El principal recurso para exhibición. y profesionales de la industria de eventos

Otra mirada a la seguridad y privacidad de los datos en eventos

Publicado por Michelle Bruno el 13 de septiembre de 2019

Una sección especial presentada por

IAEE_HorizontalLogo_COLOR_RGB

Históricamente, la seguridad y la privacidad de los datos no han sido altas prioridades para los organizadores de eventos. Muchos no se sienten particularmente vulnerables porque la incidencia de filtraciones de datos asociadas con eventos es baja. Esa postura está cambiando.

A medida que la industria de las reuniones se transforma digitalmente, más proveedores producen y procesan más datos. Las nuevas regulaciones ponen a las organizaciones que no las cumplen en peligro legal y financiero y el robo de datos fuera de la industria de eventos ocurre diariamente. Es hora de analizar dónde residen las vulnerabilidades y cómo preservar la integridad, la transparencia y la reputación de la industria.

Señalar las debilidades

Hugh K. Lee, presidente de Fusion Productions, con sede en Rochester, Nueva York, y de la conferencia anual digitalNow, ha enfatizado a los líderes de la asociación la importancia de la seguridad y privacidad de los datos durante más de una década, diciendo que es "fundamental para su función de confianza, marca, comunidad y contenido. Pero como el software y los dispositivos de los eventos actuales están tan conectados, los datos pasan más fácilmente de una plataforma a otra y los organizadores pueden perder el control fácilmente.

"Cuando los datos se conectan dos o tres veces, no se sabe si están siendo pirateados o cómo se están utilizando", afirma Lee.

Él cree que las reuniones de asociaciones son objetivos particularmente valiosos porque cuando se reúnen se recopila mucha información deseable sobre una población específica de individuos.

"Piensa en lo que quieren [los malos actores]", dice Lee. "Quieren nombres, direcciones, ciudadanía, intereses, información de viajeros frecuentes, preferencias alimentarias, alergias, intereses especiales y ese tipo de cosas".

Incluso la programación de las reuniones (temas de las sesiones y oradores) tiene valor para los posibles disruptores, afirma.

Podría decirse que las reuniones corporativas, como las conferencias de grupos de usuarios, están aún más expuestas, dice Debbie Chong, abogada especializada en cumplimiento normativo y privacidad y cofundadora y directora ejecutiva de Lenos Software, con sede en San Francisco. No son sólo las tarjetas de crédito, el pasaporte, la licencia de conducir y otras formas de identificación que a menudo se recopilan para verificar y calificar a los asistentes lo que atrae la atención de los piratas informáticos.

"La información de la vivienda puede suponer un riesgo desde el punto de vista de la seguridad y las balizas Bluetooth que capturan información como con quién se reúne y dónde son muy valiosas para los competidores, además de invadir la privacidad", afirma Chong.

Arriesgar ingresos y reputación

Según Frank Schettini, propietario de la consultora de transformación empresarial y digital FAS Concepts, con sede en Filadelfia, y ex director de innovación de ISACA (anteriormente conocida como Asociación de Auditoría y Control de Sistemas de Información), eventos están en riesgo en dos frentes.

"Si su organización realmente no se preocupa por la seguridad de sus datos y se hace pública, la probabilidad de que el evento sea exitoso no sólo desde una perspectiva de ingresos, sino también desde una perspectiva de reputación es muy sospechosa", afirma.

El clima regulatorio también se está calentando. El Reglamento General de Protección de Datos (GDPR) de la Unión Europea ha impactado las políticas y prácticas de privacidad de datos en organizaciones y empresas de todo el mundo. Las organizaciones que se considere que no cumplen se enfrentan a fuertes multas.

"La Oficina del Comisionado de Información del Reino Unido (ICO) multó a British Airways con una propuesta de $230 millones de dólares por un incidente que tuvo lugar de junio a septiembre de 2018 y comprometió los datos de 500.000 clientes", según un CNBC.com informe. "La ICO le dio a Marriott una multa propuesta de $123 millones por la pérdida de 339 millones de registros de huéspedes, reportada en noviembre de 2018".

GDPR es una de varias medidas regulatorias que los gobiernos están tomando. La Ley de Privacidad del Consumidor de California (CCPA) es “más estricta y difícil de rastrear” que el GDPR, dice Schettini. Según la nueva ley de California, las organizaciones “literalmente tienen que decirle a todos qué datos tienen, describir cómo los van a usar, darles [a los usuarios] una opción sobre cómo cambiar cómo se pueden usar los datos y cada año informarles cómo hacerlo”. los datos fueron utilizados”, explica. Los sistemas de vigilancia biométrica, como el reconocimiento facial (una tecnología de eventos emergente) están siendo examinados o prohibidos en algunas ciudades importantes, incluida San Francisco.

La recopilación de datos dentro y alrededor del evento físico no es el único riesgo que enfrentan los organizadores del evento. Los especialistas en marketing de eventos suelen crear perfiles de los visitantes del sitio web mediante “cookies”, datos almacenados en el dispositivo de un usuario mediante un navegador web. El RGPD exige que se divulgue el uso de cookies y que los visitantes del sitio web opten por ser rastreados. El problema, dice Chong, es que hay muchos tipos de cookies y las organizaciones no siempre son claras al respecto en sus divulgaciones. También considera desconcertantes prácticas como colocar la herramienta reCaptcha, propiedad de Google, en sitios web de eventos corporativos. El software ayuda a los propietarios de sitios a controlar quién utiliza el sitio (humanos o robots), pero también permite a Google capturar datos de los usuarios y utilizarlos de acuerdo con la política de privacidad de Google.

Casi todos los propietarios de eventos recurren al menos a un tercero, como empresas de gestión de eventos y proveedores de tecnología para eventos. Si bien el RGPD exige que los controladores de datos (propietarios) cumplan tanto como los procesadores de datos (terceros), muchas organizaciones no tienen los recursos o la experiencia interna para examinar adecuadamente las soluciones de terceros.

“Tener una comprensión clara de cuáles son las amenazas potenciales y seguir diciendo: 'Voy a hablar con mi tercero sin hacer preguntas' me dice que estás tirando los dados”, dice Lee. “Un día, si surge un problema, estarás en problemas. Podría acabar con una asociación o un espectáculo”.

Identificar vulnerabilidades

El Wi-Fi para eventos es probablemente el mayor punto débil del sitio, dice Schettini. Incluso las redes Wi-Fi fortificadas de conferencias de hackers como Black Hat son pirateadas, añade. El registro in situ en un entorno no seguro, por ejemplo, puede proporcionar a los piratas informáticos la tarjeta de crédito, la identificación personal y los datos demográficos de los asistentes. Los dispositivos de bolsillo llamados Wi-Fi Pineapples, desarrollados originalmente para detectar las vulnerabilidades de las redes inalámbricas, también pueden facilitar la recopilación de información personal confidencial de participantes desprevenidos en eventos a través de redes Wi-Fi no seguras o de fácil acceso.

Los malos actores pueden capturar información de seguimiento de los asistentes transmitida desde balizas de proximidad y lectores de identificación por radiofrecuencia (RFID) al software basado en la nube a través de Internet si también obtienen el número de identificación del registrante.

"Siempre que una industria se reúne con personas clave e información clave sobre productos futuros, innovación o vías de I+D, las identificaciones digitales se convierten en un objetivo valioso", dice Joe Colangelo, director ejecutivo y cofundador de Bear Analytics Inc, con sede en Arlington, Virginia. .

Otras formas de comprometer los datos del evento incluyen la suplantación de identidad, "obtener acceso a información clave de registro haciéndose pasar por un funcionario del evento o de una empresa de tecnología de eventos para obtener información privada y confidencial sobre los inscritos", explica Colangelo.

Con los correos electrónicos de los registrantes, las estafas de phishing (envío de correos electrónicos diseñados para inducir a las personas a revelar información personal, como contraseñas y números de tarjetas de crédito) podrían causar estragos en un evento.

“Podrías imaginarte recibir correos electrónicos que digan: 'Te has registrado, pero tu pago no se realizó'”, dice Colangelo.

Los individuos no autorizados que deambulan por una conferencia representan otra amenaza. Las computadoras no seguras (en la oficina de la feria, por ejemplo) conectadas a la red del organizador de la feria o a los paneles administrativos de las soluciones de tecnología de eventos son puertas abiertas a todo tipo de información confidencial. Asimismo, los piratas informáticos pueden cargar malware o ransomware en la red de la organización utilizando una unidad USB en una computadora portátil desatendida. Las redes de área local (LAN) de los proveedores de tecnología también corren riesgo de manipulación. Se pueden colocar skimmers de tarjetas de crédito sobre los mecanismos de deslizamiento de tarjetas en los cajeros automáticos dentro de los lugares de eventos.

Superar obstáculos inherentes

La adopción generalizada de políticas y procesos de privacidad y seguridad de datos en la industria de reuniones es complicada. La tecnología está superando a la gobernanza y los propietarios de eventos se ven en apuros para resolver problemas (el pirateo generalizado de reuniones, por ejemplo) que no se han manifestado por completo.

"No puedo enfatizar lo suficiente [a los organizadores] que vivimos en un mundo donde el liderazgo en la era digital es muy diferente", dice Lee. "Se trata de tecnologías nuevas y disruptivas que aparecen a un ritmo más rápido que nunca".

El presupuesto también es un factor disuasivo. Se ha sugerido la tecnología blockchain como un remedio para dar a las personas más control sobre sus datos personales, y "sería una gran estrategia", dice Schettini.

“[Pero] la pregunta entonces es: '¿Qué aplicaciones existen que aprovechan blockchain o hay que hacer una compilación personalizada?' Porque, de nuevo, ahora hay que preguntarse cuánto va a costar”, añade.

El RGPD complica los esfuerzos de los propietarios de eventos para monetizar los datos de los asistentes. Si bien vender la información de contacto de los asistentes es imposible para muchos grupos, los datos de proximidad (qué asistentes visitaron un stand, cuánto tiempo permanecieron y qué estaban mirando) definitivamente todavía están sobre la mesa. Además, monetizar datos es Un objetivo importante de los propietarios de eventos corporativos: el software incluso coloca información sobre las reuniones individuales que tienen lugar durante el evento directamente en la plataforma de habilitación de ventas de la empresa para acelerar las conversiones de ventas. El RGPD hace que los procesos de recopilación y uso de dichos datos sean más engorrosos.

Las demandas de seguridad y privacidad de los datos pueden resultar abrumadoras para muchas organizaciones, especialmente para los propietarios de eventos más pequeños con menos recursos para abordar los desafíos. La mayoría todavía está tratando de hacer frente a la rápida aparición de las tecnologías digitales, la abundancia de datos que se recopilan y la capacitación y el personal necesarios para gestionar los acontecimientos en el siglo XXI. Seguir los datos a través de los distintos canales y proveedores puede parecer un ejercicio más para el que no están preparados.

Los esfuerzos intensificados para hacer que un evento sea más seguro también pueden traducirse en asistentes potencialmente descontentos y perdidos. Hacer que sea más difícil iniciar sesión en la red Wi-Fi de la conferencia, brindar a los asistentes contraseñas únicas para aplicaciones móviles que sean fáciles de olvidar y difíciles de recuperar y requerir múltiples formas de identificación para poder ingresar a un evento son buenas maneras de hacer que el evento sea más seguro. sino un caldo de cultivo para el descontento de los participantes.

Encontrar las soluciones

Un enfoque integral de la seguridad y privacidad de los datos requiere que los organizadores de eventos adopten una serie de medidas. La formación de los empleados debería ser una máxima prioridad. Los organizadores tienen que mostrar al personal “cómo evitar estafas y desinformación y a quién notificar”, dice Lee.

Cuando Frank Schettini trabajaba en ISACA, la organización realizó un ataque de phishing falso utilizando información de los empleados que se obtuvo fácilmente de Internet. Alrededor del 60 por ciento del personal abrió los correos electrónicos y entre el 25 y el 30 por ciento hizo clic en ellos.

"La formación sobre qué hay que tener en cuenta y qué evitar es realmente importante y no cuesta mucho dinero", afirma Schettini.

Las auditorías de seguridad de terceros pueden revelar vulnerabilidades graves. Exponen políticas y procesos asociados con la recopilación, el procesamiento y la visualización de información del cliente que violan los protocolos de seguridad y cumplimiento. Estos exámenes de las capacidades de seguridad de una organización también pueden producir informes, como los informes de Control de la organización de seguridad (SOC), un estándar aprobado por terceros para auditar los datos internos y la infraestructura de seguridad de una organización.

Comunicar información de manera adecuada y repetidas veces a los asistentes refuerza la confianza. Schettini aconseja que “algo tan simple como una explicación de cómo se utilizarán, recopilarán y compartirán los datos y las medidas que estamos tomando para protegerlos” debe confirmarse en un correo electrónico después del registro y nuevamente durante el evento. Chong señala que “los derechos de privacidad son diferentes a los términos y condiciones” y recomienda colocar dos declaraciones separadas que requieran el consentimiento del usuario en el sitio web del evento.

Elegir trabajar únicamente con proveedores que se toman en serio la seguridad y privacidad de los datos es un cambio de política que los organizadores también pueden hacer. La firma de Chong se adhiere a un modelo comercial de "Privacidad por diseño", que considera la protección de datos y la privacidad en el diseño e implementación de software, así como las prácticas comerciales de una empresa.

"Siempre ha sido nuestra posición que los datos de nuestros clientes pertenecen a nuestros clientes, y es su decisión si los comparten o no", dice.

Chong también aboga por reducir la cantidad de datos que las empresas de tecnología recopilan y almacenan.

"En Lenos, la información de la tarjeta de crédito de los asistentes va directamente a la compañía de la tarjeta de crédito y recibimos un token", explica.

La protección de los datos y la privacidad requiere diligencia y algunos recursos. Sin embargo, dice Schettini, también representa una excelente oportunidad para que las organizaciones de todo el ecosistema de eventos (planificadores y proveedores) construyan una ventaja competitiva: un grupo de trabajo de seguridad cibernética y privacidad de datos para toda la industria “que haga que los grupos admitan que hay un desafío, comiencen Comunicar y compartir las mejores prácticas es un buen paso inicial”, añade.

Hasta entonces, Lee ofrece a la industria un proverbio chino: "El mejor momento para plantar un árbol fue ayer, pero es hoy, así que plántalo hoy".

 

michelle bruno
michelle bruno

Michelle Bruno es escritora, bloguera y periodista tecnológica. Publica Event Tech Brief, un boletín informativo y un sitio web sobre tecnología de eventos. Puedes contactarla en michelle@brunogroup.com o @michellebruno en Twitter.

Compartir post

Estar al día

Artículos Relacionados

logotipo de la estación de blogs iaee

Estar al día

¡Únase a más de 15.000 seguidores dedicados a conocer los entresijos de la industria de exposiciones y eventos!