La crise vol d'identité des travailleurs (et comment vous allez Save The Day)

Le prix d'admission à l'ère du numérique

Le vol d'identité est partout. C'est le crime du millénaire, c'est le fléau de l'ère du numérique. Si ce n'est pas le cas pour vous, il est arrivé à quelqu'un que vous connaissez. Utilisation de la Federal Trade Commission (FTC) des données, les estimations de recherche Javelin que environ 9 millions de vols d'identité ont eu lieu l'année dernière, ce qui signifie qu'environ 1 dans 22 adultes américains a été victime en un an. Jusqu'à présent - Knock Wood - J'ai personnellement été épargnée, mais dans le cadre de l'exécution d'une usurpation d'identité d'entreprise entreprise de solutions, j'ai couru à travers des histoires incroyables, y compris d'amis proches que je n'avais pas déjà connus ont été victimes. Un ami a eu sa carte de crédit utilisé à plusieurs reprises pour payer des dizaines d'ordinateurs portables, des milliers de dollars de produits d'épicerie et le loyer de plusieurs appartements - à New York, juste avant les attaques du 9/11. Le FBI a finalement obtenu impliqués, et a découvert un initié à l'entreprise de cartes de crédit, et des liens vers des organisations soupçonnées de soutenir les terroristes.

Alors, quelle est cette grande menace effrayante, est pour de vrai, et c'est là tout ce qu'on peut faire d'autre que d'installer un logiciel antivirus, vérifiez vos relevés de carte de crédit, mettez votre carte de sécurité sociale dans un coffre-fort, et de croiser les doigts? Et peut-être encore plus important pour la
public des entreprises - quelle est la menace pour les sociétés (oh, oui, il ya une menace majeure) et ce qui peut être fait pour maintenir l'entreprise et ses employés en sécurité?

Tout d'abord, les bases. Le vol d'identité est - comme son nom l'indique - toute utilisation de l'identité d'une autre personne pour commettre une fraude. L'exemple le plus évident est l'utilisation d'une carte de crédit volée pour acheter des articles, mais il comprend aussi des activités telles que le piratage des réseaux d'entreprise pour voler des informations de l'entreprise, employé utilisant un SSN frauduleuse, de payer pour des soins médicaux en utilisant une couverture d'assurance d'une autre personne, des emprunts et des lignes des capitaux propres sur actifs détenus par quelqu'un d'autre, à l'aide de quelqu'un d'autre ID lors de se faire arrêter (pour ce qui explique mon casier judiciaire impressionnant!) et bien plus encore. Dans les années 90 et début des années 2000, le nombre de vols d'identité ont monté en flèche, mais ils se sont stabilisés au cours des 3 dernières années à autour de 9-10 millions de victimes par an - encore un énorme problème: le crime de consommation le plus fréquent en Amérique. Et le coût pour les entreprises continue d'augmenter, comme des voleurs deviennent de plus en plus sophistiqués - pertes d'entreprise de la fraude d'identité dans la seule année 2005 étaient de 60 $ milliards de dollars stupéfiante. Les victimes ont perdu plus de 1500 $ chacune, en moyenne, dans les menus frais, et des dizaines, voire des centaines requis d'heures par victime de se rétablir. Dans environ 16% des cas, les pertes étaient plus de 6000 $ et dans de nombreux cas, les victimes sont incapables de jamais se remettre complètement, avec le crédit ruiné, d'importantes sommes dues, et les problèmes récurrents avec même le plus simple des activités quotidiennes.

La cause sous-jacente de la vague de criminalité le vol d'identité est la nature même de notre économie numérique, ce qui en fait un problème très difficile à résoudre. Observez-vous que vous passez par le jour, et de voir combien de fois votre identité est nécessaire pour faciliter une activité quotidienne. Allumez le téléviseur - les chaînes du câble que vous recevez sont facturés mensuellement à votre compte, ce qui est stocké dans la base de données du câblodistributeur. Vérifiez votre page d'accueil - votre Google ou Yahoo ou AOL a un mot de passe que vous utilisez probablement pour d'autres comptes, ainsi, peut-être de vos comptes bancaires ou votre connexion sécurisé de l'entreprise. Vérifiez vos stocks - et de réaliser que tout le monde avec cette info compte pourrait siphonner votre argent en quelques secondes. Mettez-vous dans la voiture - vous avez obtenu votre permis de conduire, carte grise et l'assurance, le tout lié à un certain nombre de permis de conduire qui est un identifiant de substitution national, et pourrait être utilisé pour usurper votre identité pour presque n'importe quelle transaction. Prendre un café, ou pour ramasser quelques produits d'épicerie et d'utiliser l'une de vos nombreuses cartes de crédit ou une carte de débit liée à l'un de vos comptes bancaires de plusieurs - si l'un de ceux qui sont compromises, vous pourriez être nettoyé à la hâte.

Et au bureau - un véritable terrain de jeu de bases de données avec vos données les plus sensibles! La base de données des ressources humaines, le système de suivi des candidats, le système de la paie, le système d'inscription des avantages sociaux, et divers entrepôts de données d'entreprise - chacun stocke votre SSN et de nombreuses autres pièces sensibles de données d'identification. De plus, le système des installations, le système de sécurité, l'augmentation bonus et commissions et le mérite et les systèmes de gestion des performances, votre connexion réseau et les comptes de messagerie, et tous vos comptes d'emploi spécifiques au système. Sans parler de tous les différents rapports ponctuels et périodiques et des extraits de bases de données qui sont faites toute la journée, tous les jours, en compensation, des Finances, de cabinets d'audit, par l'informatique et bien d'autres. Et que dire de toutes les sauvegardes de bases de données répliquées, et tous les systèmes et sous-traitance, toutes les pensions diverses et 401 (k) et d'autres systèmes de compte de retraite? Les petits systèmes oublie facilement que le suivi des affectations mentors et les anniversaires et comptes de régularisation de vacances. Les systèmes en ligne d'image de chèque de paie? Le fournisseur de systèmes de voyages d'affaires? Et n'oublions pas la façon dont chaque système de sous-traitance multiplie les risques - chacun a des sauvegardes et des copies et des extraits et des audits; chacun est accessible par de nombreux utilisateurs internes ainsi que leurs propres fournisseurs de services. Combien de bases de données et les ordinateurs portables et les rapports papier à travers ce réseau de fournisseurs et de systèmes que vos données et combien de milliers de personnes ont accès à tout moment? La liste s'allonge rapidement de surprenant à intimidant de peur, plus on suit la piste de données.

C'est un brave nouveau monde numérique, où chaque étape requiert une authentification instantanée de votre identité - ne se fonde pas sur votre joli visage et une relation à vie personnelle, mais sur quelques chiffres stockés quelque part. Beaucoup plus efficace, non? Ainsi, vos différents identifiants numériques - le numéro de votre permis de conduire, votre SSN, votre ID utilisateur et mots de passe, vos numéros de carte - doivent être stockés partout, et en tant que tels, sont accessibles par toutes sortes de gens. C'est ce qui explique le phénomène énorme et croissant de violations de données d'entreprise. Étonnamment, plus de 90 millions d'identités ont été perdus ou volés dans ces violations en seulement 18 mois, et le rythme est en fait accélérer. C'est de l'arithmétique simple combinée avec une incitation financière - un volume croissant de données d'identité, accessible par de nombreuses personnes, qui ont une valeur significative.

Et une fois que l'un de ces identificateurs numériques sont compromis, ils peuvent être utilisés pour usurper votre identité en tout ou partie de ces milliers de mêmes systèmes et de voler vos autres identifiants numériques, ainsi, de commettre d'autres fraudes. C'est l'ampleur du problème. Beaucoup plus grave qu'un mièvre volé la carte de crédit Citibank - vol d'identité peut facilement perturber tout ce que vous faites, et nécessitent un effort massif d'identifier et de combler tous les trous potentiel. Une fois que votre identité a été volée, votre vie peut devenir un whack-a-mole éternelle - fixer une exposition, et une autre s'ouvre, sur toute l'étendue énorme de tous les comptes et les systèmes qui utilisent votre identité à des fins tout. Et ne vous méprenez pas - une fois compromise, votre identité peut être vendu encore et encore, à travers un vaste marché international ombre identification des données, en dehors de la portée de l'application de la loi américaine, et extrêmement agile pour s'adapter à toute tentative de l'arrêter.

Une catastrophe annoncée?

Au cours des deux dernières années, trois grands changements auraient eu lieu que sensiblement accru le coût du vol de données d'entreprise. Tout d'abord, les nouvelles dispositions du Credit Transactions justes et précis Loi (FACTA) est entré en vigueur qui impose de lourdes pénalités à tout employeur dont l'incapacité à protéger les renseignements sur les employés - soit par l'action ou l'inaction - a entraîné la perte des données d'identité des employés. Les employeurs peuvent être civilement responsable à concurrence de 1000 $ par employé, et les amendes fédérales supplémentaires peuvent être imposées à un même niveau. Plusieurs Etats ont adopté des lois imposant des sanctions encore plus élevés. Deuxièmement, plusieurs affaires judiciaires très médiatisées a jugé que les employeurs et d'autres organisations qui maintiennent des bases de données contenant des renseignements sur les employés ont une obligation spéciale de fournir des garanties sur les données qui pourraient être utilisés pour commettre une fraude d'identité. Et les tribunaux ont accordé des dommages-intérêts punitifs pour les données volées, en plus des dommages-intérêts compensatoires et des amendes statutaires. Troisièmement, plusieurs Etats, à commencer par la Californie et se propager rapidement à partir de là, ont adopté des lois obligeant les entreprises à informer les consommateurs touchés s'ils perdent des données qui pourraient être utilisées pour le vol d'identité, peu importe si les données ont été perdues ou volées, ou si la société porte aucune responsabilité légale. Cela a permis de sensibiliser considérablement accru de violations de données de l'entreprise, y compris certains incidents massifs tels que la violation ChoicePoint tristement célèbre au début de 2005, et la perte encore plus grande d'un ordinateur portable contenant des identifiants de plus de 26 millions d'anciens combattants un couple de mois.

Dans le même temps, le problème de la sécurité des données salarié devient exponentiellement plus difficile. La prolifération continue des services de main-d'œuvre sous-traitance - de vérifier les antécédents, le recrutement, les tests, les salaires et les programmes de prestations diverses, jusqu'à complète d'externalisation RH - rend de plus en plus difficiles à suivre, et encore moins de gérer tous les risques potentiels. Même chose pour les IT Outsourcing - comment voulez-vous contrôler les systèmes et les données que vous n'avez pas réussi? Comment savez-vous où vos données, qui a accès, mais ne devrait pas, et ce que le système pénal et juridique régit toutes les expositions survenant à l'extérieur du pays? La tendance actuelle à plus de bureaux distants et des réseaux virtuels rend également beaucoup plus difficile de contrôler le flux de données ou de standardiser les configurations de système - comment voulez-vous arrêter quelqu'un qui se connecte à la maison de la gravure d'un CD complet des données extraites du système RH ou d'un entrepôt de données, ou le copier sur une clé USB, ou un transfert sur un port infrarouge vers un autre ordinateur local? Et ces dernières législatives, des champs de mines de la HIPAA à la loi Sarbanes Oxley, pour ne pas mentionner les règlements européens et canadiens de confidentialité des données, et la mosaïque de l'évolution rapide du gouvernement fédéral américain et la législation des États confidentialité des données, ont accru la complexité
de contrôle, peut-être dépassé le stade de leur caractère raisonnable. Qui parmi nous peut dire qu'ils comprennent tout cela, et encore moins se conformer pleinement?

Le résultat: une tempête parfaite - plus de données d'identité pertes et les vols, la difficulté bien plus grande à la gestion et boucher les trous, une plus grande visibilité aux faux pas, et la responsabilité beaucoup plus grande, tout bouillant dans le chaudron d'une société procédurière, où la loyauté envers son employeur est un concept révolu, et tous les employés trop regarder leur employeur comme un ensemble de poches profondes pour être repris dès que possible.

Et il s'agit de «données de personnes» - le droit simple phrase de deux mots au cœur de la mission des Ressources humaines et de l'informatique. L'entreprise a un problème - les données des personnes est soudainement grande valeur, l'objet d'attaques, et au risque croissant - et ils vous regardent, gamin.

Les bonnes nouvelles, c'est que c'est au moins un problème bien connu. En effet, même si j'espère que j'ai fait un bon travail de vous faire peur en reconnaissant que le vol d'identité n'est pas toute l'exagération - que c'est un véritable long terme, big-deal problème - la réalité a du mal à suivre le battage . Le vol d'identité est de grandes nouvelles, et beaucoup de gens, de fournisseurs de solutions d'infodivertissement à bonimenteurs des médias de tous bords ont été claironner l'alarme depuis des années. Tout le monde de la salle de réunion sur le bas est au courant d'une manière générale de tous les grands vols de données, et les problèmes de sécurité informatique, ainsi que les risques de pêcheurs de poubelles et ainsi de suite. Même les annonces de Citibank ont ​​fait leur part pour sensibiliser les gens. Donc, vous avez la permission de proposer un moyen raisonnable de résoudre le problème - une maladie grave, une approche programmatique qui sera facilement rentabilisé en responsabilité des personnes morales réduite, ainsi que l'évitement de la mauvaise publicité, l'insatisfaction des employés, et la perte de productivité.

The Journey of a Thousand Miles

En général, ce que je recommande, c'est simplement que vous fassiez, en effet, la prévention du vol d'identité approche et de gestion d'un programme - une initiative permanente qui est structuré et géré comme n'importe quel autre programme d'entreprise sérieux. Cela signifie un cycle itératif activité, un dirigeant responsable, et la visibilité exécutif réel et le parrainage. Cela signifie passer par des cycles de référentiels, l'identification des points de douleur et de priorités clés, la vision d'un état de prochaine génération et la portée, la planification et la conception des modules de travail, exécuter, mesurer, évaluer, tuning - puis répéter. Pas sorcier. L'étape la plus importante est de reconnaître et de former un accent sur le problème - mettre un nom et une loupe pour elle. Faites comme complète un examen de base que vous pouvez, examinez la société du point de vue de ce risque important, engager votre leadership des cadres, et de gérer un programme d'amélioration continue. Après quelques cycles, vous serez surpris de voir combien mieux une poignée que vous avez sur elle.

Dans le cadre de votre programme de vol d'identité, vous souhaitez cibler les objectifs principaux suivants. Nous allons examiner brièvement chacun une, et de définir les domaines essentiels à l'adresse et des facteurs clés de succès.

1) Prévenir les vols d'identité réels la mesure du possible

2) Réduisez votre responsabilité de l'entreprise à l'avance pour les vols d'identité (pas la même chose que n ° 1 à tous)

3) Réagir efficacement en cas d'incident, pour minimiser les dommages à la fois salarié et la responsabilité des entreprises

Du point de vue de l'entreprise, vous ne pouvez pas atteindre la prévention du vol d'identité sans processus de lutte, les systèmes, les personnes et les politiques, dans cet ordre.

o Tout d'abord, suivre les processus et de leurs flux de données. Où les données d'identité personnelle y aller, et pourquoi? L'éliminer autant que possible. (Pourquoi ne SSN doivent être dans le système de suivi anniversaire? Ou même dans le système RH? On peut bien limiter ce que les systèmes de conserver ce type de données, tout en préservant la vérification requise et la capacité de reporting réglementaire pour les quelques personnes qui remplissent cette fonction spécifique) . Et en passant, céder ou d'embaucher quelqu'un pour essayer de «ingénieur social» (trick) leur chemin dans vos systèmes, et demande également aux salariés pour aider à identifier tous les petits "sous les couvertures« points d'exposition rapide et sale dans votre processus et les systèmes peuvent être des moyens très efficaces pour obtenir une foule de renseignements effrayant rapidement.

o Pour les systèmes qui ne conservent ces données, la mise en œuvre des contrôles d'accès et les restrictions d'utilisation dans la mesure du possible. Rappelez-vous, vous n'êtes pas serrant les données qui anime fonctions de l'entreprise; vous êtes simplement en limitant l'accès et la capacité d'extraire des personnels de vos employés, des informations privées. Les seuls qui devraient avoir accès à ce sont les employés eux-mêmes et ceux qui ont des fonctions spécifiques d'emploi réglementaires. Traiter ces données comme vous le feriez avec vos propres biens personnels et privés - vos souvenirs de famille. Limiter strictement l'accès. Et rappelez-vous - ce n'est pas seulement ceux qui sont censés y avoir accès que sont le problème, c'est aussi ceux qui sont le piratage - qui ont volé ID d'un employé dans le but de voler plus. Donc, une partie de votre mission est de faire en sorte que les mots de passe de votre réseau et système et les contrôles d'accès sont vraiment robuste. Stratégies multiples et redondants sont habituellement exigés - mots de passe forts, authentification multi-facteurs, audits d'accès, la formation des employés, et les accords de sécurité des employés, par exemple.

o Former votre personnel - simplement et crûment - que ces données sont personnelles et ne doivent pas être copiés ou utilisés partout sauf là où nécessaire. Ce n'est pas le vol d'ordinateurs portables qui est le gros problème, c'est que les ordinateurs portables inappropriée contenir des données personnelles des employés. Donnez votre peuple - y compris les entrepreneurs et les fournisseurs de sous-traitance que vous servez - la direction de ne pas placer ces données à des risques et, si nécessaire, les outils à utiliser en toute sécurité: Le suivi des systèmes informatiques, le cryptage, la gestion de mot de passe fort sur les systèmes qui contiennent ce des données, etc

o Élaborer des politiques de gestion des données privées des employés de façon sûre et en toute sécurité, et qui détiennent vos employés et vos fournisseurs de services responsables et responsables si elles ne le font pas. De toute évidence, tout simplement, et avec force communiquer cette politique, puis de le renforcer avec des messages et des exemples de cadres supérieurs. Faire ceci particulièrement clair pour chacun de vos prestataires de services externes, et les obliger à avoir des politiques et des procédures qui dupliquent vos propres garanties, et d'être responsable de tous les échecs. Cela peut sembler une tâche ardue, mais vous verrez que vous n'êtes pas seul - ces fournisseurs de services sont entendu cela de nombreux clients, et nous travaillerons avec vous pour établir un calendrier pour y arriver. S'ils ne l'obtiennent pas, c'est peut-être un bon signal pour commencer à chercher des alternatives.

Minimiser la responsabilité d'entreprise est tout au sujet de avoir «des mesures raisonnables» en place. Qu'est-ce que cela signifie dans la pratique? - On ne sait pas. Mais vous feriez mieux d'être en mesure de passer le "test de l'odorat" raisonnable. Tout comme obscentity, les juges sauront «garanties raisonnables» quand ils les voient - ou pas. Vous ne pouvez pas éviter tout et vous n'êtes pas obligé, mais si vous n'avez pas de mot de passe sur votre système et aucun contrôle de l'accès physique au cours de vos dossiers d'employés, vous allez être cloué quand il ya un vol. Alors vous avez besoin de faire exactement le genre d'examen et de contrôle que j'ai décrites ci-dessus, et vous devez également le faire d'une manière bien documentée, mesurée, et rendu public. En bref, vous devez faire la bonne chose, et vous devez très publiquement montrer que vous le faites. C'est ce qu'on appelle l'ACY. C'est ainsi que fonctionne la responsabilité légale, les enfants. Et dans ce cas, il ya de très bonnes raisons pour cette rigueur. Il assure le genre de résultats complètes et détaillées que vous voulez, et il vous aidera grandement que vous parcourez les cycles d'amélioration.

C'est pourquoi vous voulez faire l'effort de mettre en place un programme formel, et de comparer ce que certains autres sociétés, et de définir un plan global et les paramètres après avoir terminé votre baselining et des mesures de portée, et rendre compte des résultats à vos dirigeants, et itérer pour continu amélioration. Parce que vous avez besoin à la fois connaître et montrer que vous faites tout ce qui pouvait raisonnablement s'attendre à sécuriser les données personnelles des employés, qui est à votre charge.

Et pourtant, malgré toutes vos sauvegardes, le jour viendra où quelque chose va mal dans une perspective d'entreprise. Vous ne pouvez absolument réduire considérablement la probabilité et l'ampleur de toute exposition, mais quand plus de 90 millions de disques ont été perdus ou volés à des milliers d'organisations en seulement 18 mois, tôt ou tard, presque tout le monde de données sera compromise. Lorsque cela se produit, vous avez besoin de passer du jour au lendemain en mode de récupération, et être prêt à rouler en action rapide.

Mais pas seulement rapide - votre réponse doit être globale et efficace, comportant notamment les éléments suivants:

o Une communication claire et volontariste - d'abord aux employés, puis au public.

o La communication doit dire ce qui s'est passé, qu'un petit groupe de travail, le pouvoir a été marshalé que temporaire "lock down" des procédures sont en place pour prévenir d'autres une exposition similaire, que l'enquête est en cours, que les employés touchés recevront l'assistance au recouvrement et remboursement des frais de recouvrement et les services de surveillance pour prévenir les vols d'identité réelles à l'aide des données compromises.

o Bien sûr, toutes ces déclarations ont besoin pour être vrai, alors:

o Un groupe de travail des RH, TI, sécurité et gestion des risques professionnels et les gestionnaires doivent être identifiés et formés, et les procédures d'un «appel à l'action» défini - à l'avance.

o Ils doivent être habilités à mettre en œuvre des procédures de verrouillage temporaire sur les données personnelles des employés. Procédures pour les scénarios probables (perte ordinateur portable, la perte de sauvegarde sur bande, la rupture de connexion réseau, le vol de fichiers RH physiques, etc) doit être prédéfinie.

Modèle de communication o - aux employés, partenaires et presse - devrait être rédigée.

o qualifiés des services d'enquête doivent être sélectionnés à l'avance

o Expert identité de récupération des ressources vol d'identité et d'assistance des services de vol menaces de surveillance doivent être évaluées et sélectionnées à l'avance.

Rien n'est plus important pour protéger votre entreprise à une réponse bien planifiée et efficace dans les premières 48 heures de l'incident. Si vous n'êtes pas préparé et pratiqué longtemps à l'avance, ce sera impossible. Si vous êtes, il peut effectivement être une expérience positive de relations publiques, et va considérablement réduire les impacts de satisfaction juridiques, financiers, et l'employé.

Le vol d'identité n'est pas un feu de paille - il est intégré dans la façon dont le monde fonctionne, et cela augmente non seulement le risque, mais aussi les dégâts. Les entreprises sont particulièrement à risque, car, par nécessité, ils exposent les données de leurs employés à d'autres employés et à leurs fournisseurs et partenaires, et ils portent la responsabilité du risque que cela crée. Ceux qui sont en SIRH, dont la fonction spécifique est la gestion des "données de personnes", doit prendre en charge cette responsabilité nouvelle, et s'assurer que leurs entreprises sont aussi sûrs et aussi prêt que possible....