Image Image Image Image Image Image Image Image Image Image

TecnoHotel | Domingo 23 de Julio, 2017

Subir arriba

Arriba

Sin Comentarios

Ciberseguridad y transformación digital

Ciberseguridad y transformación digital

La Sociedad de la Información fuerza a las organizaciones a relacionarse de un modo diferente con los individuos. Empleados y clientes son los protagonistas de esta nueva revolución de la que todo el mundo habla. Ambos con un nexo común: la conectividad permanente.

Estar permanentemente conectados en un entorno digital es una realidad. Cada compañía aborda este hecho desde diferentes perspectivas, pero lo cierto es que hay cosas que nunca volverán a ser como antes. La disrupción en el modo de hacer las cosas es imparable y el desconocimiento o negación del hecho no va a evitar que nos enfrentemos a los potenciales problemas generados.

A mí me gusta llamar al fenómeno de las redes sociales, la democratización de la tecnología, porque independientemente del conocimiento que cada individuo tenga de la misma, lo que nadie puede negarle es el derecho a utilizar dispositivos tecnológicos potentísimos (un móvil de gama media de hoy, tiene más capacidad de proceso que un portátil medio de hace unos años), y aplicaciones de todo tipo que le permitan hacer un sinfín de cosas, empezando por socializar constantemente. Y es que esta es la primera causa por la que se compromete un sistema: la necesidad del ser humano de vivir en sociedad, de comunicar, de ser parte activa del grupo. El 83% de los encuestados por helpnetsecurity reconocen haber sufrido ataques fundamentados en ingeniería social: ataques basados en sistemas que se hacen pasar por algo o alguien conocido o deseado (una fotografía, un banco, un familiar…) y buscan el modo de comprometer el sistema empleando algo tentador (una canción que no es tal, una copia de la página de tu banco, o un documento muy importante que contiene malware, entre otros).

Las industrias que desarrollan su negocio de forma directa con el cliente final (todas las turísticas incluidas) están trabajando, o pensando en la mejor manera de hacerlo, en cómo construir un repositorio de información donde almacenar conocimiento de sus clientes (reales o potenciales). Sistemas de información que relacionen los datos propios del negocio, con los que los clientes dejan en las redes sociales, para crear perfiles maestros de información que ayuden a las compañías a ofrecer un mejor servicio y, ¿por qué no?, a incrementar las ventas.

¿Imagina lo que podría ocurrir si alguien pudiera comprometer el sistema de uno de sus empleados con acceso a dicho repositorio de clientes?

SI esto le parece peligroso, debe saber que el 63% de los encuestados por helpnetsecurity han visto sus sistemas comprometidos por el uso de passwords poco consistentes de sus usuarios, usuarios que pueden ser sus propios empleados. Estar constantemente conectado requiere que mostremos especial atención a la seguridad, que estemos permanentemente informados del tipo de amenazas se ciernen sobre nosotros. Según la CBS, en el año 2014, el 47% de los adultos americanos sufrieron el robo de sus datos personales y aunque le parezca increíble, Mcafee estima que el coste anual del cibercrimen supera los 400 billones de dólares.

La industria turística se enfrenta además a nuevos retos ya que se ha convertido en el mayor proveedor de acceso a internet indirecto.  Aeropuertos, estaciones de ferrocarril, autobuses, trenes, aviones, hoteles, restaurantes, todos ellos son puntos de acceso a internet.  En este sentido, hay que advertir sobre la necesidad de garantizar la independencia entre las redes públicas y las privadas para evitar riesgos, y tomarse la seguridad muy en serio para no encontrarse con incidentes que pueden impactar en el desarrollo normal del negocio. Imagine qué podría pasar si alguien compromete su sistema y a su vez es su sistema el que compromete a los usuarios de un servicio que usted presta. O piense en qué pasaría si todas las conexiones de sus hoteles simultáneamente atacaran un sistema de información porque han sido programadas de modo malicioso para hacerlo.

¿Ciencia ficción? No. Esto ya ha ocurrido. Además, debe saber que el pasado 14 de abril de 2016 el Parlamento Europeo aprobó el Reglamento General de Protección de Datos (RGPD) que actualiza el tratamiento de los datos personales y una de las novedades más importantes que recoge es la obligación de notificar una violación de la seguridad de los datos personales, al estilo de los estándares normativos de Estados Unidos

Pero, no todo termina aquí, Existe una clara tendencia a la incorporación de sistemas domóticos en los hoteles, sistemas que funcionan bajo una red de comunicación y que emplean protocolos estándar. Si por cualquier motivo, dichas redes son comprometidas, permitirán a los atacantes –salvo que pongamos los medios pertinentes para evitarlo– hacerse con el control de las mismas. Hay que recordar que la mayoría de los sistemas de control empleados en domótica, hacen uso de componentes de bajo coste diseñados para realizar acciones concretas. Si esta red de comunicaciones se ve comprometida, cualquier usuario avanzado con conocimientos básicos del protocolo utilizado, podrá gestionar, entre otras cosas, las luces o la calefacción de todo el hotel.

Ya no se habla de seguridad sino de “gestión del riesgo”. Nadie está seguro. Los responsables de seguridad deben ser conscientes del riesgo al que están expuestos y aprender a gestionarlo adecuadamente. No existe la seguridad ni la tranquilidad absoluta respecto a los riesgos tecnológicos, porque, de la misma forma que en otros sectores, estos riesgos pueden comprometer el negocio de forma muy grave.

Earl Perkins, gurú en seguridad de Gartner, ya sólo habla de gestión del riesgo. Not what, but when… (El incidente se va a producir. Y cuando ocurra, tenemos que estar listos y en las mejores condiciones posibles para mitigar sus efectos en el negocio.)

El conocimiento previo del riesgo tecnológico de una empresa es imprescindible para poder realizar una adecuada gestión. Para ello, Informática El Corte Inglés dispone de un servicio de auditoría previa que ayuda a establecer de primera mano y de forma rápida un primer perfil de riesgo, identificando las vulnerabilidades que pueden utilizarse para impactar el negocio y marcando un camino para convertir un riesgo ignorado o conocido y soportado en un riesgo gestionado mediante el SOC in/out.

Desde dentro y desde fuera de las instalaciones del cliente. De forma preventiva, protegiendo y defendiendo, desde dentro. Simulando intrusiones y ataques desde fuera, probando vulnerabilidades, y vigilando también desde fuera, no solo el perímetro de servicios contratado, sino el entorno, el mundo conectado. Dada la rápida y superprofesionalizada morfología de los ataques de última generación no existe la navaja suiza de la ciberseguridad para proteger nuestros negocios. Existen gran número de soluciones complementarias, pero el factor crítico es el entendimiento y valoración correctos del riesgo y la personalización para cada sector de los elementos críticos del negocio: la última línea de defensa.

 

Imágenes: Imagen: Shutterstock_

Pedro Antón, Informática El Corte Inglés, S. A.

Pedro Antón, Informática El Corte Inglés, S. A.

Pedro Antón es Director de Estrategia de Turismo Informática El Corte Inglés

http://www.iecisa.com

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información. ACEPTAR

Aviso de cookies