5 puntos esenciales para mejorar la seguridad de los datos de los clientes de tu hotel.

Lamentablemente el error humano es la principal causa de los ciberataques (74%), y el phishing sigue siendo el principal tipo de ataque…

LOUNGE UP

El período estival suele ir acompañado de un aumento de los ciberataques a hoteles que están completos y ocupados. Los empleados operativos son los principales objetivos para acceder a los sistemas hoteleros y recuperar los datos personales de los clientes. Estos últimos no siempre están bien entrenados para detectar estos ataques y tienen demasiadas tareas para permanecer alerta en todo momento. Sin embargo, lamentablemente el error humano es la principal causa de los ciberataques (74%), y el phishing sigue siendo el principal tipo de ataque. Las nuevas herramientas de IA o deepfakes han hecho que las amenazas sean más eficientes y menos detectables, y han contribuido a un aumento del 500 al 900 % en los ataques desde el lanzamiento de ChatGPT.

Como recordatorio, el establecimiento hotelero es responsable del tratamiento de los datos de sus clientes, incluso cuando utiliza una solución de gestión de datos. El establecimiento tiene el deber de garantizar a sus clientes la gestión y control de sus datos personales y confidenciales, de conformidad con el RGPD.

5 puntos básicos para proteger los datos de tus clientes:

  1. Equipar a los equipos
  2. Formar a los equipos sobre la importancia de la vigilancia constante
  3. Activar el nivel más alto de seguridad en tus softwares
  4. Nunca utilizar la misma contraseña dos veces
  5. Solicitar un informe de prueba de penetración a los proveedores de servicios

1. Equipar a los equipos 

La elección de los proveedores de tecnología es crucial. Tus herramientas deben ser fiables, seguras, estables y darte control sobre la gestión de los usuarios, los derechos de edición (derechos de administrador), etc. Las actualizaciones deben ser periódicas para corregir posibles fallos.

La ergonomía de la solución también es importante y la solución debe ser rápida de usar, para optimizar la configuración promoviendo la seguridad.

2. Formar a los equipos sobre la importancia de la vigilancia constante 

Como mencionado anteriormente, tres cuartas partes de los ciberataques son causados por factores humanos. Los empleados son los primeros objetivos y se les debe formar y recordar periódicamente que estén atentos. Los pasos básicos de verificación ya pueden prevenir muchos ataques (comprobar el nombre de dominio de un correo electrónico, verificación sistemática con las personas interesadas a través de otros canales de comunicación, etc.). Todos los empleados deben recibir formación sobre estos temas y recordarles las buenas prácticas y riesgos de ciberseguridad varias veces al año.

3. Activar el nivel más alto de seguridad en tus softwares 

La doble autenticación (2FA) es el protocolo de seguridad más extendido, dado su nivel de protección y su sencillez de implementación. Ofrecido en muchos sitios y aplicaciones, requiere dos factores: una contraseña y un dispositivo (como un teléfono móvil). Puede ser conveniente utilizar un teléfono exclusivo para recepción, por ejemplo, para enviar códigos de seguridad. Algunas soluciones permiten registrar un dispositivo (como un ordenador) como dispositivo confiable y evitan tener que introducir un código de seguridad varias veces al día para diferentes conexiones diarias.

4. Nunca utilizar la misma contraseña dos veces

Nadie puede recordar todas sus contraseñas. Si fuera el caso, es porque no son lo suficientemente seguras o incluso se utilizan en varios identificadores. Al utilizar un administrador de contraseñas en el teléfono o ordenador, no es necesario recordar todos los accesos y es fácil compartir las credenciales con otros miembros del equipo de manera simple y segura. Estas herramientas también hacen que las contraseñas sean más seguras con combinaciones mucho más complejas y largas, lo que las hace más difíciles de descifrar.

5. Solicitar un informe de prueba de penetración a los proveedores de servicios 

Las pruebas de penetración, también llamadas pen-tests o pruebas de penetración, las lleva a cabo una empresa externa experta en seguridad informática que intentará detectar brechas de seguridad o fallos en una solución. Un proveedor de soluciones que gestiona datos personales debe hacerlo para mantener actualizado su sistema de seguridad.