O trabalhador Crise roubo de identidade (e como você vai salvar o dia)

O preço do ingresso para a Era Digital

O roubo de identidade está em toda parte. É o crime do milênio, é o flagelo da era digital. Se isso não aconteceu com você, aconteceu com alguém que você conhece. Usando Federal Trade Commission (FTC) de dados, estimativas Javelin Research que cerca de 9 milhões roubos de identidade ocorreram no ano passado, o que significa que cerca de 1 em 22 adultos norte-americanos foi vítima em apenas um ano. Até agora - madeira batida - Eu pessoalmente tenho sido poupado, mas no curso de gestão de uma empresa roubo de identidade empresa de soluções, que me deparei algumas histórias surpreendentes, inclusive de amigos próximos que eu não tinha previamente conhecidos foram vítimas. Um amigo teve seu cartão de crédito repetidamente usado para pagar dezenas de laptops, milhares de dólares de mantimentos, e aluguel em vários apartamentos - em Nova York, pouco antes dos ataques de 9/11. O FBI finalmente se envolveu, e descobriu uma fonte da empresa de cartão de crédito, e links para organizações suspeitos de apoiar os terroristas.

Então o que é esta ameaça grande e assustador, não é de verdade, e não há nada se pode fazer além de instalar software anti-vírus, verificar extratos de cartões de crédito, coloque o seu cartão de segurança social, em uma caixa de segurança, e uma cruz de dedos? E talvez ainda mais importante para o
público corporativo - o que é a ameaça para as empresas (oh, sim, há uma grande ameaça) eo que pode ser feito para manter a empresa e seus empregados seguro?

Primeiro, o básico. O roubo de identidade é - como o nome indica - qualquer utilização de identidade de outra pessoa para cometer fraudes. O exemplo óbvio é usar um cartão de crédito roubado para comprar itens, mas inclui também actividades como a pirataria redes corporativas para roubar informações corporativas, sendo utilizada a partir de um SSN fraudulenta, para pagar a assistência médica através de cobertura de outra pessoa de seguros, contratação de empréstimos e linhas de do patrimônio em ativos de propriedade de outra pessoa, usando alguma outra pessoa identidade quando ficar preso (de modo que explica a minha folha corrida impressionante!) e muito mais. No final dos anos 90 e início de 2000, os números de roubo de identidade disparou, mas eles têm estabilizou nos últimos três anos em torno de 9-10000000 vítimas por ano - ainda um enorme problema: o crime de consumo mais comum na América. E o custo para as empresas continua a aumentar, assim como os ladrões se tornam cada vez mais sofisticados - as perdas de negócios de fraude de identidade, somente em 2005 foram um escalonamento $ 60 bilhões de dólares. Vítimas individuais perdeu mais de US $ 1500 cada, em média, de custos de bolso, e dezenas necessários ou mesmo centenas de horas por vítima para se recuperar. Em cerca de 16% dos casos, as perdas foram mais de US $ 6000 e, em muitos casos, as vítimas são incapazes de se recuperar totalmente, com crédito em ruínas, grandes somas devidas, e problemas recorrentes, mesmo com a mais simples das atividades diárias.

A causa da onda de crimes de roubo de identidade é a própria natureza da nossa economia digital, tornando-se um problema extremamente difícil de resolver. Observe-se como você passar o dia, e ver quantas vezes a sua identidade é necessário para facilitar alguma atividade cotidiana. Ligue a TV - os canais a cabo que você recebe são faturados mensalmente em sua conta, que é armazenada no banco de dados da empresa de TV a cabo. Confira sua página inicial - o Google ou o Yahoo ou AOL tem uma senha que você provavelmente usa para outras contas, bem como, talvez as suas contas financeiras ou seu login seguro empresarial. Verifique suas ações - e perceber que qualquer pessoa que tenha informações da conta poderia desviar o seu dinheiro em segundos. Entrar no carro - você tem sua carteira de motorista, registro de carro e de seguros, todos ligados a um número de carteira de motorista, que é uma ID de aluguel nacional, e poderia ser usado para passar por você para quase qualquer transação. Parar para um café, ou para pegar alguns mantimentos, e usar um de seus muitos cartões de crédito ou um cartão de débito ligado a uma de suas várias contas bancárias - se algum deles estiver comprometido, pode ser limpo com pressa.

E no escritório - um verdadeiro playground de bancos de dados com seus dados mais sensíveis! O banco de dados de RH, o sistema de rastreamento candidato, o sistema de folha de pagamento, o sistema de inscrição em benefícios, e vários armazéns de dados corporativos - cada um armazena o seu CPF e muitas outras peças de dados sensíveis de identificação. Também o sistema de instalações, o sistema de segurança, o aumento de bônus e mérito e sistemas de gestão de desempenho, o seu login na rede e contas de email, e todos os seus trabalhos específicos de contas do sistema. Para não falar de todos os relatórios de vários de uma só vez e periódica e extratos de banco de dados que são feitas durante todo o dia, todos os dias, por meio de compensação, pela Fazenda, por empresas de auditoria, por TI e muitos outros. E o que dizer de todos os backups e bancos de dados replicados, e todos os sistemas de terceiros, todos os vários Pensão e 401 (k) e sistemas de outras contas de aposentadoria? Os sistemas pequenos facilmente esquecidos que rastreiam atribuições orientar e aniversários e acréscimos de férias. Os sistemas de imagem on-line salário? Sistemas do provedor de viagens corporativas do? E não vamos esquecer de como cada sistema terceirizado multiplica o risco - cada um tem backups e cópias e extratos e auditorias; cada um é acessível por inúmeros usuários internos, bem como seus prestadores de serviços próprios. Quantas bases de dados e laptops e relatórios de papel em toda esta teia de fornecedores e sistemas de ter seus dados, e quantos milhares de pessoas têm acesso a ele a qualquer momento? A lista rapidamente vai de surpresa assustadora para assustador, mais um segue a trilha de dados.

É um admirável mundo novo digital, onde cada passo requer autenticação instante de sua identidade - não com base em seu rosto bonito e um longo relacionamento pessoal, mas em alguns dígitos armazenado em algum lugar. Muito mais eficiente, certo? Assim, seus vários IDs digitais - seu número de carteira de motorista, seu CPF, seus userids e senhas, números de cartões - têm de ser armazenados em todos os lugares e, como tal, são acessíveis por todos os tipos de pessoas. Isso explica o fenômeno enorme e crescente de violações de dados corporativos. Surpreendentemente, mais de 90 milhões de identidades foram perdidos ou roubados em essas violações apenas nos últimos 18 meses, e que o ritmo está realmente acelerando. É aritmética simples combinado com um incentivo financeiro - um volume crescente de dados de identidade, acessível por muitas pessoas, que tem um valor significativo.

E uma vez que qualquer destas identificações digitais são comprometidos, eles podem ser usados ​​para representar você em qualquer um ou todos esses mesmos milhares de sistemas, e para roubar suas outras identificações digitais, bem como, para cometer fraudes mais. Esta é a dimensão do problema. Muito pior do que um cutesy roubado Citibank cartão de crédito - o roubo de identidade pode facilmente interromper tudo que você faz, e exigem um grande esforço para identificar e conectar todos os buracos potencial. Uma vez que sua identidade é roubada, a sua vida pode se tornar um whack-a-mole eterna - fixar uma exposição, e outro aparece, em toda a amplitude enorme de todas as contas e sistemas que usam a sua identidade para qualquer fim em tudo. E não se engane - uma vez comprometida, a sua identidade pode ser vendido de novo e de novo, através de um vasto mercado internacional ID sombria de dados, fora do alcance dos EUA a aplicação da lei, e extremamente ágil em se adaptar a qualquer tentativa de desligá-lo.

Um desastre esperando para acontecer?

Ao longo dos últimos dois anos, três grandes mudanças legais têm ocorrido que aumentou substancialmente o custo de roubo de dados corporativa. Primeiro, as novas disposições do justo e exato operações de crédito Act (FACTA) entrou em vigor, que impôs sanções significativas em qualquer empregador cujo fracasso em proteger a informação do empregado - por ação ou omissão - resultou na perda de dados de identidade dos funcionários. Empregadores podem ser civilmente até US $ 1.000 por funcionário e multas federais adicionais podem ser impostas se ao mesmo nível. Vários estados aprovaram leis que impõem sanções ainda mais elevados. Segundo, vários processos judiciais bastante conhecidos considerou que os empregadores e outras organizações que mantêm bancos de dados contendo informações de funcionários têm o dever especial de prestar garantias sobre os dados que poderiam ser usados ​​para cometer fraudes de identidade. E os tribunais têm concedido indenizações punitivas para os dados roubados, para além dos danos reais e multas legais. Terceiro, vários estados, começando com a Califórnia e se espalhando rapidamente de lá, já aprovaram leis que exigem que as empresas notifiquem os consumidores afetados se perder dados que poderiam ser usados ​​para roubo de identidade, não importa se os dados foi perdido ou roubado, ou se a empresa tem de qualquer responsabilidade legal. Isso resultou em consciência muito maior de violações de dados corporativos, incluindo alguns incidentes maciços, como o infame violação ChoicePoint no início de 2005, a perda ainda maior de um laptop contendo identificações mais de 26 milhões de veteranos de um par de meses atrás.

Ao mesmo tempo, o problema da segurança dos dados empregado está ficando exponencialmente mais difícil. A proliferação de serviços de mão de obra de terceiros - de verificação de antecedentes, recrutamento, testes, folha de pagamento e programas de benefícios diversos, até completa HR Outsourcing - torna cada vez mais difícil de controlar, e muito menos gerenciar todas as exposições potenciais. Mesma coisa para Outsourcing de TI - como você controlar sistemas e dados que você não consegue? Como você sabe onde estão seus dados, quem tem acesso, mas não deve, e qual o sistema criminal e jurídica rege as exposições que ocorrem fora do país? A tendência em curso para escritórios mais remotas e redes virtuais também torna muito mais difícil de controlar o fluxo de dados, ou para padronizar as configurações do sistema - como você parar alguém que se conecta em casa de gravar um CD cheio de dados extraídos do sistema de RH ou armazém de dados, ou copiá-lo para uma unidade USB, ou transferência através de uma porta de infravermelhos para outro computador local? E não campos minados recentes legislativas, de HIPAA para Sarbanes Oxley, para mencionar europeus e canadenses regulamentos de privacidade de dados, ea colcha de retalhos de rápida evolução EUA legislação federal e estadual de privacidade de dados, têm aumentado a complexidade
de controle, talvez para além do ponto de razoabilidade. Quem de nós pode dizer que eles entendem tudo isso, e muito menos cumprir integralmente?

O resultado: uma tempestade perfeita - mais dados de identidade perdas e furtos, de dificuldade muito maior na gestão e ligar os buracos, a visibilidade muito maior para erros, e de responsabilidade muito maior, todos ebulição no caldeirão de uma sociedade litigiosa, onde a lealdade para com o empregador é um conceito ultrapassado, e todos os funcionários muitas olhar para o seu empregador como um conjunto de bolsos profundos para ser escolhido sempre que possível.

E é tudo sobre "dados pessoais" - o direito simples frase de duas palavras no coração da missão de Recursos Humanos e TI. A empresa tem um problema - dados de seu povo é de repente alto valor, sob ataque, e em risco crescente - e eles estão olhando para você, garoto.

A boa notícia é que pelo menos é um problema bem conhecido. Na verdade, embora eu espero que eu tenha feito um bom trabalho de assustar você a reconhecer que o roubo de identidade, não é todo o hype - que é um genuíno, a longo prazo, problema negócio-grande - a realidade tem um tempo duro manter-se com o hype . O roubo de identidade é uma grande notícia, e de muitas pessoas, de fornecedores de soluções para vendedores ambulantes de mídia de informação e entretenimento de todos os matizes foram alardeando o alarme há anos. Todos da diretoria em baixo está ciente de uma maneira geral de todos os roubos de dados grandes, e os problemas com a segurança do computador, e os riscos de mergulhadores lixo e assim por diante. Até mesmo os anúncios Citibank têm feito a sua parte para aumentar a consciência. Então, você tem permissão para propor uma forma razoável de resolver o problema - uma abordagem séria e programático que será fácil pagar por se em responsabilidade corporativa reduzida, bem como evitar a má publicidade, a insatisfação dos funcionários, e perda de produtividade.

A Jornada de Mil Milhas

Em geral, o que eu recomendo é simplesmente o que você faz, de fato, a abordagem de prevenção de roubo de identidade e de gestão como um programa - uma iniciativa permanente que é estruturado e gerenciado como qualquer outro programa sério corporativa. Isso significa que um ciclo iterativo atividade, um administrador responsável, e visibilidade executiva real e patrocínio. Isso significa passar por ciclos de identificação baselining, de pontos de dor e prioridades fundamentais, um estado de visão da próxima geração e escopo, planejamento e concepção dos módulos de trabalho, execução, medição, avaliação tuning - e depois repetir. Não a ciência de foguetes. O passo mais importante é reconhecer e treinar um foco no problema - colocar um nome e uma lupa para ele. Faça como base uma revisão completa quanto possível, examinar a empresa do ponto de vista deste risco substancial, envolver a sua direção, chefia e gerenciar um programa de melhoria contínua. Depois de um par de ciclos, você ficará surpreso quão melhor uma alça você tem sobre ele.

No âmbito do seu programa de roubo de identidade, você vai querer atingir os seguintes objectivos primários. Vamos examinar cada uma brevemente, e delinear as áreas críticas para o endereço e alguns fatores-chave de sucesso.

1) Evitar roubos de identidade real na medida do possível

2) minimizar a sua responsabilidade corporativa com antecedência para qualquer roubos de identidade (não é o mesmo que # 1 em tudo)

3) responder eficazmente a todos os incidentes, para minimizar os danos do empregado e responsabilidade corporativa

Do ponto de vista da empresa, você não pode conseguir prevenção de roubo de identidade, sem endereçamento processos, sistemas, pessoas e políticos, em que ordem.

o primeiro lugar, acompanhar os processos e os fluxos de dados. Onde é que os dados de identificação pessoal ir, e por quê? Eliminá-lo sempre que possível. (Por que SSN tem que ser no sistema de rastreamento de aniversário? Ou até mesmo no sistema de RH? Pode-se firmemente limitar o que os sistemas de reter este tipo de dados, preservando auditoria necessária e capacidade de relatórios regulamentares para aqueles poucos que desempenhar essa função específica) . E pelo jeito, a atribuição ou a contratação de alguém para tentar "engenheiro social" (truque) seu caminho em seus sistemas, e também pedindo para os funcionários para ajudar a identificar todos os pequenos "sob as cobertas" pontos rápida e suja de exposição em sua processos e sistemas podem ser maneiras muito eficazes para obter uma série de informações assustador rapidamente.

o Para os sistemas que retêm esses dados, implementar controles de acesso e restrições de utilização na medida do possível. Lembre-se, você não está apertando dados que dirige as funções de negócio, você está apenas limitando o acesso ea capacidade de extrair informações do seu empregado pessoal, particular. Os únicos que devem ter acesso a este é o empregado si e aqueles com funções específicas de trabalho de regulamentação. Tratar esses dados como você trataria seus próprios bens pessoais e privados - herança de sua família. Estritamente limitar o acesso. E lembre-se - não é somente aqueles que é suposto ter acesso que são o problema, é também aqueles que são hacking - que roubaram um ID do empregado, a fim de roubar mais. Assim, parte de sua missão é certificar-se de que sua rede e sistema de senhas e controles de acesso são realmente robusto. Múltiplas, estratégias redundantes são geralmente necessária - senhas fortes, autenticação de vários fatores, auditorias de acesso, treinamento de funcionários, e acordos de segurança dos empregados, por exemplo.

Trem do seu povo - de forma simples e sem rodeios - que esses dados é pessoal, e não deve ser copiado ou usado em qualquer lugar, exceto quando necessário. Não é o roubo de laptops que é o grande problema, é que os laptops inadequadamente conter dados pessoais do empregado. Dê seu povo - incluindo os empreiteiros e prestadores terceirizados que servem - a orientação para não colocar em risco esses dados e, se necessário, as ferramentas para usá-lo com segurança: monitoramento do sistema padronizado de computador, criptografia, gerenciamento de senha forte em sistemas que contenham este dados, etc

o Desenvolver políticas de tratamento de dados privados do empregado de forma segura, e que manter seus empregados e prestadores de serviço de seus responsáveis ​​e responsabilizados se não o fizerem. Forma clara, simples, e com força comunicar esta política e então reforçá-lo com mensagens e exemplos de executivos seniores. Faça isso especialmente claro para cada um de seus prestadores de serviços externos, e obrigá-los a ter políticas e procedimentos que duplicam suas próprias salvaguardas, e será responsável por quaisquer falhas. Isto pode parecer uma tarefa difícil, mas você vai achar que você não está sozinho - estes prestadores de serviços estão a ouvir isto de muitos clientes, e irá trabalhar com você para estabelecer um calendário para chegar lá. Se não conseguir, talvez isso seja um bom sinal para começar a procurar alternativas.

Minimizando a responsabilidade corporativa é toda sobre ter "garantias razoáveis" no lugar. O que isso significa na prática? - Ninguém sabe. Mas é melhor você ser capaz de passar a razoabilidade "teste do cheiro". Assim como obscentity, os juízes vão saber "garantias razoáveis" quando vê-los - ou não. Você não pode evitar tudo e você não é obrigado, mas se você não tem senhas em seus sistemas e sem controle de acesso físico sobre os arquivos do seu empregado, você vai ser pregado quando há um roubo. Então você precisa fazer exatamente o tipo de revisão e controles que eu esbocei acima, e você também precisa fazer isso de uma maneira bem documentada, medido e divulgado. Em resumo, você precisa fazer a coisa certa, e você precisa muito publicamente mostrar que você está fazendo isso. É chamado CYA. Essa é a maneira obras de responsabilidade legal, as crianças. E, neste caso, não há uma razão muito boa para este rigor. Ele garante o tipo de resultados abrangentes e profundas que você quer, e vai ajudá-lo muito, como você percorrer os ciclos de melhoria.

É por isso que você quer fazer o esforço para estabelecer um programa formal, e comparar o que algumas outras empresas, e definir um plano abrangente e métricas depois de concluir a sua linha de base e as etapas de definição de escopo e resultados do relatório para seus executivos, e iterar para a contínua melhoria. Porque você precisa de tanto saber e mostrar que você está fazendo tudo o que pode ser razoavelmente esperada para proteger os dados pessoais do empregado que está em seu atendimento.

E, no entanto, apesar de todas as suas garantias, o dia virá quando algo dá errado do ponto de vista empresarial. É absolutamente possível reduzir substancialmente a probabilidade, eo tamanho de qualquer exposição, mas quando mais de 90 milhões de registros foram perdidos ou roubados de milhares de organizações apenas nos últimos 18 meses, mais cedo ou mais tarde, quase todos os dados serão comprometidos. Quando isso acontece, você precisa mudar em um centavo em modo de recuperação, e estar pronto para rolar em ação rápida.

Mas não apenas rápido - a sua resposta deve ser abrangente e eficaz, incluindo especificamente o seguinte:

o claro, a comunicação pró-ativa - primeiro aos funcionários, em seguida, para o público.

o A comunicação deve dizer o que aconteceu, que uma pequena força-tarefa, com poderes foi empacotado, que "bloquear" temporária de procedimentos para evitar mais exposição semelhante, que a investigação está em curso, que os empregados afetados, será dada assistência e recuperação reembolso de despesas de recuperação, e serviços de monitoramento para evitar roubos de identidade reais usando quaisquer dados comprometidos.

o Claro, todas essas declarações precisam ser verdadeiras, então:

o Uma força-tarefa do RH, TI, Segurança e Gestão de Riscos profissionais e gestores devem ser identificados e treinados, e os procedimentos para uma "chamada à ação" definido - com antecedência.

o Eles devem ser capacitados para implementar bloqueio temporário estabelece procedimentos sobre os dados pessoais do empregado. Procedimentos para cenários prováveis ​​(perda laptop, perda de fita de backup, violação de login de rede, roubo de arquivos de RH físicos, etc) deve ser pré-definido.

comunicações de modelo para o - funcionários, parceiros e imprensa - deve ser elaborado.

Ô qualificados serviços de investigação devem ser selecionados com antecedência

o especialista de roubo de identidade recursos de recuperação de assistência e de roubo de identidade serviços de monitoramento de ameaças devem ser avaliados e selecionados com antecedência.

Nada é mais importante para proteger a sua empresa do que uma resposta bem planejada e eficaz nas primeiras 48 horas de um incidente. Se você não estiver preparado e praticado com bastante antecedência, isso será impossível. Se você for, ele pode realmente ser uma experiência positiva de relações públicas, e irá reduzir drasticamente os impactos satisfação jurídicos, financeiros, e empregado.

Roubo de identidade não é um flash na panela - é construído na forma como o mundo funciona agora, e isso aumenta não só o risco, mas também o dano. As empresas estão em risco especial, porque, por necessidade, eles expõem os dados de seus empregados sobre os outros funcionários e para seus fornecedores e parceiros, e eles têm a responsabilidade para o risco de que isso cria. Aqueles em SIRH, cuja função específica é a gestão de "dados pessoais", deve tomar posse dessa responsabilidade emergente, e garantir que suas empresas são tão seguros e tão preparado quanto possível.