Seguridad de datos en el sector de la hostelería thumbnail picture
  25 May 2023
 824 views
Artículo

Seguridad de datos en el sector de la hostelería


Preocupaciones, mejores prácticas y por qué considerar la implementación de la "plataforma Salesforce" con seguridad añadida de Booking Ninjas

Las violaciones de datos en la industria hotelera, especialmente en los hoteles, se han convertido en algo habitual. De hecho, la mayoría de las grandes cadenas hoteleras han sido víctimas de ataques de ciberseguridad en los últimos años. Las grandes empresas hoteleras se han convertido en un objetivo principal para los ciberdelincuentes, lo que hace que las medidas adecuadas de seguridad de datos sean vitales. En 2015, el informe de Verizon Data Breach Investigation Report estimó el coste anual de la ciberdelincuencia mundial en la asombrosa cifra de 100.000 millones de dólares.

La seguridad de datos es una consideración crucial para las empresas de muchos sectores, especialmente la hostelería. Debido al tipo de datos que recopilan estas empresas, cualquier violación de datos provoca un pánico exponencial en bases enteras de clientes, de las que podría llevar años recuperarse, si es que se recupera. El escrutinio público, el daño a la reputación y la enorme responsabilidad financiera son suficientes para garantizar que la seguridad de datos sea una prioridad absoluta en todo el sector. Hoteles, moteles, complejos turísticos, propiedades comerciales de alquiler y complejos de apartamentos albergan grandes cantidades de datos personales sensibles de los huéspedes, incluidos nombres, direcciones, correos electrónicos, números de teléfono, información de tarjetas de crédito, así como información de pasaportes y permisos de conducir.

Los ciberdelincuentes, hackers, estafadores o cualquier otro nombre que se les quiera dar, atacan al sector hotelero con más frecuencia que a otros. Desde su punto de vista, la hostelería es el blanco perfecto. Las múltiples bases de datos y los numerosos dispositivos que contienen información personal y datos de tarjetas de crédito la convierten en un tesoro de oportunidades para su supervivencia y beneficio económico.

La pandemia de coronavirus ha provocado un aumento de este tipo de actividad delictiva. Con millones de personas sin trabajo, nuevos delincuentes con diferentes habilidades se están dedicando al negocio de la ciberdelincuencia como medio de supervivencia. Y a pesar de la enorme caída del negocio durante este tiempo, los sistemas de seguridad del sector de la hostelería son los más vulnerables

SEGURIDAD DE LOS DATOS EN LA HOSTELERÍA

Soberanía de datos

La soberanía de datos se refiere a los derechos de almacenamiento de datos de empresas y clientes en función de la geografía. Las leyes asociadas a ella existen para asegurar los datos y garantizar la privacidad de las poblaciones frente a amenazas extranjeras. La cuestión ha cobrado protagonismo en todo el mundo, sobre todo porque los países occidentales, entre ellos Estados Unidos, se oponen firmemente a China, que básicamente controla Internet en todos sus aspectos. Las diferentes filosofías son de suma importancia si se tiene en cuenta el gran número de sistemas de ciberseguridad que ofrece China y cómo su diferente punto de vista filosófico se refleja en el funcionamiento de sus sistemas. Básicamente, el gobierno chino tiene derecho a ver cualquier dato seguro que contenga cualquier sistema de ciberseguridad fabricado en China. 

La soberanía democrática de los datos asociada a las democracias occidentales refleja directamente sus sistemas de controles y equilibrios. Cualquier empresa tiene derecho a divulgar o retener cualquier información contenida en su sistema de ciberseguridad. Cualquier empresa estadounidense o europea puede enfrentarse al gobierno y viceversa en este terreno. No es el caso de China. Por lo tanto, cualquier empresa de hostelería estadounidense o europea debe comprender el riesgo que corre al implantar tecnología china con fines de ciberseguridad. China ha estado relacionada con muchos ciberataques a cadenas hoteleras estadounidenses a lo largo de los años.

Otros países con sistemas gubernamentales similares a China también pueden ser propensos a filtraciones, piratería informática o confiscación de datos por parte de los gobiernos locales. Por eso la selección geográfica es tan vital a la hora de elegir un software de ciberseguridad.

Diligencia financiera

Investigar la viabilidad financiera de un proveedor de ciberseguridad es otra consideración importante. Las empresas con escasez de liquidez o que acaban de empezar pueden no ser capaces de ofrecer el mismo nivel de ciberseguridad e innovación que los proveedores más consolidados. A menudo recurrirán a ofrecer un servicio más asequible, pero hay que tener en cuenta el viejo refran: "obtienes lo que pagas".

Propiedad compleja

Las empresas del sector de la hostelería suelen tener estructuras de propiedad complejas en las que franquiciadores, propietarios individuales o grupos de propietarios trabajan con una empresa de gestión como sus "ojos y oídos" sobre el terreno. Son un equipo que trabaja conjuntamente y asume responsabilidades separadas para garantizar el buen funcionamiento del negocio. En consecuencia, todos ellos utilizan diversos sistemas informáticos para almacenar datos, que inevitablemente se mueven con frecuencia a través de sus numerosos sistemas a diario.



Dependencia de los medios de pago electrónicos

Debido a la naturaleza de su negocio, el sector hotelero depende en gran medida de las tarjetas de crédito y otras formas de pago electrónico sin papel. Los hoteles suelen pedir los datos de la tarjeta de crédito para hacer una reserva, y los pagos finales suelen hacerse con la misma tarjeta que ya está registrada. Es una cuestión de comodidad tanto para los clientes como para el personal.

Esta conclusión es música para los oídos de los ciberdelincuentes, cuyo pan de cada día es infiltrarse en los sistemas de "puntos de venta" (POS) para robar información de tarjetas de débito y crédito. Y una vez que un único POS de un sistema ha sido hackeado con éxito, existe un enorme riesgo de que todo el conjunto de sistemas interconectados se vea comprometido. Y lo que es peor, este tipo de ataques pueden pasar desapercibidos en sistemas más grandes durante meses.

Procesos de eliminación

Casi el 20% de las empresas hoteleras no dispone de ninguna política de almacenamiento o eliminación de documentos confidenciales en papel y casi un tercio de ellas no cuenta con un protocolo regulado de almacenamiento y eliminación de la información electrónica de sus clientes.

Rápida rotación de personal

Formar al personal con los protocolos adecuados para recopilar y almacenar datos personales de forma segura es una preocupación primordial para las empresas hosteleras. Se requiere formación adicional para garantizar que la plantilla sepa cómo identificar los intentos de ingeniería social y esté familiarizada con las directrices de cumplimiento de la empresa. El hecho de que muchos empleados del sector de la hostelería sean temporeros o tengan distintos grados de formación necesaria es motivo de gran preocupación. Los traslados frecuentes de empleados también son habituales en las empresas de hostelería. Especialmente en las grandes cadenas hoteleras corporativas, donde anuncian esa opción a su personal como incentivo laboral.

Mantener una plantilla bien formada resulta cada vez más difícil si se tiene en cuenta la elevada tasa de rotación y los frecuentes traslados de personal en el sector de la hostelería. Basta con que un miembro del personal no esté familiarizado con el protocolo de seguridad de datos necesario para que un ciberdelincuente se aproveche de él para piratear el sistema de una empresa y acceder a información confidencial.

Manipulación humana

Los ciberdelincuentes han cambiado sus tácticas de enfoques tecnológicos a enfoques más humanos para aprovecharse del comportamiento humano básico. El personal de tu empresa puede ser tu mayor amenaza para la seguridad porque es el más vulnerable a los ataques de los piratas informáticos. Los intrusos se aprovechan del comportamiento humano normal para robar credenciales e infiltrarse en las redes. Se aprovechan de emociones humanas básicas como el miedo, la confianza, la moralidad, la conformidad y la curiosidad para extorsionar información.

Cumplimiento

El riesgo para la seguridad de datos en el sector de la hostelería es mucho mayor que las ramificaciones negativas para la reputación de una empresa en caso de que se produzca una filtración de datos. El sector y los reguladores políticos se han vuelto más estrictos en los últimos años con respecto a la forma en que las organizaciones procesan y almacenan la información personal. La responsabilidad de proteger la privacidad de las personas y los medios financieros de la función ha crecido a pasos agigantados en la última década. El incumplimiento de las normativas más estrictas conlleva graves ramificaciones capaces de dejar a las empresas fuera de juego y dañar gravemente su capacidad para seguir desarrollando futuras actividades hosteleras. También se imponen cuantiosas multas a quienes no protegen a sus clientes, que por sí solas bastan para dejar fuera de juego a muchas pequeñas empresas.

Ataques internos

Aunque menos común que otros riesgos, la amenaza de que los empleados de una empresa vendan datos a terceros sin el conocimiento de su empleador es una preocupación muy real para las empresas de hostelería. Los complejos turísticos y las cadenas hoteleras más pequeñas, en particular, no pueden ofrecer beneficios e incentivos como su competencia más grande, lo que podría aumentar el incentivo para que un trabajador temporal se aproveche de su posición de confianza.

LAS MEJORES PRÁCTICAS PARA LA SEGURIDAD DE DATOS EN EL SECTOR DE LA HOSTELERÍA

Cifra siempre los datos de las tarjetas de pago

Cifrar los datos de pago garantiza que sólo los empleados debidamente formados y de confianza podrán acceder y ver la información de pago de los clientes a través de sus contraseñas o certificaciones de acceso.

Mantén una plantilla bien formada

Para garantizar la seguridad de datos, cada vez es más necesario impartir una formación más exhaustiva a todo el personal. Unas políticas claras y estrictas sobre la eliminación de documentos físicos confidenciales y la limpieza de registros electrónicos son fundamentales para todas las empresas de hostelería.

La formación del personal para identificar posibles amenazas es otro paso fundamental para garantizar la seguridad de los datos de la empresa. Educar al personal en los métodos básicos de obtención de información por parte de piratas informáticos aumentará la seguridad de tu empresa en su conjunto.

Medidas de ciberseguridad

El cortafuegos, la supervisión de la red, el antimalware y el filtrado del tráfico ayudan contra las amenazas de seguridad más comunes. Tener todas las medidas dentro de un sistema aumenta su producción y mejora la seguridad de la empresa. Uno de estos sistemas integrales es el que ofrece Booking Ninjas.

Pon a prueba tu ciberseguridad

Probar de forma interna las defensas de seguridad cibernética de tu organización asegura que la protección esté funcionando correctamente. Reflejar el comportamiento de un hacker real para probar la respuesta de tu seguridad cibernética es una medida de precaución necesaria e inteligente.

Contratar a una empresa de auditoría de ciberseguridad garantiza la simulación de un hacker experto para asegurarse de que tu sistema está a la altura de los ataques más rigurosos.

Limita el acceso de los empleados a los datos

No todo el mundo necesita tener acceso a toda la información. Aplicar el principio de jerarquía, cadena de mando, códigos de acceso, contraseñas e insignias electrónicas de acceso limita quién tiene acceso a la información sensible. Esto ayudará a tu empresa a garantizar que sólo los miembros del personal de mayor confianza, fiables y bien formados son los encargados de manejar los datos sensibles.

¿A QUIÉN PUEDES CONFIAR TU CIBERSEGURIDAD?

Comprender los riesgos de la seguridad de datos y aplicar medidas de seguridad para mitigarlos son pasos necesarios para todas las organizaciones que operan en el sector de la hostelería. Pero ninguna de ellas garantiza tu protección ni la de tus clientes frente a los ciberataques y las violaciones de datos.

Para cualquier empresa de hostelería que se disponga a implantar un sistema de ciberseguridad, hay factores importantes que deben tenerse en cuenta. Los principales son la selección geográfica, la diligencia financiera y la arquitectura informática.

La máxima prioridad para cualquier hotel o negocio de hostelería a la hora de limitar el riesgo cibernético es ser meticuloso en la selección de un proveedor de ciberseguridad. Por muy completo que sea un software de ciberseguridad o por muchas garantías que ofrezca, la responsabilidad de proteger los datos de los clientes en el sector de la hostelería recae en última instancia en el propio negocio. Por eso es vital elegir el software de seguridad adecuado.

SISTEMA PMS DE BOOKING NINJAS: Limitando los riesgos con la seguridad añadida de la plataforma Salesforce

Un paso integral y eficaz para garantizar una mayor seguridad de los datos es implementar la plataforma Salesforce de Booking Ninja con seguridad añadida. Como un sistema experto de gestión de propiedades, el objetivo de Booking Ninjas es crear herramientas integrales que integren todos los sectores de las empresas de hostelería. Cuando se trata de seguridad de datos, Booking Ninjas combina protecciones avanzadas e integradas con múltiples capas y niveles de opciones y configuraciones de preferencias para personalizar las respuestas de una empresa a todos los problemas de seguridad de datos. Booking Ninjas te tiene cubierto ante cada posible violación.

Con la Ley de Privacidad del Consumidor de California (CCPA) promulgada a principios de 2020, la ley ahora funciona junto con una regulación ya existente, el Reglamento General de Protección de Datos (GDPR) para garantizar que las empresas sigan las pautas de seguridad y manejo de datos. Por desconocimiento y porque la CCPA es nueva este año, muchas empresas aún no han empezado a seguir estas normas y regulaciones, lo que las pone en riesgo de multas y otros problemas de cumplimiento. Booking Ninjas y la seguridad añadida de la plataforma Salesforce cumplen totalmente con las normativas CCPA y GDPR, por lo que puedes estar seguro de que tus medidas de seguridad respetarán la letra más actualizada de la ley.

La solución PMS de Booking Ninjas protege los datos de tu organización de todos y cada uno de los extraños mediante el uso de identificadores únicos, que cambian constantemente porque se basan en las sesiones de cada usuario. Al iniciar sesión, los identificadores específicos basados en tu empresa y tu posición son personalizados, lo que garantiza que tengas el conjunto de conocimientos y habilidades de la persona que dice ser.

Salesforce está alojado exclusivamente en entornos de servidores seguros que utilizan cortafuegos y otras tecnologías avanzadas para evitar interferencias o el acceso de intrusos externos.

Echa un vistazo a nuestro sistema de gestión de propiedades en Salesforce.

Seguridad de la capa de transporte (TLS)

Salesforce utiliza algunas de las mejores tecnologías de seguridad disponibles en el mundo. Debes utilizar un navegador compatible con Salesforce sólo para acceder al sistema. A partir de ahí, TLS protege tus datos utilizando tanto la autenticación del servidor como el cifrado clásico, garantizando que tu información esté segura y disponible sólo para usuarios registrados dentro de la organización.

Protege tus datos de Salesforce

Una vez que hayas instalado tu solución PMS Booking Ninjas, es importante seleccionar cuidadosamente la configuración de seguridad que mantendrá tus datos lo más seguros posible, al tiempo que te permite mantener la eficiencia dentro del programa para obtener el máximo beneficio. Quieres ser capaz de proteger los datos de tu empresa de acceso no autorizado fuera de la empresa y también evitar el uso inadecuado de tus propios usuarios internos.

NIVELES DE SEGURIDAD

La protección de la información de tu empresa es una tarea que se gestiona mejor en colaboración entre Salesforce y tú. Las funciones de seguridad permiten la máxima eficacia para tu equipo, ya que no se interponen en el camino, pero proporcionan la protección necesaria.

Tu equipo de seguridad

Como administrador de Salesforce de tu equipo, formas parte automáticamente del equipo de seguridad de la empresa. La seguridad es la base de todo el servicio de Salesforce. Además de proteger tus datos y aplicaciones, Salesforce te permite crear un esquema de seguridad a la medida de las necesidades de tu empresa. Al seleccionar qué empleados tienen acceso a los datos, Salesforce y Booking Ninjas te ofrecen la posibilidad de realizar un seguimiento de la actividad de tus usuarios dentro del sistema y asegurarse de que los usuarios adecuados puedan trabajar con los datos adecuados.

Deja entrar a los usuarios adecuados

Un elemento vital del sistema de seguridad de Salesforce es requerir un segundo nivel de autenticación cuando los usuarios inician sesión. Los usuarios responden a un aviso de autenticación de Salesforce desde su aplicación móvil o introducen un código de acceso enviado a su teléfono por mensaje de texto o correo electrónico. Esto garantiza que la cuenta del usuario esté protegida, incluso si las credenciales de un usuario se han visto comprometidas.

Dos tipos de autenticación

“Salesforce-Authenticator” facilita la configuración de la autenticación de dos factores. Se configura fácilmente con instrucciones paso a paso simplemente yendo a 'configuración'. También puedes especificar qué usuarios necesitan la autenticación de doble factor. Esto es útil y recomendable para los usuarios con acceso a datos más sensibles. Mientras tanto, no requerirla para todos los usuarios sin acceso a datos aumenta la eficacia y la comodidad para los usuarios más básicos de Salesforce.

Restricción de direcciones IP disponibles para el inicio de sesión de usuario

El inicio de sesión en Salesforce puede limitarse a direcciones que pertenezcan exclusivamente a su empresa. Cualquiera que intente iniciar sesión desde una dirección externa no podrá acceder a la página de inicio de sesión. Esto garantiza que incluso si un pirata informático accede a las credenciales de inicio de sesión necesarias, no podrá utilizarlas fuera de tu red corporativa. Las direcciones IP de confianza pueden configurarse para toda la organización o para perfiles de usuario específicos.

Desactivación de antiguos usuarios

Los usuarios de Salesforce cambian constantemente debido a diversos factores en un lugar de trabajo que cambia más rápido que nunca. Dado que los empleados dejan sus empresas o cambian de puesto con regularidad, se añaden nuevos usuarios a diario. Al controlar tu propia seguridad, cuando un usuario deja de trabajar para su empresa, se puede desactivar de forma rápida y sencilla en cuestión de minutos. Tus credenciales de Salesforce se desactivan permanentemente y deben concederse otras nuevas si vuelven a trabajar.

LIMITA LO QUE PUEDEN HACER LOS USUARIOS

Dentro de la plataforma de seguridad de Salesforce, existen varios niveles de acceso que pueden especificarse para determinar quién puede hacer y ver qué. Las distintas áreas de la empresa pueden configurarse individualmente para obtener la máxima eficacia.

¿Qué pueden hacer?

El acceso a diferentes recursos puede limitarse a su discreción en función de un nivel de autorización de seguridad, que se determina mediante la autenticación del usuario en el momento de su inicio de sesión. Tiene la opción de establecer un nivel de seguridad "estándar" o "de alta seguridad", que determina qué recursos específicos están disponibles para los usuarios con determinados niveles de autorización de seguridad.

¿Qué han hecho?

Field Audit Trail te permite preferencias específicas para determinar cuánto tiempo pueden conservarse los datos archivados del historial de campo. Es capaz de asegurar hasta 10 años de actividad sin seguimiento del historial de campo. Esta característica es extremadamente valiosa porque maximiza la eficiencia y la seguridad en caso de que sea necesario cumplir con las regulaciones de la industria para las auditorías. El seguimiento de todos los cambios de configuración realizados por ti y por el resto de usuarios es una función incluida. El historial de auditoría es vital para las empresas con múltiples usuarios.

MÁS OPCIONES DE SEGURIDAD

Cifra tus datos

La solución PMS de Booking Ninjas utiliza “Platform-Encryption” de Salesforce, que añade una nueva capa de seguridad para tus datos, manteniendo la funcionalidad del usuario. Utiliza un sistema único de derivación de clave avanzada para seleccionar los datos que se pueden cifrar en reposo. Esto protege tu información más que nunca, sin dejar de cumplir las políticas de privacidad, las obligaciones contractuales y los requisitos normativos, algo necesario cuando se trata de manejar información privada. “Platform-Encryption” se incluye con un paquete de funciones de seguridad adicionales avanzadas denominado “Salesforce Shield".

Activación de acciones automáticas en eventos de seguridad

Es posible que quieras especificar acciones a realizar cuando se produzcan eventos de seguridad, como notificaciones, bloqueos o requerir autenticación de dos factores. También puedes establecer políticas de seguridad en las que una sesión simplemente finalice si se intenta realizar una acción de infracción. Estas acciones se denominan “Políticas de seguridad de transacciones” y también se incluyen como parte del paquete “Salesforce Shield”.

Supervisión de eventos en tu organización

La “Supervisión de eventos” te permite acceder a los archivos de registro de eventos para realizar un seguimiento de la actividad de los usuarios. Esta función puede integrarse con otras herramientas de análisis de datos. También forma parte del paquete “Salesforce Shield”.

CONCLUSIONES SOBRE LA IMPLEMENTACIÓN DE LA SEGURIDAD DE DATOS CON SOFTWARE

La seguridad de los datos se ha convertido en una consideración primordial en todo el sector de la hostelería. Uno de los principales motivos es que no existen métodos garantizados para detener las filtraciones de datos. Una empresa sólo puede investigar, formar a tu personal e implantar los sistemas de seguridad que consideres más adecuados. Personalizar tu implementación de seguridad disminuye las posibilidades de que los datos se vean comprometidos y reduce la cantidad de datos perdidos en caso de que se produzca una violación de la seguridad.

Según mis investigaciones, la plataforma Salesforce con la seguridad añadida del PMS de Booking Ninjas cumple todos los requisitos si se tienen en cuenta las preocupaciones y consideraciones expuestas anteriormente en la primera parte del blog. La plataforma cumple toda la legislación más reciente, se encuentra bajo jurisdicción estadounidense y está diseñada específicamente para empresas de hostelería. Proporcionar formación de calidad a tu equipo sobre la mejor forma de utilizar Salesforce crea un frente unificado para mantener la seguridad de los datos. En realidad, sólo es cuestión de proporcionar formación de calidad a tu personal para garantizar que la plataforma funciona con la máxima eficacia.

¿Quieres obtener más información sobre nuestro software PMS? Echa un vistazo a nuestro proceso de implementación o simplemente programa una breve llamada de introducción de 10 minutos.

WhatsApp Us

WhatsApp Us