- El sector del turismo tiene una oportunidad de oro para dar un salto cualitativo en su oferta. La ciberseguridad ofrece una oportunidad única para diferenciarnos de otros destinos, ¿por qué no exhibimos la bandera de seguridad en los datos?.
La pandemia y la consecuente crisis ha provocado que muchas empresas y sectores se hayan ‘olvidado’ o dejado en otro plano más relegado aspectos como la seguridad de la información. El compromiso de Dingus con la ciberseguridad, sin embargo, no sólo se ha mantenido como uno de los pilares del negocio para nosotros y nuestros clientes, sino que ha elevado su posición en el ranking de prioridades. Mientras pretendemos seguir aplicando los estándares más exigentes en la materia (nacionales e internacionales) hemos pedido a los expertos que compartan su conocimiento y, de esta forma, podamos afrontar el momento y los retos de futuro con más información y garantías. Esta es la primera charla – entrevista de una serie con la que buscamos aprender para decidir, saber para actuar y conocer para reforzarnos.
¿Cómo valorarías la crisis que estamos viviendo en términos de ciberseguridad?
Siempre que puedo utilizo pocas estadísticas sobre el número aproximado de ciberataques, fraude online, costes de recuperación, etc. Al fin y al cabo, provienen de estudios más o menos fiables, muchos con la intención de vender productos. Así que te voy a dar un claro ejemplo de cómo está la cosa… En lo que va de año nos han hecho más peticiones para resolver asuntos de fraude online que nunca. Verás, la percepción de las pequeñas y medianas empresas ante los ciberataques es muy lejana. Lógicamente los medios hablan sobre ataques a grandes multinacionales por su relevancia, pero nunca de un incidente sucedido en una empresa pequeña. Curiosamente esta práctica aumenta el peligro de las pymes a sufrir ataques o fraudes online, pensando que les queda muy lejos.
En cierta manera lo hemos visto con el coronavirus, que empezó en China y lo veíamos tan lejos que hasta opinábamos con ignorancia de lo que sucedía. Pues bien, los ciberdelincuentes aprovechan el momento que vivimos para extorsionar y robar a sus víctimas con más facilidad que nunca. Constantemente recibimos correos, sms o enlaces a páginas web relacionados todos ellos con el Covid-19. Por ejemplo: test de autoevaluación del Ministerio de Sanidad, consejos por WhatsApp, compra de mascarillas e incluso ofertas de trabajo falsas. Imagino el estado en el que se encuentran muchas personas y por ello, incluso estando un poco alerta a ello, caen en alguna de estas trampas.
Lo peor se encuentra ahora mismo con el fraude de facturas falsas. Recibimos un correo de algún proveedor pidiendo el ingreso de una factura pendiente, a una cuenta de un banco situado en otro país. Asusta la finura con la que realizan el correo, utilizando nombres de contactos y empresas reales, demostrando conocimiento de la empresa víctima del fraude. Siempre duele perder dinero por un fraude de este tipo, pero con los tiempos que corren… Así que, respondiendo a la pregunta inicial, los ciberataques han aumentado sensiblemente y se espera que empeore a lo largo de este año y el que viene.
¿Y la protección de datos?. ¿La emergencia está sirviendo de excusa para la vulneración de derechos o la relajación de las obligaciones?
La Agencia Española de Protección de Datos está ciertamente atareada estos meses. Nunca hemos vivido una época donde la colisión entre derechos fundamentales y la privacidad de los datos queda tan patente. Desgraciadamente tenemos que elegir en esta ocasión entre factores como la salud pública, los deberes como ciudadanos, el estado de emergencia o el bienestar de los trabajadores, y la protección de los datos personales, la privacidad y el derecho a la intimidad. Al final cuando existe una colisión de derechos, debemos elegir cuál el que merece mayor protección y, en este sentido, la Agencia de Protección de Datos ha defendido lo que ha podido la privacidad e intimidad de las personas.
La utilización de aplicaciones de rastreo que ha elaborado tanto el gobierno central, como algunos gobiernos autonómicos, ha generado mucha desconfianza entre ciudadanos y profesionales de la privacidad. De hecho, la Agencia de Protección de Datos se quejó de la falta de privacidad en el diseño de la aplicación (medidas para garantizar la privacidad antes, durante y después del desarrollo de la aplicación) pero el gobierno esgrimió falta de tiempo. Imagina si hubiera sido una entidad privada… En cualquier caso, reconozco que hay que hacer un acto de fe y pensar que la utilización de datos de rastreo y geolocalización va a ser segura. No me genera confianza que el desarrollo lo realicen empresas privadas, pero hay que exigir el máximo control ahora y sobre todo en un futuro. No olvidemos que muchos datos se almacenan servidores de dichas empresas.
Pero, el incremento exponencial del uso de datos de salud por cuestiones de seguridad sanitaria… ¿puede hacerse garantizando la confidencialidad de la información?. ¿Hay consciencia sobre el valor que tiene ahora su preservación?
Aquí tenemos que diferenciar entre la necesidad y licitud para el tratamiento de datos de salud, con la obligación de garantizar la confidencialidad de dichos datos. El Reglamento General de Protección de Datos ya regula la legitimidad en el tratamiento de datos de salud en situaciones de pandemia, en especial por parte de las autoridades. Ahora bien, en ningún momento esta licitud evita tomar medidas y garantizar la privacidad de los datos, por muy excepcional que sea la situación. Como he comentado antes, las apps de rastreo obviamente analizan los contactos y geolocalizan el móvil en caso de ser necesario. La aplicación Radar Covid, del Ministerio de Asuntos Económicos y Transformación Digital, dice explícitamente que no recoge datos personales de ningún tipo, ni geolocalización, ni la identidad de las personas con las que hayas podido estar en contacto. Parece que en este sentido el propio Ministerio ha garantizado la privacidad en un contexto tremendamente “goloso”. Fíjate que cantidad de datos podríamos extraer y utilizar para fines que no sean el propio control de la pandemia (costumbres de los usuarios, con quienes estamos más tiempo, movimiento que realizamos, etc.).
Lo más preocupante es el registro de clientes que acuden a locales de ocio, también utilizado en comercios, locales, etc. Es un ejemplo de la aplicación de una obligación normativa a raíz de la pandemia, incumpliendo varios principios de privacidad de los datos. Por ejemplo, tal y como dice la propia Agencia de Protección de Datos, ¿es necesario cumplimentar el nombre, apellidos, dni, teléfono, etc. para cumplir con dicha obligación?. Evidentemente no es así, bastaría con el número de teléfono, fecha y hora de entrada y salida, para poder efectuar una labor de rastreo en caso de necesidad. Hace pocas semanas acudí a un local y me pidieron los datos identificativos, DNI y firma para el registro de clientes. Aparte de incumplir el principio de minimización de los datos, pude ver en la hoja todas las personas que acudieron al local en los últimos días. Honestamente, no es tan complicado respetar la privacidad del cliente eliminando la posibilidad de identificarlo tan claramente.
El efecto del uso de técnicas de rastreo de móviles para control del coronavirus ha sensibilizado más a la gente. Es más, el hecho de dar los datos a empresas para control de visitas (para un eventual rastreo de contactos) provoca confusión y recelo. ¿Cómo afecta en el sector del turismo?, continuando lo que he comentado antes, pienso en los últimos años que el sector del turismo tiene una oportunidad de oro para dar un salto cualitativo en su oferta. Me explico: tenemos una abundante cantidad de obligaciones para garantizar la seguridad sanitaria, tales como controles de origen, protocolos de actuación, medidas de protección físicas o rastreo de clientes. El sector turístico ha hecho un gran esfuerzo en cumplir con toda la normativa y probablemente lo ha hecho en el caso de Baleares antes que nadie. ¿Qué me falta?. Pues precisamente poner en valor la seguridad y privacidad de los datos. Yo reconozco que no doy mucha confianza en el trato de los datos por parte de terceros, tal como la última aplicación que ayuda a registrar los clientes, y esa desconfianza aumenta cuando voy a otro país. ¿Por qué no exhibimos la bandera de seguridad en los datos?. Creo que es un factor muy importante para poner en valor, de cara a fomentar la llegada de turistas, garantizando no solamente un uso fiable y trasparente de los datos, sino seguros ante ciberamenazas. Creo que el impulso de la ciberseguridad en el sector turístico ha aumentado en los últimos años, sin llegar a un nivel deseable, pero ofrece una oportunidad única para diferenciarnos de otros destinos. No quiero nombrar otros países, pero imagínate qué confianza puede darte la utilización de aplicaciones que rastrean tus movimientos y contactos, en algún que otro destino no tan desarrollado.
Precisamente los mercados emisores en el sector turístico demandan la seguridad de la información de forma cada vez más estricta a los receptivos o intermediarios. ¿Cómo lo afrontan estos y en concreto qué hace Hitt Group (Dingus y Etoolinnovation)?
Desde la entrada en vigor de la GDPR ha habido un aumento de la fiscalización por parte de clientes, acerca del uso y medidas de seguridad aplicadas a los datos. En la mayoría de los casos se lleva a cabo mediante cuestionarios, algunos largos y tediosos, donde se realiza un tercer grado al proveedor de forma que garantice cómo se usan los datos. Desde el primer momento hemos defendido la certificación en normas internacionales, como la ISO 27001, para que esa fiscalización no sea necesaria. Si tenemos dicha certificación, es porque un tercer organismo independiente o entidad certificadora (SGS, AENOR, Tüv-Nord, etc.) ya verifica y certifica que cumples con un estándar de seguridad de la información. Esta práctica está extendida desde hace muchos años en el continente americano y en menor medida en el asiático, donde las certificaciones internacionales gozan de gran prestigio y hacen que juegues, literalmente, en una liga u otra.
Obviamente los mercados emisores del norte y centro de Europa también verifican la seguridad mediante normas como la ISO 27001, aunque debo decir que es una práctica menos extendida en nuestro país. Han salido normas paralelas como el TISAX, para garantizar la seguridad de la información en el sector de la automoción, y no olvidemos la PCI DSS para la seguridad de las tarjetas de pago. Pues bien, con la norma ISO 27001 tienes en todos los casos entre un 85% y 90% de cumplimiento de las normas comentadas. En el caso de Dingus, la certificación desde hace años en la norma ISO 27001 le ha permitido afrontar escaladas en auténticas montañas como la PCI DSS, en variables como la cultura de la seguridad de la información en la empresa, su gestión desde la dirección de la empresa o la aplicación de controles de seguridad en sus sistemas y sedes físicas. Puedes imaginar la eficiencia que ha supuesto para Dingus la implantación de otras normas, minimizando los costes globales, y permitiéndoles alcanzar nuevos objetivos estratégicos.
Xavier Ferretjans
Responsable de nuevas tecnologías en Binaura Monlex
Asesor de seguridad de la información en Dingus
“Llevo muchos años aportando mi experiencia y trabajo en Dingus, apoyándoles en materia de seguridad de la información, y tengo que decir que es gratificante ver cómo han ido creciendo en este sentido. No fue fácil comenzar a andar la travesía de implantación de la norma ISO 27001, pero el convencimiento que tienen de su utilidad les ha permitido aumentar su alcance a mercados más curtidos en la utilización de estándares internacionales. Aunque lo más importante, y es un factor sobre el cual insisto muchísimo desde el primer momento, es el convencimiento de su utilidad interna y externa. Dingus optó por certificarse con la norma, pero su objetivo fue siempre mejorar la seguridad de la información en todos sus procesos y, ya que han hecho el esfuerzo, se certificaron para poder demostrarlo. Así pues, ese compromiso nace desde la propia dirección y se extiende a los trabajadores, transmitiéndolo a sus clientes, proveedores y aliados. Créeme que no ha sido un camino fácil ni sencillo…”
