Claves y estrategias de la protección de datos

Sin embargo, este proceso también trajo consigo un cambio de paradigma en el concepto de la seguridad. En la actualidad, no basta con proteger a los PMS (Property Management System) de posibles intrusiones, sino que también es preciso resguardar los datos de los clientes, convertidos en uno de los activos intangibles más importantes de las organizaciones.

Para comenzar, es importante aclarar qué se entiende por datos personales. Por un lado, Nelson Remolina, Siperintendente delegado para la Protección de Datos Personales de la Superintendencia de Industria y Comercio (SIC), asegura que “es cualquier información que se refiera a una persona natural, que sea identificable. Los datos más comunes son los de contacto: celular, dirección, email, sitio de trabajo, profesión. Todo lo anterior es un dato personal mientras se asocie a alguien en particular”.

Para Patricia Miralles, responsable de Innovación del Instituto Tecnológico Hotelero (ITH) de España, “la protección de datos es un aspecto fundamental en el sector hotelero, puesto que es una industria intensiva en la gestión de información de muy diversos ámbitos, desde datos económicos (tarjetas de crédito o débito, cuentas bancarias, etcétera); financieros (cuentas financieras, reservas y transacciones bancarias, balance de resultados y pérdidas y ganancias); y personales (gustos y preferencias del cliente, motivos del viaje, acompañantes, compras en el hotel, entre otros)”.

Lo anterior supone que sea la hospitalidad, a pesar de que no manejar datos sensibles (como salud, creencias o género), uno de los sectores a los que mayor atención se debe prestar en la gestión de datos, pues en la confianza e información de sus huéspedes reside la esencia del negocio.

A pesar de su relevancia, la protección de datos personales aún no parece ocupar un papel central en la agenda de muchas compañías. Miralles aseguró que en España sólo un 42% de los empresarios hoteleros dispone de un plan de seguridad integral, mientras que un 83% carece de programas de respuesta ante un ataque.

“La entrada del Nuevo Reglamento Europeo de Protección de Datos (RGPD) en mayo pasado supuso una revisión de los procesos y gestión de la información sensible y la creación del puesto del Delegado del Dato. Sin embargo, la nueva reglamentación europea relacionada con los servicios de pagos digitales (PSD2), que entrará en vigor a fines de año, provocará que las empresas tengan que garantizar un mayor nivel de seguridad en los pagos de bienes y servicios y en el acceso a los datos de los clientes por parte de terceros”, sostuvo.

Para muchos, esta normatividad ha contribuido a generar conciencia sobre la importancia de resguardar la intimidad de las personas. Sin embargo, en Colombia este conocimiento sobre la importancia de la seguridad de datos personales y sus obligaciones para protegerlos, todavía tiene mucho camino por recorrer. Desde la SIC se han llevado diferentes acciones de inspección, vigilancia, control y de sanción para quienes incumplan, pero la ley todavía se desarrolla a media marcha.

 

DATOS Y CIBERCRIMEN.  

Según el estudio de la consultora Deloitte “Expectativas 2017: tendencias del turismo en España”, el sector turístico es considerado como uno de los tres objetivos preferidos del cibercrimen, que trae consigo consecuencias para las organizaciones como “la pérdida de confianza de los clientes, el daño a la reputación y la marca, pérdidas económicas y riesgos legales. El 89% de los ataques se produce por motivos financieros y de espionaje. Esto pone de manifiesto que cualquier información puede ser monetizable”, detalla el documento.

Un mal manejo de los datos personales puede conllevar a sanciones monetarias al establecimiento o las personas que hayan incurrido en un inadecuado tratamiento; una sanción temporal o, incluso, un cierre definitivo de la empresa.

En septiembre pasado, British Airways admitió públicamente el robo de información personal y financiera de aproximadamente 400 mil clientes que habían realizado compras a través de su app y sitio web. Un mes después, Cathay Pacific reconoció un acceso no autorizado a su sistema de información integrado por más de nueve millones de pasajeros, aconsejando a los mismos el cambio de sus contraseñas y el chequeo de cualquier actividad sospechosa en sus cuentas.

Según la firma de soluciones de seguridad informática Panda Security, 2015 marcó un antes y un después en la problemática de la ciberseguridad en la hotelería, dado que gigantes como Mandarin Oriental, Starwood, Hyatt, Hilton Worldwide, Trump Hotels, Rosen Hotels & Resorts, Hard Rock Las Vegas y la empresa de servicios White Lodging fueron víctimas del robo de datos de tarjetas de crédito de sus clientes o vieron sus sistemas infectados con malware.

Consultada sobre qué medidas deberían implementar los negocios hoteleros en pos de preservar la data de sus huéspedes, Miralles señaló que se debe comenzar por realizar una evaluación global de los riesgos potenciales. Para ello, se debe contemplar la protección del acceso a la infraestructura física (redes y servidores) desde la puesta en marcha de firewalls, redes diferenciales entre la gestión del negocio y los huéspedes o los portales de autentificación. Otros aspectos a considerar son los dispositivos –ordenadores, tablets, smartphones e impresoras, que deben llevar contraseñas seguras y ser cambiadas habitualmente–, la protección de la BIOS, filtros en pantallas para evitar visualizar información confidencial, cerrar los puertos abiertos y que las transacciones económicas tengan sistemas seguros, entre otros.

Sin embargo, según Remolina, el factor humano es muchas veces ignorado y resulta esencial para reducir la vulnerabilidad. Los colaboradores deben concientizar a los empleados y capacitarlo en la información que pueden suministrar y a la que deben acceder o utilizar, además de clarificar cuáles son las actuaciones incorrectas y correctas en el manejo de datos.

La ley 1581 de 2012 también establece la importancia del Registro Nacional de Bases de Datos, directorio público de las bases de datos sujetas a tratamiento que operan en el país. Contiene información sobre cuántas bases de datos hay, su finalidad, los canales para atender a los ciudadanos, las políticas, el tipo de datos y las transferencias de información. Su utilidad principal es crear conciencia sobre el manejo adecuado de la información personal contenida en bases de datos. Actualmente, los plazos de registro de bases de datos de entidades privadas (que cuenten con activos por más de $ 1.300 millones) han vencido, y el 31 de enero vencen los de las entidades públicas. Sin embargo, las empresas que busquen adquirir más información sobre el registro o tratamiento de las bases de datos pueden contactarse con la SIC.

“Quienes tengan datos de personas deben hacer un tratamiento correcto de la información. No es solo por proteger un derecho establecido en el artículo 15 de la Constitución, sino porque eso les genera mayor fidelización, mayor confianza; no afecta la reputación de una organización y se protegen sus principales activos”, explicó Remolina.

 

TECNOLOGÍAS VULNERABLES.

El avance de las tecnologías supone permanentes retos para la industria hotelera y su seguridad. Por caso, el almacenamiento en la “nube” –que permite mayor accesibilidad desde cualquier localización y dispositivo– trae una serie de riesgos potenciales que se deben mitigar.

“Se tiene que vigilar la seguridad de las APIs (interfaces de conexión con terceros para el intercambio de información), la compartición de los mismos servidores para diferentes clientes, los secuestros de sesión que permiten la obtención de las credenciales de terceros para acceder fraudulentamente, los sistemas de copias de seguridad y restauración que podrían provocar pérdidas de información, entre otros factores”, expresó Miralles.

Por ello, se emitió la norma ISO 27018/2014, un estándar internacional que establece criterios sobre control y directrices en relación a la protección de la información de identificación personal para el almacenamiento público en la nube.

Otra de las aristas más sensibles es el pago a través de medios electrónicos. La especialista del ITH aportó posibles soluciones a este conflicto: “Puede trabajarse de manera que, al momento de almacenar la numeración clásica de una tarjeta, se realice a través de un código llamado token o derivar el almacenaje de la información en un tercero, quien proporcione la seguridad”.

Más allá de la tecnología, el factor humano es central en este tema. Cuando se registra un robo de información de forma interna, es importante que las empresas comuniquen la situación a la autoridad competente, quien abrirá una investigación para precisar la responsabilidad del establecimiento o empleados con base a las medidas tomadas antes, durante y después de la filtración de datos. La responsabilidad puede ser civil, por su manipulación o falta de cuidado, o de la empresa.

A modo de conclusión, Miralles reflexionó que “es necesario aprovechar el gran esfuerzo de las empresas turísticas para encaminarse hacia la transformación digital para incluir estrategias de prevención, planificación, sensibilización y concienciación, antes de que la ciberdelincuencia se convierta en una amenaza real. Un aspecto fundamental para el éxito de la prevención es transmitir a todos los implicados, desde la dirección hasta el nivel más bajo de los empleados, y abarcar todas las áreas de negocio, no solamente la parte técnica, de manera que se den a conocer los riesgos y amenazas a las que se enfrentan, así como formarlos con procedimientos claramente definidos para convertirlos en ‘human firewalls’”.

SEIS MEDIDAS PARA LA PROTECCIÓN DE DATOS

La consultora Deloitte enumeró una serie de recomendaciones de seguridad que pueden poner en práctica las organizaciones del sector turístico para prevenir y reducir el riesgo de ataques a su información confidencial:

• Seguridad en los datos. No reunir información personal de los clientes que no sea necesaria y limitar su acceso a terceros. Realizar un almacenamiento seguro y un test periódico de vulnerabilidades.
• Restringir a los empleados el acceso de datos sensibles y limitar el número de accesos de administrador.

• Monitorización y segmentación de la red 24x7 para detectar accesos no autorizados y cualquier actividad maliciosa sobre los sistemas. Segmentar la red y localizar los datos más sensibles en un lugar seguro.
• Limitar los accesos remotos para clientes y empleados.

• Exigir medidas de seguridad a los proveedores y monitorizar el cumplimiento de las medidas de seguridad adoptadas por terceros.
• Establecer medidas organizativas que complementen y den sentido a las medidas técnicas implantadas.