Você é responsável por proteger as informações particulares armazenadas no seu computador ou transmitidas pela Internet. Mas e os seus dados pessoais que estão nas mãos de alguma organização na qual você confia?

Do IRS ao seu florista local, sua informação privada é amplamente compartilhada. E todos os dias, algumas organizações perdem dados confidenciais sobre seus clientes ou clientes - seja devido a um ataque de hackers ou (mais provavelmente) pela perda ou roubo de um computador ou dispositivo de armazenamento.

Aqui estão três exemplos recentes do Data Loss Database da Open Security Foundation:

• Um funcionário insatisfeito rouba os números da Previdência Social, do cartão de crédito e outros dados pessoais de cerca de 1.200 clientes. A informação é usada para criar falsas contas de desemprego, defraudando o Departamento de Trabalho, Licenciamento e Regulamentação de Maryland de até US $ 170.000.
• Um laptop roubado de uma empresa de administração de propriedades em Vermont contém alguns SSNs e outros dados privados sobre residentes, de acordo com o aviso que a empresa enviou aos clientes afetados (pdf).
• Um serviço de preparação de impostos é despejado de seu escritório em São Francisco e deixa uma caixa com as antigas declarações de impostos do lado de fora da porta da frente.

Outra fonte útil de informações sobre violações de dados recentes é a Cronologia de Violações de Dados da Privacy Rights Clearinghouse, que lista as ocorrências que datam de 2005 de organizações que perderam dados confidenciais.

Quão eficazes são as leis de notificação de violação?

De acordo com a Legislação de Violações de Segurança da Conferência Nacional de Legislaturas Estaduais de 2011, 46 estados atualmente exigem que as organizações enviem notificações para pessoas cujos dados privados foram comprometidos devido a violações que afetam um número mínimo de pessoas (geralmente 500). As informações que se qualificam como particulares são uma combinação de nome, sobrenome, inicial do meio, SSN, dados financeiros e dados médicos ou de saúde.

(O site do Departamento de Saúde e Serviços Humanos dos EUA explica os requisitos mais rigorosos de notificação de violação da HIPAA para dados de saúde. A legislação federal pendente de notificação de violação de dados inclui a Lei de Notificação de Violação de Dados de 2011 e a Lei de Proteção de Dados Pessoais e Violação de Responsabilidade. 2011.)

A lista pode em breve incluir alguns ou todos os endereços de e-mail, conforme explicado por Mark G. McCreary da Fox Rothschild LLP em Breach Notification: Time for a Wake-up Call. Ataques direcionados por email - ou spear phishing - geralmente são enviados de contas comprometidas, de modo que parecem ser de fontes confiáveis. Uma violação de endereços de e-mail pode resultar em danos financeiros para as vítimas.

As leis atuais e propostas que exigem notificação de violação não são garantia de que você será informado sempre que seus dados privados forem expostos por terceiros. A Administração da Seguridade Social foi duramente criticada por não notificar milhares de pessoas cujos nomes, datas de nascimento e SSNs foram divulgados inadvertidamente no Arquivo do Comando da Morte, que está disponível para venda em muitos sites diferentes, segundo o site Consumer Watchdog. .

A solução mais simples: criptografar todos os dados

Em muitos casos, a organização que perdeu os dados privados poderia praticamente ter eliminado o risco, criptografando os arquivos confidenciais. Infelizmente, apenas Nevada e Massachusetts atualmente exigem que as organizações criptografem os dados privados que armazenam, de acordo com Keith Vance no site eSecurityPlanet.

Os Padrões Federais de Processamento de Informações (FIPS) do Instituto Nacional de Padrões e Tecnologia e os 20 Controles de Segurança Críticos servem como diretrizes para grandes empresas que implementam planos de proteção de dados “sopa-para-nozes”. O que falta são diretrizes para pequenas empresas.

O Better Business Bureau oferece uma cartilha sobre segurança de dados para pequenas empresas (pdf) que inclui listas de verificação de inventário de dados, diretrizes de auditoria de segurança e dicas para detectar roubo de identidade. (Observe que o relatório foi patrocinado pela Visa e pela Symantec, portanto, siga as recomendações do produto com um pouco de sal.)

Garantindo o descarte seguro de dados confidenciais

Os três pontos de um plano de segurança de dados são controles de acesso, criptografia de dados armazenados e descarte seguro de informações pessoais. Shredding é o método preferido para arquivos de papel e mídia ótica. Em um post de março de 2009, descrevi como destruir um disco rígido antigo. Uma das ferramentas abordadas nessa história é o Boot and Nuke (DBAN) da Darik, um programa gratuito de limpeza de dados.

É claro que, se os dados descartados forem criptografados, a chance de alguém recuperá-lo é minimizada. Ainda assim, a abordagem mais segura é limpar toda a mídia de armazenamento antes de descartá-las.

Mesmo com essas precauções, suas informações pessoais ainda podem cair em mãos erradas. Tenha o hábito de revisar seu cartão de crédito e seus extratos bancários mensais, e considere se inscrever em um serviço de monitoramento de crédito que o avisa via e-mail ou outro método sempre que uma nova conta é aberta em seu nome.

O site The Fight Identity Theft analisa os quatro principais serviços de relatório de crédito. No entanto, nem todos precisam gastar até US $ 15 por mês para proteger sua identidade: a Investopedia examina os prós e contras dos serviços de monitoramento de crédito.

Se você suspeitar que é vítima de roubo de identidade, o site da Federal Trade Commission contra o roubo de identidade oferece um amplo FAQ sobre o assunto e inclui um link para apresentar uma queixa à agência.