Com protegir el teu hotel? 11 recomanacions per aplicar dins de la vostra institució

Les filtracions de dades de cadenes hoteleres, OTA o plataformes de reserves són habituals en l'àmbit de la ciberseguretat i estan sacsejant tot el sector hoteler i turístic. Tots els hotels es veuen afectats per aquesta amenaça i poden ser objecte d'atacs, fins i tot un petit hotel independent. La raó és que les dades que gestionen els hotels són dades confidencials que no sempre estan ben protegides (dades bancàries, documents d'identitat, dades personals, contactes, etc.), el primer defecte és el personal de l'hotel, que no sempre està ben format per evitar els atacs més senzills. 

En aquest article:

➤ Quines són les principals amenaces i els mètodes utilitzats?

➤ Quins són els conceptes bàsics per protegir el vostre entorn i dades? 

➤ Com formar adequadament als teus equips en ciberatacs?

➤ Quines accions has d'adoptar si ets víctima?

‍

En primer lloc, algunes xifres clau:

• Es triga una mitjana de 277 dies a identificar i contenir una bretxa de ciberseguretat — IBM
• L'hospitalitat és el 3r sector més objectiu dels ciberatacs — HRIMag
• El 72% de les empreses afectades per atacs de ransomware tenen menys de 100 empleats — HRIMag
• El 95% de les bretxes de ciberseguretat són causades per errors humans — World Economic Forum

Els ciberatacs més comuns

Critominatge / Criptojacking

Els pirates informàtics prenen possessió de l'ordinador per fer mineria secreta de criptomonedes. La criptomineria pot ser molt agressiva i fer que l'ordinador sigui inutilitzable durant llargs períodes de temps.

Botnet

Una botnet és una xarxa de dispositius informàtics infectats per programari maliciós que un operador controla remotament. Els pirates informàtics prenen possessió d'ells per realitzar tasques malicioses i entrar al sistema.

Ransomware / Rançongiciel

És la presa de dades com a ostatges a canvi d'un rescat. El cryptolocker "bloqueja" la ubicació de les dades. Sucumbir al xantatge pagant el rescat mai és una bona idea, els pirates informàtics saben criptobloquejar però no necessàriament esborrar adequadament el seu pas.

Phishing

El phishing és una tècnica de temptació per correu electrònic, SMS o un altre tipus de missatge, generalment a través d'un enllaç o d'un fitxer adjunt atrapat. El frau del CEO és un dels exemples de Phishing, que utilitza la influència i la urgència d'una sol·licitud per animar-lo a fer clic a l'enllaç enviat com més aviat millor fent-se passar pel seu director. A continuació, el destinatari ha de deixar dades personals (targeta bancària, targeta sanitària, noms d'usuari, correus electrònics, etc.).

Programari maliciós

El programari maliciós és programari maliciós dissenyat per infectar, danyar o comprometre un sistema informàtic sense el consentiment de l'usuari, que pot incloure virus, cucs, troians, ransomware i molt més.

Mites per oblidar

❌ Heu de canviar la contrasenya regularment

En fer-ho, acabareu creant un patró fàcil de recordar per recordar la vostra contrasenya. No cal canviar la contrasenya regularment, sinó utilitzar una contrasenya segura.

❌ Utilitzeu la mateixa contrasenya (encara que sigui complicada) en diversos comptes

Un pirata informàtic que aconsegueixi una contrasenya intentarà utilitzar-la en tots els comptes i, per tant, tindrà control sobre tot l'accés.

❌ El pirata informàtic intenta endevinar les contrasenyes

Els pirates informàtics utilitzen robots per trencar contrasenyes, que poden recuperar dades personals (dates de naixement, codi postal, nom de l'hotel + any, etc.). Fins i tot van establir diverses dotzenes de dietes per provar regularment els sistemes específics.

❌ Una infecció és visible

No sempre ets conscient que s'ha pres el control sobre les dades, és de l'interès del pirata informàtic que no sigui visible tenir més temps. Un estudi d'IBM també ha destacat que un establiment detecta una intrusió a la seva xarxa en una mitjana de 277 dies, cosa que dona temps als hackers per recuperar tot el que els interessa. I això és només una mitjana! El cas del hackeig anunciat a finals del 2018 va fer retrocedir que l'atac s'havia comès quatre anys abans sense ser detectat; Hauria afectat 5,2 milions de clients.

❌ Els petits establiments no estan en el punt de mira

Una enquesta de HRIMag va trobar que el 72% de les empreses afectades per atacs de rescat tenen menys de 100 empleats. Per tant, no són les empreses més grans les més afectades en la majoria. I, sobretot, els atacs giren constantment amb l'expectativa que mossegui algun lloc.

❌ L'establiment no es fa responsable

Les responsabilitats generalment són compartides, però l'establiment està obligat a formar els seus empleats en seguretat. També és responsable de la seguretat dels seus clients i més encara de les seves dades personals.

❌ L'autenticació de doble factor no és necessària

L'autenticació de doble factor és el pas addicional després d'introduir les vostres credencials per garantir la identitat de l'usuari. Per exemple, és utilitzat per tots els bancs per a pagaments en línia. Això es fa mitjançant un codi enviat per correu electrònic o SMS. Augmentem exponencialment la dificultat d'entendre el compte.

❌ Tot el que necessiteu és un antivirus o no obriu fitxers adjunts de correu electrònic

Es necessiten multitud de mitjans per protegir els sistemes i, igual que una casa, no hi ha seguretat a prova de manipulacions. A més de les eines per protegir-se, també cal sentit comú i educació dels equips per desconfiar dels correus electrònics i missatges diàriament, ja que l'error humà sol ser el punt feble (responsable del 95% de les infraccions de ciberseguretat).

‍

Recomanacions bàsiques per al teu hotel

1. Una contrasenya per programari

En cas de compromís de les dades d'un lloc o programari, el pirata informàtic té accés a tots els comptes que utilitzen la mateixa contrasenya. D'aquí l'interès per establir una contrasenya diferent per a cada programari i utilitzar un gestor de contrasenyes per a això. 

2. Utilitzeu una eina de gestió de contrasenyes

Un gestor de contrasenyes permet gestionar i generar contrasenyes complicades, per introduir-les automàticament a la pàgina d'inici de sessió sense que estiguin en text pla. 

L'usuari només ha de recordar una contrasenya per desbloquejar el seu gestor i no coneix cap altra contrasenya ja que la connexió als sistemes registrats es realitza automàticament. Aquest programari també facilita compartir credencials amb un altre membre de l'equip sense que aquest membre les conegui. 

Alguns exemples de programari que permet la gestió de contrasenyes d'equip: Dashlane, 1Password, LastPass, Bitwarden, RoboForm, KeePass...

3. Un identificador per empleat

En un hotel, alguns programes o sistemes no sempre permeten crear diversos inicis de sessió per a cada membre de l'hotel. I sobretot, no tots els empleats sempre tenen una adreça personal (i comparteixen adreces de correu genèriques contact@, info@, reception@, etc.). 

No obstant això, sempre que sigui possible, crear tants accessos com col·laboradors hi hagi. No només teniu un millor control de la seguretat, sinó que l'accés es revoca més fàcilment quan l'empleat surt, només cal eliminar l'accés. 

4. Instal·leu una VPN als ordinadors portàtils del Teams

Una VPN és una xarxa privada virtual que permet establir una relació punt a punt entre un dispositiu i un lloc remot, de manera similar a un túnel segur entre el servidor de xarxa i l'ordinador. La informació intercanviada està xifrada. La VPN us permet protegir un ordinador portàtil a la Wi-Fi pública o no segura.

5. Prioritzeu el programari amb autenticació multifactor

El programari que gestiona dades personals (de clients o empleats) ha d'oferir imperativament autenticació multifactor per a un accés segur. L'autenticació de dos o dos factors (2FA) és una verificació en dos passos i la més estesa. Els mitjans més coneguts són: un codi únic enviat per SMS, una aplicació d'autenticació, reconeixement facial o d'empremta dactilar, clau de seguretat, etc.

6. Gestioneu l'accés a l'eina i ordeneu-lo regularment

Els drets d'administrador de programari no s'han de donar a tots els empleats si no els necessiten, ja que aquest és l'estat més alt per modificar elements (modificació de configuració o drets d'eliminació completa).

Donar diferents accessos per empleat facilita la seva ordenació tan bon punt un empleat abandona la instal·lació sense haver de restablir la contrasenya. Tot el que heu de fer és eliminar l'accés del compte. 

També pot ser intel·ligent crear un altre compte per a la mateixa persona (amb drets d'administrador) amb menys drets per a tasques quotidianes que no requereixen accés complet.

7. Assegureu la vostra xarxa Wi-Fi

No utilitzis mai una caixa d'internet personal per al teu establiment perquè no permet un nivell de seguretat suficient (és inexistent), tant per a la teva seguretat com la dels teus clients. Tots els usuaris són fàcilment accessibles per a qualsevol persona que es connecti a ells, incloses les vostres estacions de treball internes. Recorre sempre als proveïdors de xarxa Wi-Fi per configurar una xarxa segura que et permeti separar els dispositius connectats. Recordeu també no connectar impressores a la xarxa de clients dedicada.

8. Identifiqueu clarament la vostra xarxa Wi-Fi

Comunica als teus clients el nom de la teva xarxa Wi-Fi i com connectar-t'hi. Les xarxes malicioses es poden anomenar amb el nom de l'hotel per fer que els hostes desatents es connectin a elles.

Recorda revisar periòdicament les xarxes wifi que hi ha al voltant de l'hotel per detectar aquells que han usurpat el nom de l'hotel (Nomdelhotel_GUEST, WIFI_NOMDELHOTEL, etc.).

9. Formar-se regularment en ciberseguretat

Incloure la ciberseguretat en la formació d'equips és primordial. La major debilitat és l'error humà, per la qual cosa la conscienciació és fonamental per minimitzar riscos i educar els empleats perquè estiguin atents diàriament. És precisament en les tasques més quotidianes on es relaxa l'atenció que es fan atacs.

Els recordatoris regulars (per exemple, sobre mètodes d'atac o detecció d'intents) mantenen l'atenció activa. També pot ser interessant formar-se en la detecció d'alertes i el procediment a seguir en cas de sospita. El primer pas pot ser escriure documentació per entrenar-se en gestos bàsics de ciberseguretat.

10. Construir bons hàbits

És important desenvolupar bons hàbits incloent la ciberseguretat en la teva vida diària : bloqueja sempre la teva estació de treball tan bon punt la surtis, desconnecta't de les eines, desplega programari de gestió de contrasenyes dins dels equips, truca als empleats que no presten atenció a l'ordre, informa't regularment de les amenaces i intents d'intrusió, estar al dia de les novetats del sector, etc.

Una manera de mantenir els empleats vigilants és utilitzar els serveis per provar els empleats amb correus electrònics de phishing falsos (inofensius) que simulin intents d'atac, tan elaborats com els dels pirates informàtics. Als empleats corruptes se'ls adverteix amablement i se'ls recorda que mantinguin la seva desconfiança en tot moment.

11. No endollar mai res a un ordinador de l'establiment

Negar-se quan un client demani poder carregar el telèfon a l'ordinador de la recepció o sostingui una clau USB per imprimir un document. Les estacions informàtiques de l'hotel han d'estar protegides. També aneu amb compte amb les impressores connectades a la xarxa Wi-Fi de l'hotel. Si necessiteu imprimir alguna cosa del client, demaneu-li que l'enviï per correu electrònic i obriu només els pdf.

Com triar i quines preguntes fer als teus proveïdors tecnològics?

Envoltar-se de solucions professionals que compleixin amb el GDPR és necessari per assegurar les dades personals que passen per les vostres eines. Ets responsable de dotar-te de solucions que compleixin amb la normativa vigent. 

Aquí teniu algunes preguntes clau que heu de fer als vostres proveïdors de tecnologia abans d'associar-vos amb ells: 

• On s'allotgen les dades? Quin tipus de dades es troba? L'RGPD requereix que sàpigues on es troben les dades per poder actuar al respecte
• Sóc el propietari de les dades? Processador de dades (el proveïdor) versus estat del controlador de dades (l'hotel)
• Hi ha doble seguretat per connectar-se? 
• Com puc gestionar les credencials compartides? 
• Hi ha un sistema de drets d'administrador? No tots els empleats han de poder fer-ho tot: Compte d'usuari versus compte d'administrador
• Tens un document que resumeix la teva política de seguretat? Què passa en cas d'emergència, tinc un número dedicat o un xat? Podem bloquejar el compte?

‍

Si vols conèixer la ciberseguretat a l'hostaleria, mira el nostre últim webinar sobre aquest tema: 

Els ponents:

• Guilain Denisselle, redactora en cap de Tendance Hôtellerie
• Lionel Tressens, cofundador i CTO de LoungeUp
• Jean-Christophe Behar, director general d'IPEFIX
• Bruno Lanvin, responsable de Formació i Formació de Clients de LoungeUp