fbpx
InicioNewsletter"Los huéspedes deben saber que sus datos se tratan adecuadamente"

"Los huéspedes deben saber que sus datos se tratan adecuadamente"

Los datos de los clientes y su información de pago son algunos de los aspectos en cuanto a seguridad en los que ha de poner más hincapié un hotel. Josep Estévez, director de Seguridad de la Información (CISO) de Meliá Hotels International coincide en que hay que poner mucho empeño en custodiar la información que manejan las empresas hoteleras, «puesto que es muy valiosa».
Asimismo, resume su labor, y la de todo CISO −una nomenclatura estadounidense para catalogar a «los seguratas», como él mismo se autodefine− es la de facilitar a la compañía que desarrolle su estrategia de negocio con el mínimo riesgo«, pues, como afirma: «La seguridad total no existe». 

¿Considera que en términos generales existe conciencia en las empresas acerca del valor de la información que manejan para garantizar su seguridad?

Yo diría que es algo que va a más. Al principio se empezó a tener conciencia porque había que cumplir con una serie de normas legales en diferentes ámbitos, entre ellas la Ley Orgánica de Protección de Datos (LOPD), de 1999, y su reglamento posterior, de 2007. Seguidamente, el requerimiento por parte de las marcas de tarjetas de crédito que exige el cumplimiento PCI (Payment Card Industry) para garantizar la seguridad en los medios de pago ha ido calando en la conciencia empresarial, que afecta a toda la organización.

En este caso, la ley es la que ha generado conciencia y no al revés…

Sí, exacto. Trabajamos en dos vías: por un lado, la ley, que nos obliga a cumplir una serie de medidas de seguridad, y por otra, la implementación de estas en los canales donde viaja la información. Debemos tener la garantía de que se realiza un uso de forma segura en términos de confidencialidad, integridad y disponibilidad. Así, del binomio normativa −que nos obliga− y tecnología −que nos permite mejorar en la forma de trabajar− surge esa cultura de la seguridad de la información, que día a día va calando en la organización.

¿Forma usted parte de algún comité estratégico de su empresa?

Si bien la estrategia define el camino de la empresa, realmente la labor de la seguridad es táctica. Dentro de esta táctica nuestra labor desde Seguridad va ligada a la proactividad, en ir un paso por delante en las estrategias que requieren el uso de información, garantizando la confidencialidad, integridad y disponibilidad.

¿Cuál es la información más sensible que maneja una empresa hotelera?

Sin duda, los datos de los clientes, principalmente la información de medios de pago, que debemos proteger para evitar fraudes. También su información personal, sus preferencias… Cuando una persona se hospeda en uno de nuestros hoteles y nos da su confianza para disfrutar de un servicio y una experiencia lo importante es que sea consciente de que se va a respetar su información y que sus datos se van a tratar de forma adecuada. Además, también son importantes los datos de los empleados (de salud, nóminas…), así como información confidencial de la empresa, que es estratégica. La información es el nuevo oro, un activo muy importante, y debemos poner mucho empeño en custodiarla.
Josep Estevez

‘Seguratas’

¿Cómo definiría la labor diaria de un CISO?

Básicamente, velamos por garantizar la seguridad de la información dentro de los procesos de negocio. Diseñamos la arquitectura de seguridad y los procesos de los diferentes flujos de información, identificando los riesgos y los controles de seguridad a implementar para controlar y mitigar ese riesgo. Es una tarea diaria que llevamos en coordinación con todas las áreas (IT, RRHH, hotel, Administración, Riesgos…), validando cada solución en función de la criticidad de cada tipo de información. Aquí nos llaman «los seguratas» a modo cariñoso, nuestra labor va imbricada en toda la cadena de valor de la organización. Nosotros damos las pautas de cómo se debe trabajar de forma segura, pero si esta información no llega a todo el personal, de poco vale. Por eso decimos que hay tres ejes básicos en nuestra labor: información, comunicación y formación.

¿Existe un protocolo estandarizado que apliquen las empresas hoteleras cuando conocen de la existencia de un ciberataque a nivel mundial?

Nosotros tenemos unas políticas y procedimientos de gestión de incidentes de seguridad, tanto a nivel interno como con los proveedores con los que trabajamos para minimizar cualquier impacto debido a un incidente de seguridad. Así, realizamos análisis de riesgos para saber qué información nuestra está compartida, qué controles tenemos y, en caso de producirse algún incidente real, lo acotamos al máximo y trazamos un plan de acción para mitigar posibles daños. Al final, al ser una empresa hotelera, lo que más nos preocupa es nuestro cliente y que el impacto en la operativa sea mínimo, reestableciendo el servicio de la manera más ágil posible. En definitiva, nuestra labor consiste en facilitar a la empresa que lleve a cabo su estrategia de negocio con los mínimos riesgos.
¿Comparten información de interés con responsables de otras empresas? Porque a nivel empresarial pueden ser competidores, pero a nivel técnico, aliados.
Sí, sin duda. Existen varios foros, uno de ellos es el HTNG (Hotel Technology Next Generation), un foro internacional en el que participamos y compartimos experiencias y problemáticas. También lo hacemos simplemente con colegas del sector, con los que compartimos problemas, generamos sinergias y podemos estar en proyectos similares en los que la experiencia del vecino puede servirte. Creo que en el ámbito de la seguridad la competencia no existe, no competimos, porque normalmente las amenazas son comunes, de forma que si compartimos información y experiencias generaremos sinergias y estaremos más preparados.

¿Hasta qué punto un buen CISO debe ser en cierta medida un ciberdelincuente para ponerse en la piel de quien busque atacar a la empresa?

Más que ponernos en la piel de un ciberdelincuente lo importante es tener mucha curiosidad para pensar dónde están nuestros puntos débiles. Indiscutiblemente, la ciberdelincuencia es un tema de candente actualidad dentro de la criminología moderna. Tecnológicamente avanzamos muy rápido y es necesario estar al día de las nuevas amenazas.

El cibercrimen, un delitociberseguridad

¿Qué intereses cree que persigue el cibercrimen? ¿Sólo el económico?

−En primer lugar, el cibercrimen es un delito, ya existen tarifas por hackear cuentas de Facebook, direcciones de correo… Detrás de esto, evidentemente, hay un móvil económico.

¿Qué aspectos positivos destacaría del próximo Reglamento General de Protección de Datos que impondrá la UE en 2018?

Si bien las empresas que se adaptaron a la LOPD no tienen que partir de cero, queda mucho trabajo por hacer. Lo más novedoso, desde mi punto de vista, es que esta norma supondrá un cambio en el enfoque, introduciendo el concepto de seguridad desde el diseño que implica la protección de datos de procesos y aplicaciones. El nuevo reglamento persigue proteger al cliente final exigiendo el consentimiento explícito. Además, esta norma da un enfoque mucho más transversal y exigirá que cada organización sea consciente del valor de su información de carácter personal que maneja e implemente los controles adecuados a su sensibilidad. Con los planes de impacto de la privacidad, la empresa pondrá los controles que crea oportunos y ahí se verán los niveles de vigilancia de cada organización, porque cada vez compartimos más información en más entornos diferentes. Debemos ser conscientes del volumen de datos que tratamos y de las medidas para protegerlos.

¿Qué le parece que Ashotel haya apostado por organizar el I Congreso Nacional de Ciberseguridad Hotelera?

Me ha parecido una iniciativa muy positiva. Cuando me avisaron de que se estaba organizando este congreso, allá por el mes de abril, vi la oportunidad, en la línea de lo que estamos hablando en esta entrevista, de compartir información en un foro profesional como este acerca de cómo estamos en materia de ciberseguridad en el ámbito hotelero. Sin duda, considero que esto será un beneficio para todos, un punto de encuentro donde hacer networking y compartir experiencias. Y, sobre todo, me parece muy acertado que en HackHotel se den cita no solo profesionales de la Seguridad de la Información, sino altos directivos hoteleros, porque ellos son los que toman las decisiones estratégicas de las empresas.

artículos relacionados

Booking.com elimina el programa «viajes sustentables» de su plataforma

El sello "Travel Sustainable" que Booking.com otorgaba a los alojamientos comprometidos con el medio ambiente, ha sido eliminado tras la presión de la ACM quienes han cuestionado su fiabilidad.

Los españoles realizaron un gasto en viajes de 58.750...

Los residentes en España realizaron el pasado año un total de 185,9 millones de viajes y el gasto en viajes aumentó un 16,8% por encima de los registrados en 2022.

Sercotel fortalece su equipo de Expansión con tres nuevas...

Los nuevos perfiles de Sercotel impulsarán la captación de nuevos hoteles tanto en el segmento urbano como en el vacacional, así como en los modelos operativos de gestión, explotación y franquicias

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Guía de Empresas