Como proteger la información de tus eventos

Como proteger la información de tus eventos

Como proteger la información de tus eventos

La ciberseguridad en los eventos debe estar en el radar de todos, y el sector de los eventos aún más, ya que es increíblemente vulnerable a los ciberataques dada la cantidad de información que se maneja. Tenemos por ejemplo: nombres de ejecutivos, cargos, direcciones de correo electrónico, números de teléfono, números de móvil personales, itinerarios de viaje y reservas de hotel. Toda esta información es una mina de oro para los piratas informáticos, porque todo lo que necesitan es un par de datos legítimos para tener éxito en el phishing. Los hackers son capaces de hacer que un correo electrónico parezca un correo legítimo procedente de un registro, pero en realidad, podría llevarte a una página web que toma el control de tu ordenador. En este artículo veremos como proteger la información de tus eventos.

En 2022, se produjeron 1.774 filtraciones de datos solamente en Estados Unidos. Y aunque 1.774 puede que no sea una cifra asombrosa, se calcula que esas filtraciones afectaron a 422.143.312 personas. La ciberseguridad para organizadores de eventos es un tema recurrente porque las amenazas cibernéticas son interminables y cada vez más complejas.

A partir de aquí nos surge la pregunta ¿Qué medidas le darías a un organizador de eventos para ayudarle a protegerse contra las amenazas de ciberseguridad en los eventos? No te preocupes, aquí te enumeramos unas pautas clave para comenzar:

1. Protege la información con un gestor de contraseñas

El primer consejo del día: «Lo primero que puedes hacer para protegerte es tener un gestor de contraseñas». Es muy fácil y mucha gente que no lo usa piensa que puede ser engorroso y complicado, pero la realidad es que es muy sencillo e intuitivo además de ofrecer ventajas como por ejemplo un a generador aleatorio de contraseñas que las almacena automáticamente y así no tienes que recordarlas.

La primera forma en que se es vulnerable al pirateo de contraseñas es reutilizándola. La oficina del fiscal general de Nueva York descubrió que los usuarios reutilizan las contraseñas para hacer frente a tantas cuentas online. Pero los hackers saben que una contraseña en un sitio es probable que funcione en otros, lo que convierte la reutilización de contraseñas en un comportamiento de alto riesgo. Así que cuando la gente dice: ‘Mi Instagram ha sido hackeado’, es en algunos casos porque han reutilizado esa contraseña en otro sitio.

Así que en cuanto hackean (una plataforma), toman esas contraseñas y las comparan con bancos, tarjetas de crédito, Google, Microsoft, Apple, Teams, Zoom y un largo etcétera.

Es posible que muchos event planners que trabajan con herramientas online sólo hayan adquirido una cuenta que permita un solo acceso o, puede que no tengan cuentas individuales para cada persona que trabaje en el desarrollo del evento. Un gran problema con esto es que puede que incluso establezcas una contraseña segura, pero la copies y pegues para compartirla. Eso es igual de peligroso porque no sabes lo que esa persona está haciendo con la contraseña. Una de las características favoritas de los gestores de contraseñas es la posibilidad de compartirlas sin que la otra persona tenga acceso a ellas.

Imagina esta una situación: Estar en una mesa de inscripción con ordenadores, y ver el nombre de usuario y la contraseña en una nota adhesiva junto al portátil.

Es importante utilizar gestores de contraseñas para distribuir el acceso a cualquier cuenta y, en cuanto acabe el evento, revocar el acceso. Estos gestores, suelen ofrecer la posibilidad de cambiar las contraseñas con un solo clic.

2. Configura la autenticación de dos factores

El siguiente consejo es que configures la autenticación de doble factor en todo lo que te sea posible. Se trata de utilizar «algo que sabes» y «algo que tienes» para añadir una capa de protección a tus cuentas.

Como mínimo, configura la autenticación de dos factores por mensaje de texto (aunque no siempre es la forma más segura de hacerlo). Utiliza en la medida de los posible la propia configuración de la plataforma que uses: Zoom, Crowdcomms, etc. y activa la autenticación de doble factor. Hay aplicaciones como Authy o Dashlane, un almacenamiento basado en la nube de tus códigos de autenticación de dos factores. Siempre estás cambiando comodidad por seguridad, así que tenlo en cuenta. Cuanto más cómodo es algo, menos seguro suele ser.

Por supuesto que no recomendamos nunca guardar contraseñas en un navegador. Los principales navegadores te ofrecen guardar tus contraseñas casi por defecto pero imagina que tienes todo en una sola plataforma como Google y eres víctima de un pirata informático… podría ser nefasto, entonces ¿Por qué no guardarlas en otra aplicación? Google y Microsoft cuentan con una aplicación propia de autenticación.

Como apuntamos antes, una notificación vía mensaje de texto puede no ser suficiente. Los SMS no son lo más seguro. Una de las ventajas de tener que rehacer todas las contraseñas en un gestor de contraseñas es descubrir cuántos sitios han añadido la autenticación de dos factores. Merece la pena volver a comprobar tus cuentas bancarias, gestores de correo, plataformas de registro, Zoom, etc.

Por último, un ajuste sorprendente que puedes hacer es obligar a tus usuarios a tener autenticación de dos factores. Esto es menos común, pero lo estamos notando en algunas plataformas como Crowdcomms.

3. Valora las Integraciones

Sugerimos que consideres las integraciones como un punto débil de la ciberseguridad para los planificadores de eventos. Por ejemplo, si tienes un sistema de registro y una integración con Google Sheets para autoexportar, asegúrate de conocerlas y considera desactivarlas cuando no las necesites. Márcate una tarea cuando estés cerrando un evento para borrar los datos y desactivar las integraciones.

A medida que Twitter ha ido implosionando poco a poco, es evidente que han ido despidiendo a muchos de sus ingenieros. Las cosas se han estado rompiendo a diestra y siniestra. Una de las cosas que pueden romperse fácilmente son las integraciones. Si esas integraciones no se mantienen, se vuelven menos seguras.

4. Evalúa la seguridad como una característica

Trata la seguridad como cualquier otra característica de las herramientas on-line. No dudes en preguntar, solicita o busca más información cuando las cosas no estén claras y ve más allá del bombo publicitario.

A la hora de examinar las herramientas iniciales, habla de la seguridad como una característica más. Muchas veces, si utilizas herramientas de bajo presupuesto, son las que pueden estar ahorrándote un dinero pero también pueden tener problemas de seguridad.  Ten en cuenta que las herramientas que utilizas son fundamentales para tu tranquilidad y la de los usuarios.

5. Considera el Factor Humano

El informe 2022 Data Breach Investigations Report de Verizon reveló que el 82% de las brechas estudiadas estaban relacionadas con el elemento humano, lo que significa que las personas eran el principal motor de las brechas de seguridad

Muchas veces pensamos: ‘Tengo un gestor de contraseñas, tengo un cifrado de nivel militar’, pero muchos de estos ataques se producen por errores de los usuarios.

La principal forma de ser hackeado es reutilizar contraseñas, ¿verdad? La ingeniería social es la segunda forma de pirateo. Según la Universidad Carnegie Mellon, la ingeniería social es una táctica que pretende manipular o engañar a la gente para obtener acceso a un sistema informático o robar información personal. Ya no se trata de ataques de fuerza bruta por la puerta principal, sino de ataques por la puerta lateral y cada vez son más sofisticados.

La única manera de solucionar este tipo de casos es mediante la formación: Entender el entorno y que estos incidentes están ocurriendo, cómo identificarlos y cómo sentirse precavido ante cualquier situación.

Hay muchas organizaciones que ofrecen cursos de concienciación sobre seguridad. Por ejemplo si buscas en Google ‘best security awareness training’ encontrarás una gran oferta. Por ejmplo, uno que realmente nos gusta es un servicio llamado Riot. Se conecta a tus cuentas de Google y Slack, sabe automáticamente cuándo llegan nuevos empleados y lo configuras para que se incorporen con módulos de formación de concienciación.

Riot también te permite simular ataques de phishing, lo que te ayuda a evaluar a tu equipo en busca de puntos débiles. Tú dices qué herramientas utilizas y Riot envía intentos de phishing falsos. A continuación, Riot recibe una notificación cuando alguien hace clic o incluso abre el correo electrónico, y puede activar la formación en función de ello. Riot es gratuito para 10 usuarios. Así que regístrate, activa a tus 10 usuarios más vulnerables en él, haz una prueba, y con los resultados aprovecha y apúntalos en la formación de sensibilización.

Educación. De eso se trata. Todo es cuestión de educación.

6. Mantente Alerta

Ten presente que la tecnología es dinámica y cambia constantemente, e spor ello que debes mantenerte actualizado en tendencias de Seguridad de la Información. Considera la posibilidad de suscribirte a un blog de tecnología y seguridad (puedes empezar por el boletín de la OSI o el INCIBE).

Hay frases desacertadas como: «¿A quién le importa quién me hackee? No tengo nada que ocultar». Es típico no darse cuenta de que los hackers podrían utilizar esa información para atacarte no sólo a ti sino a tu familia o allegados. ¿No sería devastador descubrir que alguien vació por completo la cuenta bancaria de tu madre? ¿Qué ocurre si tomas medidas inseguras que causan problemas a tu empresa? Lo mejor que puedes hacer es mantenerte alerta. Al igual que estás debes estar atento a lo que ocurre en tu comunidad o tu barrio, fíjate en lo que ocurre en el barrio por el que navegas durante varias horas al día, que es Internet.

Ofrece los productos y servicios más seguros ya que ante cualquier fallo, la responsable es tu compañía, los perjudicados tus clientes y una mala imagen en el mercado que te puede resultar a la larga, muy costosa de limpiar.

En Orquidea Technology Group ofrecemos diferentes servicios y todos ellos basados en herramientas Top con certificaciones de seguridad en la información tales como:  ISO27001, SOC 2 y PCI. Además y nuestra propia compañía está certificada en ISO27001 por lo que puedes confiar en que la información de tus eventos está asegurada!

 

Basado en un episodio de Event Tech podcast. By Will Curran