La transformación digital dispuso nuevos riesgos en materia de ciberseguridad, haciendo necesario implementar medidas que resguarden la información de los huéspedes y la reputación del negocio, y prevengan contingencias económicas y legales.
La industria de la hospitalidad ha centrado sus esfuerzos en los últimos años en obtener un mayor conocimiento de sus huéspedes para ofrecerles servicios y experiencias a medida. En este sentido, la transformación digital del negocio se posicionó como una valiosa herramienta, pero paralelamente introdujo un cambio de paradigma en el concepto de la seguridad. En la actualidad, no basta con proteger a los PMS de posibles intrusiones, sino que también es preciso resguardar los datos de los clientes, convertidos en uno de los activos intangibles más importantes de las organizaciones hoteleras.
¿Qué se entiende por datos personales? Eduardo Cimato, director nacional de Protección de Datos Personales de la Agencia de Acceso a la Información Pública de la República Argentina, los definió como “toda información que se relaciona con la persona y puede identificarla, como DNI, dirección, teléfono, situación crediticia, imagen, etcétera”.
Para Patricia Miralles, responsable de Innovación del Instituto Tecnológico Hotelero (ITH) de España, “la protección de datos es un aspecto fundamental en el sector hotelero, puesto que es una industria intensiva en la gestión de información de muy diversos ámbitos, desde datos económicos (tarjetas de crédito o débito, cuentas bancarias, etcétera); financieros (cuentas financieras, reservas y transacciones bancarias, balance de resultados y pérdidas y ganancias); y personales (gustos y preferencias del cliente, motivos del viaje, acompañantes, compras en el hotel, entre otros). Esto supone que sea uno de los sectores a los que deba prestarse mayor atención en la gestión, a pesar de que no sean datos sensibles, como aquellos relacionados con la salud, creencias o género”.
A pesar de su relevancia, la protección de datos personales aún no parece ocupar un papel central en la agenda de muchas compañías. Miralles sostuvo que en España sólo un 42% de los empresarios hoteleros dispone de un plan de seguridad integral, mientras que un 83% carece de programas de respuesta ante un ataque. “La entrada del Nuevo Reglamento Europeo de Protección de Datos (RGPD) en mayo pasado supuso una revisión de los procesos y gestión de la información sensible y la creación del puesto del Delegado del Dato. Sin embargo, será la nueva reglamentación europea relacionada con los servicios de pagos digitales (PSD2), que entrará en vigor a fines de año, lo que provocará que las empresas tengan que garantizar un mayor nivel de seguridad en los pagos de bienes y servicios y en el acceso a los datos de los clientes por parte de terceros”.
Sandra Arcos Valcárcel, abogada especializada en Derecho del Turismo, docente universitaria y miembro del Observatorio de Derecho del Turismo del Colegio de Abogados de la Ciudad de Buenos Aires, coincidió en que la nueva normativa europea “ha concientizado más aún el hecho de dejar a salvo la intimidad de las personas. En Argentina, si bien la Ley Nº 25.326 está vigente desde hace 18 años, recién en los últimos años se ha tomado real conciencia empresarial de la importancia de proteger la intimidad. Es fundamental que las compañías estén informadas sobre cuáles son sus obligaciones, puesto que todas las personas que intervengan en cualquier fase del tratamiento de datos personales están obligadas al secreto profesional y son responsables”.
DATOS Y CIBERCRIMEN.
Según el estudio de la consultora Deloitte “Expectativas 2017: tendencias del turismo en España”, el sector turístico es considerado como uno de los
tres targets preferidos del cibercrimen, “que trae consigo una serie de consecuencias para las organizaciones afectadas como la pérdida de confianza de los clientes, el daño a la reputación y la marca, pérdidas económicas y riesgos legales… El 89% de los ataques se produce por motivos financieros y de espionaje. Esto pone de manifiesto que cualquier información puede ser monetizable”, detalla el documento.
En septiembre pasado, British Airways admitió públicamente el robo de información personal y financiera de aproximadamente 400 mil clientes que habían realizado compras a través de su app y sitio web. Un mes después, Cathay Pacific reconoció un acceso no autorizado a su sistema de información integrado por más de nueve millones de pasajeros, aconsejando a los mismos el cambio de sus contraseñas y el chequeo de cualquier actividad sospechosa en sus cuentas.
Según la firma de soluciones de seguridad informática Panda Security, 2015 marcó un antes y un después en la problemática de la ciberseguridad en el ámbito hotelero, dado que gigantes como Mandarin Oriental, Starwood, Hyatt, Hilton Worldwide, Trump Hotels, Rosen Hotels & Resorts, Hard Rock Las Vegas y la empresa de servicios White Lodging fueron víctimas del robo de datos de tarjetas de crédito de sus clientes o vieron sus sistemas infectados con malware.
Consultada sobre qué medidas deberían implementar los negocios hoteleros en pos de preservar la data de sus huéspedes, Miralles señaló que “debe abordarse desde un punto de vista integral, comenzando con una evaluación global de los potenciales riesgos. Debe contemplarse la protección del acceso a la infraestructura física (redes y servidores) desde la puesta en marcha de firewalls, redes diferenciales entre la gestión del negocio y los huéspedes o los portales de autentificación. Otros aspectos a considerar son los dispositivos –ordenadores, tablets, smartphones e impresoras– que deben llevar contraseñas seguras y ser cambiadas habitualmente, la protección de la BIOS (Basic Input/Output System), filtros en las pantallas para evitar visualizar información confidencial, cerrar los puertos abiertos, bloquear la impresión de documentos sensibles hasta la aprobación por el usuario y que las transacciones económicas tengan sistemas seguros que eviten la suplantación de identidad de terceros (proveedores, clientes o banca). Todo ello apoyado por acciones de concientización a los empleados, quienes son el eslabón más débil en la protección digital, por actuaciones incorrectas y desconocimiento en la mayor parte de los casos. Un 74% de los ataques se soluciona con la formación al personal y una estrategia de buenas prácticas”.
Para la especialista, es requisito indispensable fijar una política de ciberseguridad, que contemple variables como la utilización de las redes de forma segura para protegerse contra el malware, no pulsar enlaces desconocidos de los correos electrónicos, mantener las aplicaciones actualizadas, y diseñar y poner en práctica un plan de respuesta a incidentes.
Por su parte, Arcos Valcárcel manifestó que “como políticas proactivas, las agencias de viajes, los establecimientos gastronómicos y los hoteleros deben registrar sus bases de datos y mantenerlas actualizadas; descartar datos innecesarios; notificar sobre la utilización de cookies y pops up en la oferta en línea; informar políticas de privacidad; y no violar la confidencialidad de los datos aportados, al mismo tiempo que pueden utilizar la tecnología para sus procesos de fidelización”.
El registro de las bases de datos es un trámite gratuito en el país. Cimato explicó que “toda empresa, profesional u organismo público que haga tratamiento de datos personales, que no sean de uso exclusivamente personal, debe inscribirse en el Registro Nacional de Bases de Datos Personales. A través de la Resolución 132 de octubre pasado se implementó un nuevo sistema registral, íntegramente digital, a través de la plataforma de trámites a distancia”.
TECNOLOGÍAS VULNERABLES.
El avance de las tecnologías de la información y comunicación supone permanentes retos para la industria hotelera y su seguridad. Por caso, el almacenamiento en la “nube” –una de las tendencias observadas en los últimos tiempos, que permite mayor accesibilidad desde cualquier localización y dispositivo– “trae una serie de potenciales riesgos que se deben mitigar, teniendo en cuenta que la seguridad total no existe. Se tiene que vigilar la seguridad de las APIs (interfaces de conexión con terceros para el intercambio de información), la compartición de los mismos servidores para diferentes clientes, los secuestros de sesión que permiten la obtención de las credenciales de terceros para acceder fraudulentamente, los sistemas de copias de seguridad y restauración que podrían provocar pérdidas de información y la necesidad de actualización constante para evitar agujeros de seguridad, entre otros factores”, expresó Miralles.
Arcos Valcárcel precisó que la norma ISO 27018/2014 establece criterios sobre control y directrices en relación a la protección de la información de identificación personal para el almacenamiento público en la “nube”.
Otra de las aristas más sensibles es el pago a través de medios electrónicos, por implicar el ingreso de claves. La especialista en Innovación del ITH aportó posibles soluciones a este conflicto: “Puede trabajarse con la tokenización, para que al momento de almacenar la numeración clásica de una tarjeta se realice a través de un código llamado token o derivar el almacenaje de la información en un tercero, quien proporcione la seguridad en el proceso. Otras recomendaciones serían no almacenar los datos de las tarjetas dentro del entorno de la web, revisar la seguridad del TPV con el proveedor y contar con un cifrado en la web”.
Más allá de la tecnología, el factor humano es central en este tema. Cuando se registra un robo de información de forma interna, las organizaciones llevan adelante un análisis forense para determinar qué empleados están involucrados. Miralles aclaró que las empresas deben comunicar la situación a la autoridad competente, quien abrirá una investigación para precisar la responsabilidad del establecimiento en base a las medidas tomadas antes, durante y después de la filtración de datos, puesto que los afectados pueden pedir reclamaciones por daños y perjuicios.
En este punto, y según lo dispuesto por la Ley Nacional 25.326, “la responsabilidad puede ser civil, frente al titular de los datos por su manipulación o falta de cuidado y/o frente a daños y/o perjuicios que se le causaren. También, como titulares de bancos de datos, las empresas se someten a las sanciones administrativas que disponga la autoridad de aplicación y son pasibles de sanciones penales, por cuanto la ley ha incorporado tipos delictivos que han modificado el articulado del Código Penal de la Nación por la falta de protección frente a la divulgación de datos falsos, entre otros aspectos”, puntualizó Arcos Valcárcel.
A modo de conclusión, Miralles reflexionó que “es necesario aprovechar el gran esfuerzo de las empresas turísticas para encaminarse hacia la transformación digital para incluir estrategias de prevención, planificación, sensibilización y concienciación, antes de que la ciberdelincuencia se convierta en una amenaza real. Un aspecto fundamental para el éxito de la prevención es transmitir a todos los implicados, desde la dirección hasta el nivel más bajo de los empleados, y abarcar todas las áreas de negocio, no solamente la parte técnica, de manera que se den a conocer los riesgos y amenazas a las que se enfrentan, así como formarlos con procedimientos claramente definidos para convertirlos en ‘human firewalls’”.