La aplicación de la informática en múltiples facetas del negocio hotelero y la multiplicación de plataformas tecnológicas aumenta el riesgo en la protección de la información de los clientes.
Las aplicaciones de la industria hotelera son cada vez más accesibles ya que están abiertas a clientes, usuarios, partners, proveedores, etc. a través de intranets, extranets y webs públicas. Dichas aplicaciones se han convertido en una puerta de entrada a los datos internos de la compañía, por lo que es necesario securizarlas.
Principales amenazas
Los peligros para el hotelero pueden venir por distintas vías. Por ejemplo, las consecuencias de que los datos de una aplicación web se vean comprometidos pueden ser devastadoras. «El robo de identidades, el espionaje industrial o el fraude financiero impactan negativamente en la imagen de la marca y puede motivar una reacción negativa por parte de los clientes», explica Luis Miguel Cañete, director de Canal de Fortinet Iberia.
Otro de los grandes riesgos que corren las empresas de cualquier sector, no sólo el hotelero, es ver sus datos en poder de su competencia. «Por otro lado, es difícil demostrar la procedencia de esa fuga de datos: si un usuario detecta su información en otro lugar puede denunciar esa cesión de datos, lo que puede suponer unas sanciones astronómicas, además del daño a la imagen de la empresa», reconoce Manuel Estévez, gerente de Controlip.
Por su parte, Alexei Lesnykh, Business Development Director de DeviceLock, señala que la importancia de la seguridad de los datos en el entorno hotelero reside en el respeto a los derechos de los clientes y a la legislación al respecto. «Como hoteleros, al trabajar con datos personales de nuestros clientes, debe mantenerse un alto nivel de confidencialidad en todo el sistema informático: ordenadores, discos duros, memorias flash, teléfonos, cámaras, PDAs o incluso correos electrónicos, mensajes en foros o mensajería instantánea».
Consejos básicos
En la actualidad nadie se cuestiona que un hotel debe dar el acceso a Internet a sus clientes, a ser posible en sus habitaciones y, mejor aún, a través de Wifi. Eso obliga a los hoteles a realizar una nueva inversión en una infraestructura wireless, que para colmo habrá que securizar de alguna forma. Luis Miguel Cañete afirma que «en un hotel cualquiera, en el que normalmente no hay un departamento de IT capaz de gestionar múltiples tecnologías, nuestro consejo es utilizar una única tecnología que va a securizar la red a nivel de firewall, de antivirus, de antispam, navegación web, detección de intrusos, etc.».
En cuanto a la protección del sistema informático como tal, es recomendable implementar una infraestructura de red segura que impida accesos no autorizados, así como, desarrollar o contratar dispositivos y software que dispongan de las características necesarias que faciliten el cumplimiento de la normativa que les sea aplicable. «Es por ello que, con carácter previo a su implantación, debería valorarse la viabilidad del cumplimiento normativo. Es fundamental que los usuarios del sistema ubiquen archivos o documentos ofimáticos con datos personales en discos duros locales o en su escritorio, de manera que los mismos no dispongan de las medidas de seguridad que normalmente se han adoptado en los servidores para proteger los datos personales que trata el hotel. Asimismo, es importante que los empleados únicamente accedan a la información necesaria para el desempeño de su trabajo. En este mismo sentido, cabe señalar que es importante que los empleados no compartan contraseñas y sean dados de baja de los sistemas informáticos una vez que han cesado en su puesto de trabajo», describe Esmeralda Saracibar, asociada senior del área de Governance, Risk & Compliance de Ecija.
Una estrategia sólida de protección de datos en un hotel debería estar basada en una estimación de riesgos donde el valor de la información que maneja el hotel supera el coste de un sistema de protección de datos. «En su núcleo, la protección de datos implica conocer la importancia de la información almacenada y cómo es utilizada y distribuida, para protegerla a lo largo de todo el ciclo. Este es un proceso continuo en el tiempo más que una acción concreta», afirma Alexei Lesnykh.
Manuel Estévez, por su parte, asegura que «se debe concienciar a las empresas que sus datos son su bien activo más importante, pues a través de ellos tenemos el contacto de nuestros clientes y personal. Es fundamental utilizar contraseñas seguras. El 90 por 100 de las contraseñas que utilizan la mayoría de los usuarios son fácilmente vulnerables y de lógica deducción, dado que todos utilizamos, entre otras, fechas concretas de nuestra vida. Actualmente hay más contraseñas descubiertas por ingeniería social (utilizando los datos y fechas de este usuario, vía redes sociales) que por «fuerza bruta» (intentos forzosos desde un ordenador con generador de llaves)».
Tendencias
La rápida expansión de las redes sociales y la proliferación del número de plataformas en las que es posible compartir datos ha marcado las nuevas tendencias en el sector. Manuel Estévez observa que es fundamental «la concienciación por parte de los usuarios de que deben formarse para hacer un buen uso de las tecnologías y sistemas informáticos, ya que nos conceden la oportunidad de facilitar nuestras tareas diarias y comunicarnos de una forma rápida. La otra cara de la moneda es lo fácil que se expone nuestra privacidad frente a otros usuarios y gente con mas conocimiento que nosotros»
Por otro lado, Luis Miguel Cañete apunta dos tendencias según el tamaño de empresa. «En compañías de tamaño pequeño y mediano, la consolidación de funciones de seguridad es claramente la opción más demandada por los beneficios que ofrece: sencillez, mayor protección vía integración y menor coste de inversión y operación. Esta tendencia asciende por las organizaciones hasta cierto tamaño, a partir del cual se buscan soluciones dedicadas para cada amenaza o riesgo. En este tipo de organizaciones, que son las de mayor tamaño, la preocupación es el rendimiento y el retardo que puede causar en su red la incorporación de un nuevo elemento».
Por último, Alexei Lesnykh opina que «la tendencia más clara tiene que ver con el uso de las redes sociales en la empresa. Para muchas compañías estas redes son una herramienta muy importante, pero sus beneficios también implican considerables riesgos de los que muchos empresarios no son conscientes y que no son cubiertos por lassoluciones habituales de protección de datos. Por esta razón, nuestra industria está poniendo sus esfuerzos en desarrollar una solución que pueda controlar todo tipo de redes sociales».
Forninet: Seguridad en Wifi y aplicaciones web
Fortinet es un proveedor global de dispositivos de seguridad de red, es decir, ofrecea las empresas protección integrada, de extremo a extremo y de alto rendimiento frente a las amenazas de internet. En el sector hotelero, la empresa se centra en dos áreas críticas: la seguridad en las áreas abiertas wifi y la seguridad de las aplicaciones web que utilizan los hoteles para canalizar sus reservas.
Fortinet cuenta con una solución específica, FortiAP, que en combinación con FortiGate, ofrece una gestión de amenazas integrada para redes inalámbricas que permite dirigir todo el tráfico inalámbrico de vuelta al motor UTM para que éste sea sometido a su limpieza y prevención de intrusiones, política de reconocimiento de identidad y priorización de aplicaciones a nivel 7, lo que permitirá crear una infraestructura LAN inalámbrica «fortificada» y de alto rendimiento.
Controlip: certificado por la Universidad de Navarra
Controlip está certificado por la Universidad de Navarra para poder implantar con total garantía cualquier procedimiento referente a la LOPD.
Se realiza la declaración de archivos a la Agencia Española de Protección de Datos, confección del Documento de Seguridad, preparación de contratos de confidencialidad con las empresas y trabajadores relacionados, formación del personal para llevar a cabo las normas de seguridad de una forma práctica y efectiva, implantación de los sistemas informáticos para asegurar los datos y las auditorías correspondientes. Dada la importancia vital de los datos de una empresa, es muy importante tener una política de protección de los datos y recuperación de los mismos en caso de emergencia. Recomendamos copias de seguridad diarias y automatizadas, y de vez en cuando comprobar que en caso de emergencia los datos se pueden recuperar.
DeviceLock: protección de ordenadores y periféricos
DeviceLock, Inc. es una compañía especializada en la creación de software de protección de datos, para empresas y organzaciones de cualquier tamaño y sector.
El software DeviceLock 7 Endpoint DLP Suite protege a los ordenadores de posibles ataques que resulten de negligencias ocurridas dentro de la propia empresa, errores accidentales o incluso acciones malintencionadas. En este sentido, DeviceLock se centra en el control de los canales locales en ordenadores protegidos, incluyendo todos los periféricos y puertos, inclyendo impresoras, tabletas y smartphones que estén conectados a la red principal. Además, incluye monitorización de contenidos con ContentLock y control de las comunicaciones con NetworkLock.
Ecija: derecho y tecnología
La tipología de servicios que ofrece es muy diversa, en particular y entre otros, podemos destacar la realización de proyectos de adecuación de una entidad o grupo empresarial al cumplimiento de la normativa de protección de datos, análisis de riesgos de incumplimiento de esta normativa, auditorías bienales, asistencia ante actuaciones de inspección o procedimientos sancionadores de la Agencia Española de Protección de Datos, asesoramiento en recursos contenciosos administrativos, elaboración de Informes de análisis jurídico específicos ante supuestos de hechos planteados por los clientes, en definitiva, proporcionamos soporte operativo, técnico y jurídico ante cualquier circunstancia relacionada con el cumplimiento de esta normativa.
Confidencialidad sin fisuras: nuevas tendencias en protección de datos
