sulla privacy Clearinghouse, che elenca le occorrenze risalenti al 2005 delle organizzazioni che perdono dati sensibili.

Quanto sono efficaci le leggi di notifica delle violazioni?

Secondo la Legislazione sulla violazione delle norme sulla sicurezza della National Conference of State del 2011, 46 Stati attualmente richiedono alle organizzazioni di inviare notifiche a persone i cui dati privati ​​sono stati compromessi a causa di violazioni che hanno colpito un numero minimo di persone (in genere 500). Le informazioni che si qualificano come private sono alcune combinazioni di nome, cognome, iniziale centrale, SSN, dati finanziari e dati sanitari o medici.

(Il dipartimento del Dipartimento della Sanità e dei Servizi Umani degli Stati Uniti spiega i più stringenti requisiti HIPAA per i dati sanitari. In attesa della legislazione federale sulla notifica di violazione dei dati sono inclusi il Data Breach Notification Act del 2011 e la Protezione dei dati personali e Breach Accountability Act del 2011.)

L'elenco potrebbe presto includere alcuni o tutti gli indirizzi di posta elettronica, come spiegato da Mark G. McCreary di Fox Rothschild LLP in Breach Notification: Time for a Wake-up Call. Gli attacchi mirati di posta elettronica - o spear phishing - vengono spesso inviati da account compromessi, quindi sembrano provenire da fonti attendibili. Una violazione degli indirizzi e-mail potrebbe causare danni finanziari alle vittime.

Le leggi attuali e proposte che richiedono la notifica di violazione non sono garanzia che ti verrà comunicato ogni volta che i tuoi dati personali sono stati esposti da terzi. L'Amministrazione della sicurezza sociale è stata criticata a lungo per non aver notificato a migliaia di persone i cui nomi, date di nascita e SSN sono stati resi pubblici inavvertitamente nel Death Master File, che è disponibile per la vendita da diversi siti Web, secondo il sito Consumer Watchdog .

La soluzione più semplice: crittografare tutti i dati

In molti casi, l'organizzazione che ha perso i dati privati ​​avrebbe praticamente eliminato il rischio crittografando i file sensibili. Sfortunatamente, solo Nevada e Massachusetts attualmente richiedono alle organizzazioni di crittografare i dati privati ​​che archiviano, secondo Keith Vance sul sito eSecurityPlanet.

L'Istituto nazionale degli standard di elaborazione delle informazioni federali e standard (FIPS) e i venti controlli critici di sicurezza servono come linee guida per le grandi imprese che attuano piani di protezione dei dati minacciosi. Quello che manca sono le linee guida per le piccole imprese.

The Better Business Bureau offre un supporto per la sicurezza dei dati per le piccole imprese (pdf) che include elenchi di controllo dell'inventario dei dati, linee guida per la sicurezza e suggerimenti per individuare il furto di identità. (Si noti che il report è stato sponsorizzato da Visa e Symantec, quindi prendi le sue raccomandazioni sui prodotti con un pizzico di sale.)

Garantire lo smaltimento sicuro dei dati sensibili

I tre poli di un piano di sicurezza dei dati sono i controlli di accesso, la crittografia dei dati memorizzati e lo smaltimento sicuro delle informazioni personali. La triturazione è il metodo preferito per i file cartacei e i supporti ottici. In un post di marzo 2009 ho descritto come distruggere un vecchio disco rigido. Uno degli strumenti trattati in questa storia è Darik's Boot and Nuke (DBAN), un programma di cancellazione dati gratuito.

Naturalmente, se i dati eliminati sono crittografati, la possibilità che qualcuno li recuperi è ridotta al minimo. Tuttavia, l'approccio più sicuro consiste nel cancellare tutti i supporti di archiviazione prima di eliminarli.

Anche con queste precauzioni, le tue informazioni personali potrebbero ancora cadere nelle mani sbagliate. Prendi l'abitudine di rivedere la tua carta di credito mensile e gli estratti conto bancari e considera l'iscrizione a un servizio di monitoraggio del credito che ti avverta tramite posta o altro metodo ogni volta che viene aperto un nuovo account nel tuo nome.

Il sito Fight Identity Theft esamina i primi quattro servizi di segnalazione del credito. Tuttavia, non tutti hanno bisogno di spendere fino a $ 15 al mese per proteggere la propria identità: Investopedia esamina i pro e i contro dei servizi di monitoraggio del credito.

Se sospetti di essere vittima di un furto d'identità, il sito Lotta contro il furto di identità della Federal Trade Commission fornisce una vasta FAQ sull'argomento e include un link per la presentazione di un reclamo all'agenzia.