Protección de datos en la organización de eventos corporativos: ¿Cómo protegernos?

Protección de datos en la organización de eventos corporativos: ¿Cómo protegernos?

Tras la entrada en vigor la pasada primavera de la nueva Regulación Europea de Protección de Datos (RGPD) y el impacto que ésta tiene en el sector, MPI Iberian Chapter os invita a asistir, de la mano de Eventcase, a una interesante sesión sobre los retos de la tecnología, la protección de datos en eventos y la experiencia desde el INCIBE (Instituto Nacional de Ciberseguridad) como máximos expertos en ciberseguridad de España.

Los datos personales son el elemento más sensible y valioso que las grandes organizaciones quieren proteger. ¿Dónde están sus puntos débiles? ¿Cómo podemos construir un entorno tecnológico seguro para los eventos corporativos? Son muchas las preguntas que surgen y por ello explicaremos cuáles son los retos más importantes a los que se enfrentan las grandes corporaciones desde el punto de vista de la seguridad. Cuáles son las amenazas reales y las herramientas disponibles para defendernos.

Ponentes:

• Oscar García, Vicepresidente Formación MPI Iberian Chapter y CEO Mice The Cloud

• José Bort, CEO de Eventscase

• Felix Barrio, Gerente. Industria, I+D y Desarrollo de Talento del INCIBE

En nuestra industria, la tendencia es que la tecnología se vuelva un jugador muy importante en el desarrollo, ejecución y éxito de un evento.

Hablamos de las últimas tendencias:

Hablamos de blockchain – (video de explicación) 
https://www.xataka.com/criptomonedas/bitcoin-blockchain-y-criptomonedas-explicado-de-forma-sencilla-y-en-video .

El Blockchain es la tecnología del bitcoin o moneda virtual, permitiendo así la transferencia de datos digitales.// El Blockchain es una tecnología que permite la transferencia de datos de una manera completamente segura gracias a una codificación muy sofisticada.

Realidad Virtual –  es un entorno de escenas u objetos de apariencia real. La acepción más común refiere a un entorno generado mediante tecnología informática, que crea en el usuario la sensación de estar inmerso en él.

Realidad Mixta - también llamada a veces realidad híbrida, es la combinación de realidad virtual y realidad aumentada. Esta combinación permite crear nuevos espacios en los que interactúan tanto objetos y/o personas reales como virtuales.

Reconocimiento Facial – Para acceso y registro en eventos y como complemento a la seguridad del evento, incluso usado para analizar la satisfacción de los asistentes en tiempo real para recopilar datos y obtener un retorno de la inversión de una forma de lo más inmediata posible.

• Por seguridad

• Por inmediatez

• Por recopilación de datos

• Por obtener feedback de manera instantánea

  Chatbot – para interacción con los participantes. Para automatizar una conversación inteligente (por voz o texto) mediante consultas personalizadas. Ofrece a tus consumidores una experiencia única y personalizada.

  

  Ciudades inteligentes – Smart city pasa por ser aquella ciudad capaz de utilizar la tecnología de la información y comunicación (TIC) con el objetivo de crear mejores infraestructuras para los ciudadanos. Desde transporte público, pasando por ahorro energético, sostenibilidad o eficiencia en todos sus aspectos.

  SEGURIDAD DIGITAL by Eventscase

• Los antivirus detectan sólo el 50% de los virus que recibimos.

  Qué debemos pedir al proveedor TECH (Website, Registro, check-in in situ, aplicaciones móviles, 1 a 1)

• Se pueden realizar tests de seguridad (external perimeter security y pentesting* (o test de penetración). Pentesting o Penetration Testing es la práctica de atacar diversos entornos con la intención de descubrir fallos, vulnerabilidades u otros fallos de seguridad, para así poder prevenir ataques externos hacia esos equipos o sistemas)

• ¿Son las APIs públicas o privadas?

• ¿Qué información puede obtenerse del API? ¿Es información sensible?

• ¿Ha realizado un test de seguridad en el último año?

• ¿Están trabajando actualmente en resolver algún problema de seguridad que pueda ser encontrado en el Open Web Application Security Project (OWASP)?

• ¿Has contratado algún tipo de firewall (Amazon WAF o cloudflare) para protegerte de ataques de denegación de servicio?

• ¿Tienen la IP del servidor masked por un balanceador intermedio?

¿Cómo saber si tengo un sistema seguro?  Contratar hackers para intentar hackearte /  Permitir a clientes que te testeen.

¿Por qué importa la ciberseguridad?

El asistente asume que el evento es Seguro (tanto física como digitalmente hablando)

NO quieres que tus datos y sistemas se puedan robar.

Mantener tu reputación

Necesitas servicio 24/7

RESPONSABLE DE TRATAMIENTO (DATA PROCESSOR) VS TITULAR DE LOS DATOS (DATA CONTROLLER)

• Responsable de tratamiento: Plataformas CRM, herramientas de contabilidad… ofrecen utilidades para que puedas cumplir con la GDPR de cara a tus clientes.

Titular de los datos: ¡Tu! Organizador del Evento - Los datos son tuyos y tienes la responsabilidad de manejarlos adecuadamente de cara a tus clientes (los asistentes)

*Pentesting o Penetration Testing es la práctica de atacar diversos entornos con la intención de descubrir fallos, vulnerabilidades u otros fallos de seguridad, para así poder prevenir ataques externos hacia esos equipos o sistemas)

Análisis de riesgos y Seguridad de los datos: Se han de tomar medidas suficientes de seguridad tanto a nivel tecnológico como administrativo.

Consentimiento: Debe de quedar claro que se van a usar los datos de los usuarios (punto por punto) -> damos herramientas para que puedas obtener el consentimiento punto por punto y guardarlo.

ALGUNAS CLAVES GDPR

Portabilidad / Acceso / Borrado: Se deben de dar mecanismos para que cualquier usuario pueda obtener una copia de sus datos en un formato legible que pueda ser usado para mudarse a otro sistema. Así como borrar sus datos.

Cuantos más sistemas diferentes usemos para gestionar los datos más complicado será el proceso.

BUENAS PRÁCTICAS DE SEGURIDAD Y PRIVACIDAD

• Identifica los flujos de información y como se transmiten datos dentro y fuera de tu organización.

• Identifica los diferentes roles de tus empleados y define claramente a qué tipo e información puede acceder cada uno y pon medidas.

• Cuidado con el eslabón más débil - ¿Guardas tus contraseñas en un Excel?

  La manera más sencilla de robar tus datos y acceder a cuentas es usando ingeniería social*.

• La formación de tus empleados en medidas básicas de seguridad y privacidad debería de ser el primer paso en cualquier empresa que gestione datos.

• https://protecciondatos-lopd.com/empresas/datos-especialmente-protegidos-sensibles/

  “La Ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos”.

  
  

  REGLAMENTACIÓN GENERAL DE PROTECCIÓN DE DATOS:
  
  INCIBE - Sociedad Estatal dependiente de la Secretaría de Estado para la Sociedad de la Información y la Agencia Digital que lidera diferentes actuaciones para la ciberseguridad a nivel nacional e internacional.
  
  Aquí comparto su enlace con diferentes casos de éxito (videos de 2/3 minutos) para información. https://www.incibe.es/protege-tu-empresa/que-te-interesa

• 

  PRINCIPALES CAMBIOS

• Se impulsa un marco autónomo de Ciberseguridad Europeo proactivo y no reactivo.

• Se mejoran las capacidades de respuesta y resiliencia mediante un escalamiento europeo y una estructura clara de coordinación.

• Se adopta un esquema de armonización del mercado único de ciberseguridad mediante un marco normativo y de certificaciones.

• Se asegura la participación de todos los actores claves a nivel europeo, la UE, los Estados Miembros, la Industria y los Ciudadanos.

• Se dispone de un marco legal que habrá que detallar y sobre el que profundizar para aprovechar su potencial.

  En resumen:

• Tener un software seguro.

• La responsabilidad cae en el organizador de evento.

• Datos Sensibles: Raza, Sexo, Sexualidad, Religión, menores, … hasta ALERGIAS ALIMENTICIAS.

• Creación de política de supresión de datos del cliente y del proveedor de software.

• MULTAS: desde el 4% de la facturación total o hasta 20 millones €.

• EL FUTURO: CREACIÓN DE LA FIGURA DELEGADO DE PROTECCIÓN DE DATOS EN LOS EVENTOS: CONTACTO PARA CONSULTORÍA – EXPERTOS: https://qalma.es/auditoria/proteccion-de-datos_rgpd/ - Miembro TAG:Raquel Torres Vega -rtorres@qalma.com / www.qalma.es)