In un mondo in cui conduciamo una notevole quantità di attività commerciali e altre operazioni quotidiane online, le persone stanno diventando sempre più preoccupate della loro privacy dei dati online e di quante istituzioni ne sono a conoscenza. C’è una crescente preoccupazione che, nella nostra era digitale, preservare la nostra privacy sia quasi impossibile. Ogni volta che un utente accede a un sito Web, acquista qualcosa online o addirittura interagisce con un post di social media, i suoi dati vengono raccolti.
Tuttavia, non tutti i dati raccolti rientrano nella categoria delle informazioni di identificazione personale (PII). Per assistere meglio i clienti, è essenziale che gli MSP comprendano cosa costituisce PII e cosa no. Questa guida spiega la differenza tra i tipi di dati PII, confronta le PII con i dati personali, discute l’importanza di proteggere i dati PII e fornirà 12 suggerimenti utili progettati per proteggere i dati PII.
Che cosa sono i dati PII (Personally Identifiable Information)?
La definizione di PII, secondo il National Institute of Standards and Technology (NIST) , è la seguente:
“Le informazioni personali sono qualsiasi informazione su una persona gestita da un’agenzia, incluse tutte le informazioni che possono essere utilizzate per distinguere o rintracciare l’identità di una persona, come nome, numero di previdenza sociale, data e luogo di nascita, nome da nubile della madre o documenti biometrici; e qualsiasi altra informazione che sia collegata o collegabile a un individuo, come informazioni mediche, educative, finanziarie e occupazionali. “
Con questa definizione, “distinguere” un individuo implica identificarlo discernendo una persona dall’altra. “Tracciare” un individuo significa utilizzare le informazioni chiave per determinare un aspetto specifico dello stato o delle attività correnti di una persona. Queste informazioni di definizione potrebbero includere il loro nome, indirizzo postale, indirizzo e-mail, numeri di identificazione personale e numero di telefono. Comprendere esattamente cosa costituisce PII è fondamentale per iniziare a proteggere adeguatamente i dati appropriati per i clienti.
Tipi di dati PII
Il NIST continua a definire due sottocategorie di PII: informazioni collegabili e informazioni collegate. Secondo la Guida del NIST per la protezione della riservatezza delle informazioni personali , le informazioni collegate si riferiscono a informazioni “che sono logicamente associate ad altre informazioni sull’individuo”. Ad esempio, un nome di nascita verrebbe classificato come informazione collegata che potrebbe essere rintracciata ad altre informazioni sull’individuo.
D’altra parte, il NIST definisce le informazioni collegabili come “informazioni su o relative a un individuo per il quale esiste una possibilità associazione logica con altre informazioni sull’individuo. ” Poiché esiste solo una possibilità di associazione, le informazioni collegabili non sarebbero sufficienti per consentire l’identificazione di un individuo se non fossero combinate con un’altra informazione. Se un cattivo attore fosse in grado di accedere a due database separati che includevano elementi PII diversi, potrebbe essere in grado di collegare le informazioni e identificare gli individui associati, quindi accedere a ulteriori informazioni relative a tali individui. Ad esempio, una data di nascita non sarebbe sufficiente per consentire l’identificazione di un individuo, ma può essere utilizzata in combinazione con un’altra informazione per farlo.
I dati PII collegati includono, ma non sono limitati a, i seguenti:
- Nome e cognome
- Indirizzo di casa
- Numero di Social Security
- Indirizzo email
- Numero di passaporto
- Numero di patente
- Numero di telefono
- Dettagli del login
- Numeri di carta di credito
I dati PII collegabili includono, ma non sono limitati a, i seguenti:
- Nome o cognome
- Nazione
- Stato
- Città
- Codice postale
- Genere
- Gara
- Età non specifica
- Posizione di lavoro e posto di lavoro
Che cosa sono i dati PII sensibili?
La definizione di ciò che costituisce dati PII sensibili è importante perché la risposta corrisponde alle industrie che dovrebbero trattare con cura i dati PII con ulteriore cura. Le organizzazioni hanno spesso le proprie definizioni di ciò che costituisce PII sensibile in base ai livelli di impatto assegnati. Ad esempio, l’ Ufficio censimento degli Stati Uniti definisce una gamma specifica di argomenti come sensibili, inclusi ma non limitati a: condotta illegale; informazioni dannose per la posizione finanziaria, l’occupabilità o la reputazione; politica; religione, comportamento sessuale o orientamento sessuale; le tasse; e informazioni che portano alla stigmatizzazione o alla discriminazione sociale. Il compromesso, la divulgazione o la perdita di informazioni personali sensibili possono causare un rischio maggiore per un individuo. I seguenti tipi di informazioni sono generalmente considerati PII sensibili:
- Medico
- Finanziario
- Educativo
- Informazioni sull’occupazione
Alcune organizzazioni hanno definito determinati tipi o categorie di PII come sensibili e assegnano livelli di impatto più elevati a tali tipi di PII. Ad esempio, nella sua politica PIA, il Census Bureau ha definito sensibili i seguenti argomenti: aborto; alcol, droghe o altri prodotti che creano dipendenza; condotta illegale; status di immigrazione clandestina; informazioni dannose per la posizione finanziaria, l’occupabilità o la reputazione; informazioni che portano alla stigmatizzazione o alla discriminazione sociale; politica; benessere psicologico o salute mentale; religione; partner dello stesso sesso; comportamento sessuale; orientamento sessuale; le tasse; e altre informazioni dovute a specifici fattori culturali o di altro tipo.
Comprensibilmente, se informazioni di questo tipo sparissero o venissero sfruttate, potrebbero avere un impatto negativo sull’individuo a cui si riferiscono. Ecco perché è fondamentale che le aziende del settore farmaceutico, finanziario ed educativo proteggano le PII in modo particolarmente attento. La sicurezza delle informazioni personali è particolarmente pertinente agli MSP, poiché è probabile che tu sia responsabile della protezione dei dati PII per i clienti di tutti i settori.
Come proteggere i dati PII
Sebbene sia importante proteggere adeguatamente i dati dei clienti, è particolarmente importante proteggere le informazioni personali perché spesso possono avere conseguenze maggiori se compromesse. Ad esempio, potresti essere ritenuto responsabile e far fronte a spese elevate se perdi PII perché è altamente regolamentato in alcuni settori. Sebbene questo non sia un elenco esaustivo, qui ci sono 12 misure chiave che dovresti considerare quando proteggi i dati PII.
1. CRITTOGRAFARE I DATI PII
Il rispetto dei requisiti specifici di crittografia dei dati PII pertinenti all’industria, alla giurisdizione e ai quadri tecnici dei clienti è uno dei modi migliori per proteggere i dati PII. La crittografia aiuta a proteggere la tua azienda e i tuoi clienti dai criminali informatici che sperano di rubare i tuoi dati, in quanto rende difficile per i cattivi attori decifrare le informazioni anche se cadono nelle mani sbagliate. Tutti i dati hanno un ciclo di vita: a riposo, in movimento e in uso, quindi è necessario crittografare i dati in tutte le fasi.
2. CREARE UNA POLITICA DI PASSWORD COMPLESSA
Le password complesse sono fondamentali per proteggere i dati e le informazioni sensibili. Le password complesse sono in genere lunghe almeno otto caratteri. Includono caratteri speciali, lettere maiuscole e lettere minuscole. Evita di usare frasi comuni o informazioni personali nelle tue password e attua una politica che consenta agli utenti di cambiare immediatamente le loro password se viene rilevata un’attività sospetta. Dovresti avere una password univoca per ogni sistema, sito e piattaforma e non utilizzare mai la stessa password due volte.
3. UTILIZZARE L’AUTENTICAZIONE A PIÙ FATTORI
L’autenticazione a due fattori o multifattore aggiunge un ulteriore livello di sicurezza al sistema di identificazione online standard (nome account e password). Con l’autenticazione a due fattori, ti viene richiesto di fornire un’ulteriore verifica che aiuta a confermare la tua identità. Ad esempio, l’autenticazione a due fattori potrebbe comportare l’immissione di un codice SMS che viene inviato al dispositivo o l’utilizzo di dati biometrici come una scansione delle impronte digitali.
4. CREARE BACKUP
I backup sono una parte cruciale per aiutare a proteggere i tuoi dati PII. La regola di backup 3-2-1 è un punto utile e semplice da cui iniziare. Questa regola prevede il mantenimento di tre diverse copie dei dati su almeno due diversi tipi di media, con una copia in una posizione fuori sede.
5. PRATICARE PRATICHE DI SMALTIMENTO DEI DATI INTELLIGENTI
Lo smaltimento e la distruzione dei dati è un passo fondamentale per proteggere le informazioni sensibili. Quando i dati PII non sono più necessari per lo scopo specifico per il quale sono stati raccolti, dovrebbero essere distrutti per aiutare a evitare di esporli inutilmente al rischio di essere compromessi. Varie industrie hanno normative diverse in merito ai tempi minimi di conservazione o alla distruzione dei dati, quindi assicurati di collaborare con i tuoi clienti per creare politiche personalizzate per smaltire correttamente i dati quando appropriato. Stabilire una politica di sicurezza ben documentata e assicurarsi che i tecnici comprendano appieno il processo di distruzione dei dati in modo che sappiano come smaltire i dati in modo sicuro.
6. RIMANI AGGIORNATO SUGLI AGGIORNAMENTI
Gli aggiornamenti sembrano un passo ovvio e semplice verso la protezione dei dati sensibili, ma tenerli al primo posto può diventare travolgente quando si gestiscono centinaia o migliaia di programmi e dispositivi nell’intera base di clienti di MSP. Nonostante questo compito potenzialmente scoraggiante, il mancato aggiornamento di dispositivi e sistemi crea vulnerabilità che gli hacker possono sfruttare. Per aiutarti a non perdere un aggiornamento o una patch, il software di gestione delle patch MSP, progettato per questo scopo specifico, può fare molto per semplificare questo processo.
7. STABILIRE POLITICHE DI LAVORO IN REMOTO SICURE
Man mano che il lavoro a distanza diventa sempre più diffuso, è importante che le organizzazioni seguano le best practice sicure anche quando sono fuori sede. Ad esempio, i criminali informatici spesso prendono di mira gli spot Wi-Fi pubblici per rubare informazioni personali e informazioni sensibili. Per proteggere i tuoi dati, tutti i dipendenti dovrebbero evitare di utilizzare il Wi-Fi pubblico quando lavorano in remoto. Il Wi-Fi sicuro è molto più difficile da sfruttare per i criminali informatici ed è solo una semplice precauzione che gli utenti possono prendere quando lavorano da casa o da un’altra posizione.
8. OFFRI UNA VPN SICURA
Per ulteriore sicurezza, assicurati che i tuoi dipendenti siano incoraggiati a sfruttare un’applicazione di rete privata virtuale (VPN) . Cifrerà la tua connessione al server e ti consentirà di accedere a una rete privata condividendo i dati in remoto tramite la rete pubblica. Questa dovrebbe essere l’ultima risorsa se il Wi-Fi pubblico è assolutamente necessario.
9. AUMENTARE LA CONSAPEVOLEZZA DELLE MINACCE
Esistono tre modi principali in cui un criminale può accedere ai tuoi dati con il minimo sforzo, ovvero senza dover utilizzare sofisticati metodi digitali. Questi tre modi sono:
- Navigazione sulle spalle: quando un attore di minacce accede ai tuoi dati semplicemente guardando alle tue spalle per vedere le informazioni sullo schermo del tuo computer o tablet
- Tailgating: quando un criminale informatico cerca di ottenere l’accesso alla tua posizione fisica usando le tue credenziali
- Immersione con cassonetto: quando i criminali informatici attraversano la spazzatura fisica di un’organizzazione nella speranza di trovare dati PII
Incoraggiare i vostri tecnici e clienti a essere il più consapevoli delle minacce può aiutare a ridurre le possibilità di furto di dati PII a loro insaputa. Garantire che tutti i documenti che trattano di dati PII vengano correttamente smaltiti (ad esempio, se si tratta di un documento fisico, utilizzare un distruggidocumenti!) Può fare la differenza.
10. ESERCITATI A BLOCCARE IL DISPOSITIVO
In qualche modo correlato all’aumento della consapevolezza delle minacce, il blocco del dispositivo è importante perché presuppone che ci sia sempre una potenziale minaccia, specialmente se il dispositivo viene lasciato incustodito per un periodo di tempo. Ad esempio, se lasci il tuo laptop in ufficio durante la notte, assicurati di averlo bloccato in modo che sia protetto da password prima di partire. I cattivi attori coglieranno ogni opportunità per infiltrarsi nel tuo dispositivo: abilitare una semplice funzione di blocco automatico su un dispositivo può aiutare a prevenire la perdita di dati.
11. EFFETTUARE UNA FORMAZIONE REGOLARE SULLA SICUREZZA DEL PERSONALE
Gli utenti sono spesso il collegamento più debole in termini di sicurezza. Ci vuole solo un errore dell’utente per un criminale informatico che si infiltra nella rete. Ad esempio, le truffe di phishing sono altamente prevenibili se sai cosa cercare, ma molti utenti non sono in grado di distinguere un sofisticato tentativo di phishing da una richiesta legittima. Condurre una formazione sulla consapevolezza del personale (o formazione sulla consapevolezza del cliente) può aiutare a preparare meglio gli utenti a riconoscere una truffa.
12. UTILIZZARE GLI STRUMENTI APPROPRIATI PER MASSIMIZZARE LA SICUREZZA
Esistono oggi molti strumenti disponibili sul mercato progettati per massimizzare la sicurezza di un’organizzazione di fronte all’aumento del crimine informatico. Tali strumenti possono includere firewall, software antivirus , software antimalware e molto altro. Quando si proteggono i dati per conto dei propri clienti, tali strumenti possono fare una grande differenza nel consentire all’utente di fornire un servizio efficiente ed efficace. Prendersi il tempo necessario per ricercare le opzioni e trovare strumenti che soddisfino le esigenze specifiche può consentire di ottenere un approccio più completo alla sicurezza.
Gli strumenti giusti per proteggere i dati PII
Con così tanti strumenti tra cui scegliere, la scelta di una soluzione di monitoraggio e gestione remota all-in-one è un’ottima opzione che consente di eseguire una moltitudine di attività da una dashboard. Soprattutto quando ti sforzi di fornire un servizio eccezionale, la scelta di uno strumento che riunisce la potenza di più strumenti in uno può aiutare ad aumentare la produttività e rendere i clienti più felici.
Se stai cercando di metterti in funzione il più velocemente possibile, il software di monitoraggio remoto e gestione (RMM) di SolarWinds ® può aiutarti. Questo software offre una suite all-in-one di strumenti progettata per aiutarti a mantenere e migliorare i sistemi IT dei tuoi clienti, semplificando la protezione dei dati PII per loro conto. RMM è un potente strumento con una dashboard intuitiva che consente ai tecnici di evidenziare facilmente i problemi e di stabilire le priorità delle attività. RMM include accesso remoto rapido, gestione delle patch, antivirus gestito, protezione Web, intelligence sul rischio di violazione dei dati e funzionalità di backup.
Per saperne di più, accedi a una prova gratuita di Solarwinds MSP RMM di 30 giorni (CLICCA QUI) .
Se sei un MSP più interessato ad espandere la tua base di clienti e offrire loro potenti funzionalità personalizzate, SolarWinds N-central ® potrebbe essere la soluzione migliore per te. Oltre alle stesse solide funzionalità di sicurezza di RMM, N-central offre anche integrazioni PSA, un editor di script per ridurre la necessità di codifica e funzionalità di automazione a più livelli per liberare il tempo dei tuoi tecnici. Queste funzionalità all-in-one rendono più semplice per i tuoi tecnici massimizzare la sicurezza della tua diversificata base di clienti e aiutano a proteggere i dati PII, indipendentemente dal settore.
È disponibile una prova gratuita di 30 giorni per gli MSP che vogliono saperne di più. Contattaci per saperne di più: commerciale@n4b.it
FONTE: Solarwinds MSP BLOG – Redazione
Traduzione N4B SRL – Distributore Autorizzato Solarwnds MSP