Entradas

ITH Innovation Summit Notebook: Ciberseguridad hotelera, una inversión más que rentable

Ciberseguridad hotelera, una inversión más que rentable

El sector turístico es, sin ninguna duda, uno de los más importantes de nuestro país. Sin embargo, a día de hoy podemos decir que está a la cola de los sectores más seguros. La concienciación y la ciberseguridad se vuelven esenciales para garantizar la seguridad de las infraestructuras hoteleras.

La importancia de la ciberseguridad en la hostelería

El sector hotelero es el tercer sector más propenso a sufrir ciberataques. Sin embargo, según el informe “Tendencias y Evolución del Turismo: Expectativas 2017”, publicado en abril de ese mismo año por la auditora Deloitte, mientras que el 40% de los CEO españoles del sector turismo apuesta claramente por una estrategia digital, solo el 5% tiene como reto acelerar los temas relativos a la ciberseguridad. De esta forma, si unimos que es un sector con un alto riesgo de ser atacado con el bajo interés por desarrollar una estrategia en ciberseguridad, da como resultado un aumento exponencial en las posibilidades de sufrir un ataque.

Quizá esa preocupación sólo del 5% por la ciberseguridad se deba a que las compañías hoteleras no son conscientes del alcance que puede llegar a tener un ciberataque para su negocio. Y es que hay que tener en cuenta que un ataque puede afectar y hasta inhabilitar servicios tan básicos como: el control de las cámaras de videovigilancia, los sistemas de ventilación, la apertura y cierre de puertas de acceso al hotel, parking o habitaciones, el sistema de reservas y un largo etcétera. Más aún si cabe con el auge del IoT, que hace que el número de dispositivos conectados vaya en aumento. Además de peligros como por ejemplo el phishing o los referentes a las redes wifi a la que acceden los huéspedes.

¿Cómo aumentar la seguridad de mis infraestructuras hoteleras?

A veces parece que necesitamos ver noticias impactantes en las portadas de los diarios para empezar a ser conscientes del riesgo real. La intención no es alarmar al sector hotelero, ni a ningún otro, claro está. Sólo animar a las empresas a que tomen las primeras decisiones en favor de la ciberseguridad de sus infraestructuras críticas.

La ciberseguridad debe comenzar por securizar lo más básico de sus infraestructuras e ir ampliando la cobertura. En ningún caso una compañía se debería negar en rotundo a invertir en ciberseguridad y quedarse totalmente expuesta. Si ninguna compañía hotelera correría el riesgo de descuidar su seguridad física, ¿por qué sí descuidar la ciberseguridad?

Debemos tener en cuenta de inicio la reputación de la organización está en juego.  Muchos se preguntan si es rentable o no invertir en ciberseguridad, pero yo les preguntaría cuánto vale la reputación de sus empresas.

Las compañías hoteleras deben buscar soluciones y servicios adaptados que les ayuden a controlar tanto la exposición, como sus sistemas industriales. El objetivo es claro: agilizar y minimizar o incluso eliminar los impactos negativos con procesos tales como identificar, proteger, detectar, responder y recuperar.

Estas compañías no difieren de cualquier organización en cuanto a la integración de las tecnologías de la información se refiere, con lo que tampoco deberían de diferir sus estrategias de ciberseguridad. Servicios que mantengan las constantes de cibervigilancia como pueden ser sondas sobre los sistemas y potenciar las alertas gestionadas deberían ser una de las prioridades. Y como no, invirtamos en concienciación de la organización

Más allá de invertir en tecnología, existe otro modo de inversión: la concienciación. La ciberseguridad es esencial en cualquier organización, pero la ciberseguridad para hoteles es especialmente importante por la cantidad de datos personales que se manejan. El personal hotelero trabaja continuamente con datos sensibles de clientes: documentos de identidad, direcciones, tarjetas de crédito, etc. por lo que son objetivo fácil de cibercriminales.

La minimización de los riesgos se consigue con la concienciación tanto de los directivos como del resto del equipo. En Alhambra-Eidos siempre hemos sido conscientes de la importancia de la formación en ciberseguridad, desde nuestra área especializada OneseQ, impartimos cursos de concienciación que tratan la ciberseguridad para las empresas y en concreto para hoteles.

Si estás interesado en securizar la infraestructura crítica de tu hotel o en ampliar información sobre los principales programas formativos en ciberseguridad, entre los que se encuentran los de concienciación, no dudes en ponerte en contacto con nosotros en www.OneseQ.es.

Contacto:

Sergio García

Business Development Manager | CYBERSECURITY

OneseQ (by Alhambra-Eidos)

ITH Insight: Cuál es el perfil del ciberdelincuente profesional

La ciberdelincuencia puede ser considerada como cualquier otro tipo conocido de delito, aunque el perfil del delincuente informático ha evolucionado a lo largo de los últimos años, acercándose a una clase de sujetos que intensifican sus objetivos, destacando, entre otros, los fines económicos.

Según el informe IOCTA 2017 de European Cybercrime Centre, en los últimos 12 meses se han observado una serie de ciberataques sin precedentes a escala global, gran impacto y propagación. Estos han alertado a la sociedad de manera generalizada, pero tan sólo representan una pequeña muestra de la amplia gama de ciberamenazas a la que nos enfrentamos.

Como fue el caso de ransomware (Wannacry y Petya) que afectó indiscriminadamente a víctimas en múltiples industrias. Este mismo año se han producido los primeros ataques serios de botnets que usaban dispositivos del Internet de las Cosas (IoT). Otro aspecto clave han sido los incumplimientos en la protección de datos con la divulgación de grandes cantidades datos. Por último, destacar el fraude on line que tiene un mayor impacto en los sectores minoristas, aéreo y de alojamiento.

Tan solo España sufrió en 2017 más de 120.000 ataques cibernéticos, según el Instituto Nacional de Ciberseguridad (INCIBE), lo que supone un 140% en los dos últimos ejercicios y muy lejos de los 18.000 ataques sufridos en 2014.

Es por ello que es necesario conocer al “enemigo”, ya que tradicionalmente se consideraba que la delincuencia informática era propia de jóvenes de clase media, obsesionados por el poder, conocimientos o una mejor consideración entre sus amigos o compañeros de trabajo, que actuaban sin fines lucrativos inmediatos y, en algunos casos, con ánimo de venganza.

Sin embargo, la psicología más actual ha definido al ciberdelincuente como un sujeto joven, sin antecedentes penales, inteligente, socialmente integrado y con un nivel medio, medio-alto de especialización tecnológica, tal como refleja el estudio de investigación realizado por la investigadora principal M. Luisa Fanjul de ESERP Business School y su grupo de investigadores[1] apoyado por el ITH (Instituto Tecnológico Hotelero), y patrocinada por Cuadernos de Seguridad.

Por otro lado, y, si bien es cierto que existe la ciberdelincuencia organizada, es frecuente que el ciberdelincuente actúe de forma individual, y se pueden agrupar en ciber-psicopata, ciber-neurótico, ciber-psicótico y ciber-sociópata.

CIBER-PSICÓPATA: ciber-exitoso y ciber-ejecutor

El ciber-exitoso podría definirse como un sujeto que busca nuevas sensaciones a través de la comisión del delito. Su principal motivación es económica, a pesar de ser profesionales de éxito.

Son personas narcisistas, que otorgan valor a los bienes materiales, con una gran capacidad para mentir y manipular, y una total ausencia de remordimiento.

Las actividades delictivas más frecuentes son los fraudes, la evasión fiscal o la competencia desleal.

El ciber-ejecutor responde al perfil de un sujeto que ha crecido en un ambiente marginal, lo que le ha propiciado un estilo de vida antisocial. Es egocéntrico y violento. No tiene ninguna vinculación real con nadie y sólo buscan el placer más inmediato e intenso. Disfruta humillando, por lo que no dudará en difamar todo aquello que no coincida con su forma de ver las cosas.

Habitualmente son una combinación de dos perfiles: los haters (odiadores) quienes desprecian o  critican destructivamente a una entidad por causas poco racionales o por el mero acto de difamar para causar el máximo daño posible, y los doxings (acosadores) quienes publican datos que sirven para avergonzar y difamar públicamente a sus víctimas.

CIBER-NEURÓTICO: ciber-manipulable

El perfil de ciber-manipulable son personas inseguras de sí mismas y esta falta de confianza en uno mismo les hace que otras personas asuman decisiones importantes sobre su propia vida. Este tipo de ciberdelincuentes, son sujetos con muy poco control sobre sus acciones, ya que muestran inseguridad y sensación de pérdida en la vida. Un ejemplo de ciber-manipulable serían los terroristas informáticos.

CIBER-PSICÓTICO: ciber-enajenado y ciber-salvador

El perfil del ciber-enajenado está condicionado por un trastorno delirante que le sume en una serie de creencias falsas cuya consecuencia más directa es la pérdida del contacto con la realidad, como consecuencia, sus acciones son incontroladas y si sitúan fuera de todo sentido común. Elige a sus víctimas porque se siente amenazado, humillado o ultrajado por ellas. Buscarán con la difamación a un grupo de personas que difundan y apoyen sus argumentos.

Por otro lado, existe una variante que es el ciber-salvador, donde el sujeto cree haber sido elegido para desarrollar una misión muy importante o para «salvar al mundo» de algún peligro indefinido. Buscará seguidores de su causa, ejerciendo de líder y guía como consecuencia del sentimiento de superioridad.

CIBER-SOCIOPÁTA: ciber-inadaptado

El ciber-inadaptado busca satisfacer necesidades de pertenencia a grupo, autoestima y autorrealización. Tiene problemas de identidad, y el reconocimiento público le ayuda a sentirse seguro. Este sujeto no dudará en quebrantar la seguridad de su empresa, buscará brechas demostrando su superioridad, para luego reconocer su autoría, argumentando que lo ha hecho por el bien de la organización y ofreciendo la posibilidad a la compañía de estar a salvo ante amenazas externas.

Aquí puede descargarse la infografía

JORNADAS ITH SOBRE SEGURIDAD DIGITAL EN HOTELES

De manera que una de las principales recomendaciones sería que los empleados y responsables de las empresas necesitan ser concienciados para reconocer y responder en consecuencia a las tácticas criminales, por ello los Estados miembros de la UE deben seguir apoyando y ampliando su compromiso en el desarrollo de campañas paneuropeas de prevención y sensibilización.

En este marco, desde ITH hemos organizado el segundo ciclo de jornadas sobre seguridad digital en alojamientos turísticos a lo largo del año, terminando en Valencia el próximo 3 de octubre. Por ello invitamos a los hoteles, apartamentos, hostales y empresas turísticas interesadas en conocer cómo proteger su negocio y prevenir posibles ataques, pudiéndose apuntar en este enlace 

 

Patricia Miralles

Responsable del área de Innovación – ITH

 

[1] Dr. Roberto Morales, D. Pablo Molero Salvatierra, D. Julio César Úbeda Fernández, Dña. Miriam Caba Melchor, D. Andrés Cartes Guilarte, D. Ian Sánchez García y Dña. Raquel López Vega.

El cibercrimen está en auge, y el sector hotelero se está preparando

El cibercrimen está en auge, puesto que la evolución de los incidentes en infraestructuras no críticas se ha multiplicado por 10 en cuatro años, según el estudio sobre ciberseguridad de INCIBE, el Instituto Nacional de Ciberseguridad del Ministerio del Interior.

Este crecimiento se atribuye al incremento en el uso de la tecnología en todos los ámbitos de la gestión empresarial, auspiciado por la mejora de la conectividad (fija y móvil) y por el aumento de dispositivos conectados (IoT).

El sector turístico se ha convertido en el tercer objetivo de la ciberdelicuencia, no solamente por la cantidad y tipología de datos que maneja, sino además por la amplitud de interconexiones con sistemas terceros (para la comercialización y distribución, para la gestión de reservas, para la gestión de la relación con el cliente…) que abren posibles puertas de entrada, y por las diferentes áreas de negocio que se pueden ver atacadas.

Habitualmente nos muestran cuáles pueden ser las amenazas más habituales, pero no siempre conocemos las posibles soluciones para prevenir los ataques.

¿Por dónde empiezo a protegerme ante la ciberdelicuencia?

Esta es seguramente la primera pregunta que se plantea ante las continuas noticias sobre el secuestro de ordenadores pidiendo un rescate en criptomonedas, el ataque de denegación de servicio que ha tumbado los servidores de importantes compañías o el robo de datos de empresas bancarias o de redes sociales.

La respuesta es sencilla, haga un plan director de de seguridad, en el cual se marcan las prioridades, los responsables y los recursos que se van a emplear para mejorar nuestro nivel seguridad en el mundo digital, puesto que solamente un 35% de las pymes hoteleras cuenta con un plan. Aquí puedes encontrar cómo realizar un plan director de seguridad en hoteles.

Habitualmente, las grandes empresas son conscientes de estos riesgos y cómo actuar para protegerse, sin embargo son las pymes quienes están más expuestas, y suelen pensar que no serán atacadas al no contar con información relevante. Pero estos ataques no son efectuados por personas, sino por máquinas que buscan las vulnerabilidades en los sistemas y equipos.

Recomendaciones sencillas

Por tanto, queremos mostrar algunas recomendaciones sencillas que se pueden poner en marcha por el propio hotel:

  • proteger el ordenador con antivirus y antimalware
  • mantener actualizado los equipos, los sistemas operativos y todos los programas instalados en los dispositivos
  • no instalar ni descargar nada que no se haya elegido o de fuentes de confianza (nada de descargar el último juego que aparece en el anuncio web)
  • no pulsar enlaces de e-mails cuyo remitente sea desconocido (ni aunque sea una promoción especial en las rebajas)
  • establecer una política de contraseñas, indicando la complejidad, la caducidad y el almacenamiento (la contraseña más utilizada es 123456, y el mejor lugar en un pos-it en la pantalla)
  • hacer copias de seguridad periódicamente, para poder continuar el negocio en caso de ataque
  • asegurar que las wifis públicas son seguras o están protegidas por un usuario y contraseña
  • borrar las cookies del navegador frecuentemente (con ellas, vigilan lo que haces…)
  • precaución al navegar, no aceptar opciones de “Pop-Ups” (cerrar con Alt-F4)
  • no dar datos bancarios/tarjetas por Internet, nunca por email, y solo en páginas conocidas HTTPS://

Herramientas básicas para concienciar y formar al persona

Hay que destacar el gran olvidado pero el más importante, la concienciación y formación del personal de nuestra empresa, dado que las empresas tienden a incorporar tecnología para tapar sus brechas de seguridad y pocas se dan cuenta de que sus propios empleados contribuyen a dicha inseguridad.

El factor humano está implicado en las malas decisiones y acciones incorrectas que suponen, a veces, la entrada de los hackers, desde un técnico que crea una inseguridad en el programa informático, el usuario que hace click en un enlace o archivo incorrecto, la instalación de una actualización no prevista, o la más común, del uso de contraseñas no seguras o escritas en un lugar público. Por tanto, podemos comenzar por concienciar a los empleados a re-aprender una serie de buenos hábitos, puesto que la seguridad digital no recae solamente en el personal técnico, sino que es una cuestión de todos.

Para ello, podemos contar con herramientas básicas ofrecidas por la Administración pública, a través del INCIBE, como son el kit de concienciación, que ofrece unos ejercicios para conocer el nivel de concienciación en seguridad, un proceso formativo para el personal, y unos consejos de seguridad para remitirse de forma periódica a modo de recordatorio

También se ofrece un itinerario formativo para el sector ocio, caracterizado por el tipo de datos que maneja (clientes, reservas, horarios, tarjetas, etc.) y que depositan su confianza en proveedores de servicios tecnológicos. Estos videos, infografías y enlaces tratan, además de cuestiones generales de ciberseguridad, riesgos específicos como el robo de datos de clientes, la relación con proveedores TIC, el acceso remoto a los sistemas, el uso de redes inalámbricas y el fraude en comercio electrónico.

Jornadas sobre seguridad digital en hoteles

De todos estos temas, se hablará en el segundo ciclo de jornadas sobre seguridad digital en hoteles, que comienza en Palma de Mallorca el próximo 26 de abril, continuando con Bilbao el 17 de mayo y en Zaragoza el 13 de junio.

Como resumen, podemos decir que, aunque la seguridad 100% no ha existido, ni existe, ni existirá, pero habrá que ponerlo lo más difícil posible.

Infraestructuras virtuales en hoteles, el gran reto de la ciberseguridad

Varios expertos apuntan al propio personal de los establecimientos como el punto crítico vulnerable en la cadena de venta e inciden en la necesidad de asumir que la seguridad es cara pero obligatoria

La realización de auditorías de red y permitir una conectividad cómoda y segura al cliente son algunas de las recomendaciones realizadas hoy en HackHotel 2017

La segunda jornada de HackHotel 2017 comenzó con una mesa coloquio que puso de manifiesto la importancia y el valor de la seguridad y de la gestión eficiente de las infraestructuras digitales en el ámbito del sector hotelero. El I Congreso Nacional de Ciberseguridad Hotelera, HackHotel 2017, está organizado por Ashotel en el Auditorio de Tenerife Adán Martín, en estrecha colaboración con el Gobierno de Canarias, a través de la Agencia Canaria de Innovación, Investigación y Sociedad de la Información (Aciisi).

Luis Ocaña, gerente de Cuentas de Extreme Networks; Javier Pérez, arquitecto de Soluciones y Preventa de HPE Aruba; y Xavier González, cofundador y jefe de la Oficina Tecnológica (CTO) de Open Cloud Factory fueron los participantes en esta primera mesa redonda de la jornada, titulada ‘Infraestructuras seguras’, y moderada por Álvaro Carrillo, director general del Instituto Tecnológico Hotelero (ITH). Los intervinientes coincidieron en destacar el valor que tanto para el establecimiento hotelero como para el cliente tiene la seguridad digital, una conectividad segura y eficiente, el conocimiento de la información y la gestión responsable de los datos.


Luis Ocaña recalcó que la “infraestructura digital es importante porque lo comunica todo. Saber lo que está pasando también es importante para generar oportunidades de negocio”. Desde su punto de vista, conocer lo que pasa en la infraestructura, colaborar entre los distintos sistemas para contener las amenazas, hacer un inventario de los dispositivos que se conectan, tener una configuración personalizada, saber qué está haciendo el cliente para dar una mejor experiencia y disponer de sistemas versátiles son aspectos fundamentales.

Javier Pérez se refirió al gran desafío que supone la conectividad en los establecimientos hoteleros en los que confluyen los huéspedes, los servicios corporativos del propio hotel y también los servicios operativos. En este punto, destacó “la necesidad de invertir en seguridad con el uso de herramientas y soluciones tecnológicas que garanticen la seguridad y que al mismo tiempo permitan obtener indicadores de coLa gestión de la identidad, la protección y el conocimiento de los usos y de los recursos disponibles en cada establecimiento, la interacción digital con el huésped y los filtros de control son, a su juicio, herramientas muy valiosas.

Por su parte, Xavier González recalcó el reto que supone para el sector hotelero este escenario. “Hay que tener mucho orden y control y tener las redes muy organizadas”. En su opinión, facilitar la conectividad, realizar un control exhaustivo de las conexiones, analizar los datos disponibles y garantizar la seguridad son aspectos a tener muy en cuenta en la gestión de las infraestructuras.

Punto crítico en la cadena de venta

Las brechas de seguridad en los procesos de venta en el sector hotelero fueron analizadas en la mesa coloquio ‘¿Vendemos o vendidos?’, que contó con la participación de Juan Monea, director de Ventas de Availpro España; Björn Tronholm, director general de Noray; David Martín, jefe de Datos y Proyectos I+D de Grupo Logitravel y Sergio González, jefe de la Oficina Tecnológica de Regency Resorts, moderada por Pablo Delgado, director general de Mirai.

Los ponentes coincidieron en que la parte más vulnerable dentro de los distintos canales y actores de ventas se localiza en los hoteles, donde de manera generalizada no existe conciencia de la importancia que tiene la seguridad en el manejo de los datos. El punto crítico, a juicio de los intervinientes, es el personal del hotel. En este sentido, incidieron en la necesidad de cambiar la mentalidad de las personas, invertir en ciberprevención y asumir que la seguridad es cara pero al mismo tiempo obligatoria. Asimismo, destacaron que no existe el riesgo cero, pero recomendaron tomar todas las medidas posibles para minimizar los riesgos. Además, recomendaron a los hoteles efectuar auditorias de red para conocer el estado de sus infraestructuras digitales.

“Hay que empezar a hacer algo, analizar la situación y tomar un punto de partida, porque una vez que el dato está en el hotel corre mucho riesgo. Hay que resolver los conflictos que se generan en la operativa de un hotel”, apuntó Juan Monea.

“La seguridad cuesta dinero y es incómoda y esto supone todo un reto para los hoteles. No se puede sobrevivir sin tecnología y los sistemas informáticos son un punto crítico”, afirmó Björn Tronholm.

Desde la perspectiva de Logitravel, David Martín resaltó la importancia de facilitar la labor a los hoteles, especialmente a los hoteles independientes, con servicios eficientes y seguros. “El volumen de ataques es una barbaridad. Son diarios y cuando no tienes el equipo técnico necesario y no haces los esfuerzos necesarios, estos ataques no se ven”, dijo.

Por su parte, Sergio González indicó que la mayoría de hoteles no da importancia a los sistemas de seguridad digital y que resulta muy fácil romper los sistemas ya establecidos. “El hotel independiente es el que tiene el gran reto de la seguridad. Debemos identificar la tecnología disponible y las empresas especializadas. Vivir en la ciberrealidad, identificar las brechas, trabajar en el entorno más seguro posible, monitorizar y prevenir”, afirmó.

 

Ponencias

En el apartado de ponencias, Jesús Rodríguez, director de Ingeniería del Instituto Tecnológico y de Energías Renovables (ITER) de Tenerife, tituló su charla ‘Cloud intelligence & transformation’ y profundizó en varias de las líneas de trabajo que se desarrollan en este centro ubicado en Granadilla de Abona. Disponer de servicios en la nube diseñados para una mayor resistencia para tener mayor capacidad de recuperación y mayor seguridad frente a los ciberataques son algunos de los aspectos que puso sobre la mesa Jesús Rodríguez, quien se refirió a diversos proyectos liderados por el ITER como Canalink, que ha permitido la conectividad con el exterior, la puesta en servicio de un anillo insular de telecomunicaciones, el Data Center D-Alix, la entrada en funcionamiento del Supercomputador, el segundo más potente de España; o el Centro de Excelencia de Desarrollo e Innovación (CEDEi).

La jornada de la mañana finalizó con la ponencia ‘Normalización en seguridad y acceso a datos’, a cargo de Javier Lantigua, técnico de Desarrollo de Negocio de Aenor. En su exposición abordó el proceso de certificación ISO-27001, un mecanismo para gestionar la seguridad de la información desde la disponibilidad, la integridad y la confidencialidad de los datos existentes en el ciberespacio. Este mecanismo establece un sistema de seguridad integral para el control de los procesos, las infraestructuras, los sistemas o tecnología y las personas y permite definir, implantar, revisar y adoptar medidas correctoras para activar mecanismos de seguridad adecuados a cada riesgo definido. El certificado tiene una validez de 3 años y está sujeto a auditorías anuales. Lantigua explicó la utilidad de este certificado en el sector hotelero, un ámbito con un uso intensivo de las TIC y con amenazas tan graves como ataques que provocan la disrupción del negocio y afectan a la calidad del servicio.

Seguridad Digital: Hoy son los bancos, mañana puede ser tu hotel

Las Jornadas sobre Seguridad Digital en Hoteles, que ITH organiza los días 5 de octubre en Madrid y 25 de Octubre en Benidorm, ofrecerán a los hoteleros las soluciones y herramientas para hacer frente a esta amenaza potencial. 

Leer más