Image Image Image Image Image Image Image Image Image Image

TecnoHotel | Viernes 19 de Julio, 2019

Subir arriba

Arriba

Un comentario

Ciberseguridad, el gran reto que afrontan los hoteles independientes

Ciberseguridad, el gran reto que afrontan los hoteles independientes
Juan Carbajal, de García Alamán

Cuando hablamos de seguridad en general y de ciberseguridad en particular debemos partir de la siguiente premisa: “La seguridad total no existe”. Probablemente lo hayas escuchado antes, pero considero que es de vital importancia recordarlo y poner un poco de perspectiva en este asunto.

En los últimos meses hemos recibido un goteo constante de noticias en las que grandes multinacionales de IT, gobiernos, grandes cadenas hoteleras e incluso agencias de seguridad han visto vulnerados sus sistemas de información a pesar de contar con equipos tremendamente cualificados con la mejor formación y todos los recursos técnicos y protocolos de seguridad que puedas imaginar.

Si bien puede parecer que el blanco de estos ciberataques se centra en grandes entidades, lo cierto es que según un reciente informe de Cisco “Cisco SMB Cybersecurity”, un 53% de la pymes ha sufrido un ciberataque en el último año con mayores o menores consecuencias, convirtiéndose en el objetivo más apetitoso para los delincuentes. Sin duda este dato sorprende, y deja entrever el nivel de vulnerabilidad de este perfil de empresas.

En particular, los hoteles independientes o pequeñas cadenas, al contrario que en otros sectores, ven como el riesgo de ser atacados se multiplica debido a dos factores clave:

  1. La naturaleza de su distribución de venta, alrededor del 90% de las reservas se generan online y a través de múltiples canales, ya sea venta directa o intermediada.
  2. El gran volumen de registros personales que se procesan y se almacenan en sus sistemas y en los de sus proveedores a lo largo del año, que contienen información de vital importancia  (tarjetas de crédito, números de cuenta, direcciones de viviendas, regímenes de viaje…).

Riesgos a los que se expone un hotel

Pero, ¿cuáles son los principales riesgos a los que un hotel está expuesto por su actividad?

Phising

Es una técnica mediante la cual se captan datos personales y corporativos de manera ilícita y/o fraudulenta mediante la redirección del usuario a un dominio web falso con la intención de sustraer su información personal y financiera, lo que puede permitir fácilmente el acceso a los sistemas del hotel.

Bloqueo de los sistemas, encriptación de archivos y sobrecarga de la red

Mediante ataques de ransomware y ataques DDoS respectivamente, con el objetivo de paralizar la actividad comercial del hotel y solicitar un rescate a cambio de devolver la actividad a la normalidad.

Robo de datos personales de clientes

Con la derivada responsabilidad civil que ello pueda acarrear, sobre todo cuando se gestionan datos bancarios y otra información de carácter sensible.

Pérdida de información

En muchos casos puede ser irrecuperable.

Una vez se conocen los riesgos a los que un hotel está expuesto, resulta imprescindible identificar los puntos débiles y reforzarlos para evitar que en la medida de lo posible se genere una vulnerabilidad en sus sistemas.

ciberseguridad hoteles

Actuaciones básicas de prevención

Desde nuestra experiencia como mediadores en ciberseguros para hoteles, consideramos cuatro actuaciones básicas de prevención que cualquier hotel puede implementar y que, si bien no garantizan la seguridad absoluta, sí que reducen en gran medida el riesgo de sufrir un ataque, minimizando su impacto en caso de que ocurriera:

1. Concienciar y formar a los empleados

Es crucial que las empresas inviertan en procesos y personas, y asegurarse de que su personal sea la primera línea de defensa efectiva ante estos ataques.

Según un informe de la compañía de seguros HISCOX de 2018, el 67% de los siniestros entrañaron algún tipo de negligencia por parte de un empleado. Hacer click en un correo electrónico malicioso, visitar una página web dañina o simplemente ser descuidado y perder un dispositivo puede suponer la puerta de entrada a cualquier ciberdelincuente.

2. Autenticación

  • Limitar los intentos para acceder a una cuenta.
  • Considerar la implementación de la autenticación de doble factor en todas las cuentas remotas.
  • Dar a los administradores, usuarios remotos y dispositivos móviles una protección adicional, y asegurarse de que los administradores utilizan contraseñas diferentes de sus cuentas de usuario administrador y no administrador.

3. Aplicar la regla 3-2-1 para realizar copias de seguridad

Realizar tres copias de datos en dos soportes diferentes y alojar la tercera copia en un lugar físico distinto.

4. Mantener el software siempre actualizado

Pero, ¿qué ocurre cuando estoy siendo atacado? ¿Con qué herramientas cuento? En este punto, el protocolo de actuación y recursos necesarios para minimizar el daño del ataque son muy diferentes, sin embargo se habla poco del tema. El caso es que un hotel medio individual en España puede caer en la tentación de pensar que no es un bocado lo suficientemente atractivo para estos ciberdelincuentes, pero nada más lejos de la realidad.

Este tipo de hoteles cuenta con información muy valiosa y con numerosas puertas de entrada a la información facilitadas por la WIFI del hotel, por las APIs que integran sus sistemas o a través de determinadas actuaciones poco recomendables por parte de sus empleados y huéspedes…

Los hoteleros siempre han vivido para el servicio, y es su responsabilidad hacer todo lo que esté en su mano para crear y mantener (mediante las actuaciones adecuadas) un ecosistema tecnológico seguro para su negocio, sus clientes y sus datos, pero ¿qué ocurre cuando la prevención es insuficiente y el daño se hace patente?

En este punto es dónde entran en juego los ciberseguros y las medidas de contención, con las cuales se aporta al cliente el acompañamiento técnico necesario para minimizar el daño durante el ataque y el posterior soporte para ayudarle a retomar su actividad normal lo antes posible, además de cubrir los costes que dichos ataques hayan podido generar.

Como diría Bruce Schneier, “si piensas que la tecnología puede solucionar tus problemas de seguridad, significa que todavía no entiendes ni esos problemas ni esa tecnología”.

En García Alamán consideramos que el ciberseguro es una herramienta fundamental que permite al hotel asegurar su supervivencia ante un ataque cibernético con el menor impacto posible en su cuenta de resultados y en su reputación.

Ponencia en TecnoHotel Forum

El 29 de mayo, estaré presente en el Expert Panel de TecnoHotel Forum (CCIB de Barcelona) para hablaros de ciberseguridad y, sobre todo, de cómo protegeros ante ataques o de cómo responder si habéis sido atacados. ¡Os espero!

Imágenes: Shutterstock.com

Juan Carbajal, de García Alamán

Juan Carbajal, de García Alamán

Responsable de Ciberseguridad en García Alamán Correduría de Seguros

Comentarios

  1. Interesante artículo que expone claramente los riesgos más importantes. Para mitigar el riesgo de perdida de datos y al mismo tiempo asegurar una disponiblidad de 99,99% es importante elegir una solución de SaaS (Software as a Service) para la operación del hotel. Hoy en día la solución más adecuada es la de tipo todo-en-uno ofreciendo las funciones control y gestión y de venta en uno.

Uso de cookies

Ediciones Peldaño, en cumplimiento del Reglamento (UE) 2016/679 General de Protección de Datos, le informa del uso en este sitio web de cookies propias y de terceros para mejorar nuestros, la experiencia del usuario, los servicios prestado y mostrarle publicidad relacionada con sus preferencias, mediante el análisis de sus hábitos de navegación. Si continúa navegando, consideramos que rechaza el uso de cookies, pudiendo producirse errores de navegación o problemas de visualización de determinados contenidos. Para más información, consulte previamente nuestra política de cookies.

ACEPTAR
Aviso de cookies