如何保护及管理个人身份信息

个人身份信息 (PII) —新闻中,这6个字常挂在安全部门人士的嘴边,随着不少机构出现数据外泄事件,“个人身份信息”一词出现的频率日益频繁。

数据泄漏的出现,几乎总是PII所导致—-PII所含的数据能用作身份盗窃(每一份数据都能够指向一个具体的用户,我们能从中得知此人的信息,比如姓名,主旨,出生日期,电话号码或社保号码),不知为何这些数据到了网络黑客手中。

在过去的几年里,顺从性细则在亚太地区的推行变得更广泛,PII保护变得更为重要,这就督促各机构调整安全机制。身份盗窃的兴起,最终坚定了行政管理人士及公司管理者的决心,在国家范围,企业范围内实行顺从性细则,以及《数据保护加密法》。若违反这些法律,会受到高额的罚款,以及其他对企业相关业务的罚款。

以上的方法收效甚微,身份盗窃依然呈上升趋势。云合作平台,社交网络,移动性,以及其他IT趋势为网络黑客提供了契机,从网络盗取用户最重要的个人信息。每年发生的数据外泄越来越多,执法机制仅提高所有部门的惩罚力度以对,而与客户信息打交道的机构却越来越多,这些机构处理并存储的往往是客户最敏感的信息。例如,在全球范围内,上市公司对SOX证书的需求有所增加,银行和金融公司更是对GLB(最大下界限)条例严格执行,以信用卡支付作为主要的支付方式的交易也在增多。

在以上机构中,实行PII数据保护,将不仅是业务营生的关键,还将帮助主管们避免巨额罚款,甚至牢狱之灾。

违规罚款可高达数十万美元或更多,然而,“清理”和修复安全机制的成本轻易就超能过这个数字,因此在发生过的数据泄露事件中,客户PII数据不是意外就是被恶意外泄。“清理”包括:整个数据库的物理快报,应对客户查询的资源,以及应对新型信用卡潜在制造成本的资源,信誉损失的处理就更不用说了。这些费用相叠,足以使一家公司破产。

由于费用近乎天文数字,IT管理员很是害怕PII丢失或外泄,而最高等级的C级执行人员几乎夜不能寐。

当然,请牢记,没有100%的数据安全,尤其是在网络服务器上存储数据,以及通过移动应用处理常规交易时,风险尤其大。然而,有一些机构通过实践,找出了最佳方法,使情况不再那麽严峻。

在减轻组织风险上,管理与员工教育是关键因素,因此,角色型安全工具应运而生。

尤其当发生数据外泄时,角色型数据丢失防护产品不仅能够记录在案,并向IT管理员发出警告,同时还使安全部门能够对数据外泄做出相应应对。这些缓和技术可以从存档数据传输,到使用报警管理,在威胁处理完毕前,中止用户或危险交易。

不过若是如此,知识授权,以及机构最重要的一步,就将是定位所有风险领域,并进行全面评估。本质上而言,这意味着公司需要确定所有PII的存储地点,确定谁有权访问信息,以及怎样在机构内外移动PII。一旦该信息被发现和分类, IT管理员有责任实施适当的安全政策来保护数据。