O que é PII em segurança cibernética?

Por
Twittar
Compartilhar
Compartilhar
Pin

Informações de identificação pessoal (PII) em segurança da informação são os dados que podem identificar um indivíduo direta ou indiretamente.

PII tem vários tipos diferentes de definições formais, variando por país e território. No entanto, o significado central do termo permanece inalterado.

A maneira mais comum de definir uma PII (de acordo com o Instituto Nacional de Padrões e Tecnologia [NIST] dos Estados Unidos) é – “Qualquer representação de informação que permita que a identidade de um indivíduo a quem a informação se aplica seja razoavelmente inferida por meios diretos ou indiretos.”

Da mesma forma, por atos de privacidade e proteção de informações pessoais, a definição formal é ajustada. Você pode consultar as abreviações de privacidade de dados relacionadas para explorar mais sobre elas.

A importância das PII na segurança cibernética 🔒

Segurança cibernética refere-se à proteção e defesa contra ataques cibernéticos. E, na maioria das vezes, envolve segurança da informação, onde o foco principal é proteger os dados armazenados em sistemas e organizações.

Portanto, saber o que é PII ajuda a entender quais dados estão sendo armazenados, o que precisa ser protegido, como pode ser melhor gerenciado e algumas outras coisas para ajudar a aumentar a segurança.

Normalmente, PII é sensível. Portanto, invasores mal-intencionados não devem colocar as mãos em tais informações. Qualquer PII coletada pode afetar o indivíduo no mundo real, não apenas no mundo digital.

Além disso, a privacidade desempenha um papel importante na capacidade de uma organização de lidar com dados pessoais. E as informações pessoalmente identificáveis ​​envolvidas são cruciais para refletir o jogo de privacidade de uma organização. Portanto, de uma forma ou de outra, é essencial proteger as informações no mundo da cibersegurança.

O que exatamente consiste em uma PII?

Embora tenhamos definido PII, como você pode entender que um dado pode expor a identidade de um indivíduo? 🤔

  Como desinfetar o mouse e o teclado

Para obter uma resposta para isso, você precisará saber que tipo de dados podem ser classificados como PII e os diferentes tipos de PII.

Não se preocupe; abordaremos ambos enquanto você lê.

Os exemplos incluem qualquer coisa que ajude a verificar a identidade de uma pessoa. Nem todo serviço ou organização coleta PII – portanto, os exemplos mencionados não são o que você fornece a ninguém na Internet.

Por exemplo, um processador de pagamento pode ter coletado algumas informações classificadas como PII e um serviço de e-mail pode ter armazenado outra coisa.

💡 As informações podem ser seu nome, sobrenome, data de nascimento, número da conta bancária, endereço residencial, CPF, informações médicas, foto facial, número do celular, e-mail, número do veículo, impressões digitais e muito mais.

Isso é verdade para quase todo o mundo, com pequenas diferenças quanto ao que é considerado (ou não) como PII.

Tipos de PII

As PII podem ser de dois tipos diferentes, identificadores diretos e indiretos.

Os identificadores diretos referem-se a informações exclusivas de um indivíduo, como número de identificação do governo, número da licença, número de telefone, número da conta bancária, etc.

Qualquer pessoa pode identificá-lo com base em apenas um identificador direto, por isso é considerado um tipo de PII.

E os identificadores indiretos (ou quase-identificadores) referem-se aos dados únicos que não podem ajudar a identificá-lo. Por exemplo, se você compartilhar aleatoriamente seu local de nascimento, não será possível localizá-lo ou conhecer quaisquer outros detalhes pessoais a seu respeito.

Vários identificadores indiretos juntos podem ajudar a identificar você. Ou talvez não? Depende…

Mais sobre tipos e classificação de PII

As Informações Pessoais Identificáveis ​​podem ser classificadas como – sensíveis e não sensíveis.

PII sensível: as informações geralmente não compartilhadas em uma plataforma pública e requerem consentimento para serem compartilhadas/armazenadas são consideradas informações confidenciais.

Coisas como seu nome completo, número do cartão de identificação, número da licença, informações do cartão de crédito, informações médicas, número de telefone e dados financeiros.

  14 cursos de hacking ético para se tornar um especialista em segurança

PII não confidencial: informações que podem ser extraídas sem o consentimento de um indivíduo de registros públicos ou da Internet.

Coisas como data de nascimento, sexo, religião e muito mais.

Além disso, você também pode categorizar PII como informações vinculadas e vinculáveis.

Algumas informações vinculadas podem incluir:

E todas as outras coisas incluídas com PII confidenciais.

Da mesma forma, informações conectáveis ​​são consideradas algo que pode ser reunido para ajudar a identificar o indivíduo.

Por exemplo, nome, CEP, sexo e local de trabalho.

E se as PII estiverem desprotegidas? 🔓

Considerando que você sabe que as PII são vitais para a segurança cibernética, não podemos deixar de nos perguntar: e se estiverem desprotegidas?

As informações pessoais que podem identificar um indivíduo são acessadas sem o seu consentimento por um invasor. Nunca se sabe; muitos ataques cibernéticos ocorrem todos os dias enquanto você lê isto. Então, não é algo que você pode descartar.

Engenharia social, ataques de phishing e muitas outras formas.

Os invasores cibernéticos podem usar PII para extrair mais informações, monitorar suas atividades online ou prendê-lo com roubo de identidade. E tudo isso é motivo de preocupação.

É sobre sua privacidade e segurança digital. Assim como você deseja manter sua atividade de navegação ou dados de pesquisa privados, as PII (sensíveis ou não) devem ser confidenciais.

Caso contrário, pode-se envolver rapidamente sua identidade em fraude ou enganá-lo para dar um resgate ou qualquer atividade ilegal. As possibilidades de invasores usarem as informações para extrair dados, dinheiro e ativos de você são infinitas.

Portanto, protegendo PII com as melhores medidas de segurança cibernética.

Como proteger PII?

As organizações e serviços com os quais interagimos são responsáveis ​​por proteger as PII que compartilhamos com eles.

Desde nosso número de telefone até nossas informações de pagamento e endereço, tudo deve ser privado e mantido em segurança para impedir qualquer acesso não autorizado.

  9 melhores fornecedores de SD-WAN para escolher em 2022

Aqui estão algumas das coisas que as organizações devem fazer para proteger as PII:

  • Informe os clientes sobre os dados que estão sendo armazenados.
  • Proteja os dados com criptografia para que as informações não sejam comprometidas, mesmo que haja uma violação.
  • Autenticação de dois fatores para proteger contas online.
  • Controle o acesso à informação para garantir a máxima privacidade.
  • As políticas de segurança cibernética devem ser implementadas para estarem prontas para a batalha para defender e garantir que pouco ou nenhum dano seja causado às informações armazenadas.
  • Anonymize os dados armazenados tanto quanto possível.
  • Proteja a rede com o melhor firewall de aplicativo da web.
  • Garantir que você tenha um Sistema de Gerenciamento de Segurança da Informação (ISMS) em vigor.

Numerosas outras coisas e práticas sutis levam a uma melhor segurança da informação e tratamento de dados em uma organização. No entanto, essas práticas básicas devem ser cumpridas para fornecer a melhor proteção para PII.

Além disso, você pode optar por não compartilhar alguns dados classificados como PII quando necessário. Isso deve aumentar muito mais a sua privacidade.

PII é crucial, mas nem todos os dados pessoais são

Claro, estamos lidando com dados “pessoais” aqui.

No entanto, o que é categorizado como “pessoal” pode ter alguns desvios, dependendo da lei/lei de privacidade do seu país. Embora quase todos os dados sejam tratados como mais sensíveis do que uma década atrás, alguns países têm classificações diferentes.

Por exemplo, compartilhamos nosso nome completo em todos os lugares, mesmo que seja um tipo de PII. Não podemos culpar nenhuma organização/serviço se um invasor usar nosso nome em outro lugar. Portanto, talvez você não precise se estressar com algumas informações que compartilhamos diariamente.

Além disso, deve-se verificar os regulamentos de privacidade e as leis de proteção de dados de seu país para saber o que é considerado sensível e como melhorar sua privacidade.

Em última análise, somos responsáveis ​​por proteger as PII, direta ou indiretamente. E, se pudermos ficar atentos aos nossos dados, as organizações poderão cuidar melhor das PII coletadas de nós.

Você também pode explorar alguns dos melhores podcasts de segurança cibernética para ficar à frente no mundo das ameaças digitais.