fbpx
InicioInnovación¿Cómo actuar ante una brecha de seguridad en el sistema del hotel?

¿Cómo actuar ante una brecha de seguridad en el sistema del hotel?

Alicia Ruiz, TecnoHotel
Redactora de TecnoHotel. Socióloga y copywriter, especializada en SEO técnico. Si encuentras posibilidades de mejora en alguno de mis artículos o quieres compartirme tus sugerencias puedes contactarme a través de mi Linkedin, pinchando aquí o a través del email aruiz@peldano.com

En lo que respecta a seguridad, la digitalización tiene sus ventajas y desventajas. Por un lado, actuar ante incidencias es más rápido e intuitivo de lo que podía ser antes con la metodología tradicional. Pero hecha la ley, hecha la trampa, así que igual que reforzar la seguridad ahora es más fácil, también lo es irrumpir en ella.

Existen decenas de formas de romper las barreras de seguridad de un hotel y crear una brecha de seguridad en su sistema, y no es necesario ser un erudito informático para propagar este tipo de ciberataques.

En este artículo analizamos qué tipo de vulnerabilidades puede sufrir una base de datos, qué precauciones debemos tomar y cómo debemos actuar ante una brecha de seguridad en el sistema de datos del hotel.

¿Qué es una brecha de seguridad?

En el artículo 4.12 del Reglamento General de Protección de Datos una brecha de seguridad se define como «cualquier violación de la seguridad que resulte en la destrucción, pérdida o alteración accidental o ilegal de datos personales transmitidos, almacenados o tratados de otra manera, o en la comunicación o acceso no autorizado a dichos datos»

Se trata de cualquier incidente que tenga efectos negativos y que ponga en peligro la seguridad de los datos, redes y sistemas de información, en este caso, de los huéspedes o clientes de un hotel.

Según su casuística la Agencia Española de Protección de Datos clasifica las brechas de seguridad en tres categorías:

  • Brecha de confidencialidad: Se produce cuando personas que no están autorizadas o que no tienen un propósito legítimo para acceder a la información, acceden a ella.
  • Brecha de disponibilidad: Se produce cuando no se puede acceder a los datos originales. La brecha puede ser temporal, cuando los datos son recuperables pero requieren cierto tiempo, o permanente cuando los datos no pueden recuperarse.
  • Brecha de integridad: Se produce cuando se altera la información original, causando daños tanto a los responsables de su cuidado como a los propietarios de sus datos.

Vulnerabilidades en el sistema de seguridad del hotel

Descuidando algunas de estas vulnerabilidades, tanto hoteles como grandes empresas han sufrido ciberataques de gran impacto. Son los aspectos que debes vigilar para cuidar de los datos protegidos de tu hotel.

  • Los sistemas operativos no actualizados son carne de cañón para los exploit; es decir, para aquellos softwares que navegan por la red en busca de errores informáticos que le abran la puerta a su intimidad.
  • Las contraseñas débiles pueden descifrarse o piratearse muy fácilmente, porque hay programas capaces de pasar horas probando combinaciones de caracteres y esquivando el bloqueo de seguridad.
  • Los ataques con malware, como los (cada vez más habituales) correos electrónicos de phishing, pueden emplearse para penetrar en sistemas. Basta con que un empleado haga clic en el enlace adjunto para que el software malicioso empiece a propagarse por la red.
  • Las descargas ocultas utilizan virus o malware instalado a través de un sitio web fraudulento o infectado.
  • El uso de la ingeniería social para hackear sistemas de seguridad también está en auge. Por ejemplo, un intruso puede telefonear a un empleado haciéndose pasar por un compañero del departamento de informática y solicitarle su contraseña para «arreglarle» el ordenador.

Medidas de seguridad para la protección de datos en hoteles

Corrigiendo y tomando precauciones en estos aspectos ya hay mucho ganado, aunque debemos tener en cuenta que la seguridad al 100% no existe.

  • El uso de contraseñas seguras y el segundo factor de autenticación contribuye a evitar que terceros puedan acceder de forma no autorizada al sistema del hotel. Es tan importante proteger la información confidencial y personal de los clientes como los datos de gestión del propio hotel y sus empleados.
  • Realizar copias de seguridad diariamente es una medida importante para proteger los datos del hotel en caso de incidentes como ataques cibernéticos, fallos del sistema o incluso en caso de desastres naturales.

    Al tener una copia de seguridad disponible, es posible recuperar los datos perdidos y minimizar el impacto de estos incidentes.
  • Mantener actualizados los sistemas digitales y software es crucial para proteger el sistema del hotel contra vulnerabilidades conocidas y amenazas cibernéticas.

    Las actualizaciones suelen incluir parches de seguridad y otros mecanismos de protección que pueden ayudar a evitar brechas de seguridad.
  • Mantener una política estricta de servicios expuestos en Internet puede ayudar a minimizar el riesgo de que los sistemas del hotel sean atacados desde Internet.

    Al limitar los servicios expuestos, es menos probable que los atacantes puedan encontrar puntos de entrada al sistema de gestión del hotel.
  • Tener un cifrado de dispositivos portátiles, ordenadores y teléfonos móviles, puede proteger la información almacenada en ellos en caso de que sean robados o pierdan.

    Esto impide que terceros puedan acceder a la información confidencial almacenada en estos dispositivos.
  • Limitar las descargas de aplicaciones a fuentes fiables es una medida importante para evitar que se instalen programas maliciosos en los dispositivos del hotel. Así es menos probable que se pueda recopilar información confidencial.
  • Habilitar el acceso y el borrado de datos en remoto puede ser útil en caso de que un dispositivo del hotel sea robado o pierda, ya que permite a los administradores eliminar la información confidencial almacenada en él.
  • Navegar sólo en sitios webs seguros y de confianza para el sistema de gestión del hotel.

Identificando una brecha de seguridad en el sistema de un hotel

En caso de que el incidente se califique como una brecha de seguridad con un alto riesgo para los derechos y libertades de los afectados, además de notificarlo a la Agencia Española de Protección de Datos, se debe notificar a las personas afectadas.

La notificación a la AEPD debe realizarla el responsable del tratamiento de datos del hotel, en un plazo máximo de 72 horas.

Si no fuera posible hacerlo en dicho plazo, se deben justificar los motivos de la demora. La notificación debe hacerse manera telemática a través de la sede electrónica del Gobierno.

En caso de que, al momento de realizar la primera notificación, no se disponga de toda la información, esta se podrá facilitar de manera gradual en distintas fases.

A la hora de notificar el incidente a las personas afectadas, huéspedes y empleados, el lenguaje utilizado en la comunicación tiene que ser comprensible y, como mínimo, debe contener la siguiente información:

  • Datos de contacto del responsable del tratamiento; es decir, el nombre registral del hotel.
  • Datos de contacto del delegado de protección de datos.
  • Descripción del incidente y momento en el que se produjo y fue detectado.
  • Descripción de los datos afectados, ya sean huéspedes, clientes o empleados del hotel.
  • Posibles consecuencias de la brecha de seguridad.
  • Resumen de las medidas adoptadas para controlar, corregir y mitigar los efectos del incidente.
  • Alcance del proceso de recuperación.

Todo hotel debe contar siempre con un protocolo de actuación donde se recoja qué hacer ante un ataque de seguridad en el sistema de datos.

Todo el equipo de personal debe estar al tanto de este plan de respuesta para comunicarse cuanto antes con el Comité de Seguridad y Protección de Datos y que este organismo pueda solucionar la brecha cuanto antes.

La evaluación de la peligrosidad de una brecha de seguridad en el sistema de seguridad del hotel es llevada a cabo por el Comité, que analizará primero los siguientes factores.

  • La naturaleza, sensibilidad y categoría de los datos personales y personas afectadas.
  • El volumen de datos y el número de afectados dentro de una escala determinada.
  • En función de si los datos estaban protegidos mediante algún sistema de seudonimización o no.
  • La facilidad con la que se pueda deducir la identidad de las personas afectadas y la severidad de las consecuencias.
  • El impacto que la brecha de seguridad pueda tener en la organización del hotel desde el punto de vista de la protección de la información, la prestación de servicios, la conformidad legal y la imagen pública o reputacional.

Para llevar a cabo una investigación sobre el incidente y sus causas, el Comité también debe identificar la naturaleza del incidente (si se trata de un ataque de malware, denegación del servicio, secuestro del sistema, robo de información, etc.); determinar qué sistemas, procesos y personas se han visto afectados; valorar el posible impacto (interrupción de la actividad, daño reputacional, pérdidas, etc.); y analizar las posibles responsabilidades legales que pudiera suponer el incidente.


Fuente: Agencia Española de Protección de Datos

Imágenes cedidas: standret en Freepik

Autores

Redactora de TecnoHotel. Socióloga y copywriter, especializada en SEO técnico. Si encuentras posibilidades de mejora en alguno de mis artículos o quieres compartirme tus sugerencias puedes contactarme a través de mi Linkedin, pinchando aquí o a través del email aruiz@peldano.com

artículos relacionados

La revolución de la inteligencia artificial en el Revenue...

Rafael Gómez, Revenue Management, nos cuenta en este artículo cómo ha impactado la IA en la optimización de precio y nos da cinco factores externos que influyen en todo esto.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Guía de Empresas