Com protegir el teu hotel? 11 recomanacions per aplicar dins de la vostra institució

Les filtracions de dades de cadenes hoteleres, OTA o plataformes de reserves són habituals en l'àmbit de la ciberseguretat i sacsegen tot el sector hoteler i turístic. Tots els hotels es veuen afectats per aquesta amenaça i poden ser objecte d'atacs, fins i tot un petit hotel independent. La raó és que les dades que gestionen els hotels són dades confidencials que no sempre estan ben protegides (dades bancàries, documents d'identitat, dades personals, contactes, etc.), el primer defecte és el personal de l'hotel, que no sempre està ben format per evitar els atacs més senzills. 

Contingut d'aquest article:

➤ Quines són les principals amenaces i mètodes utilitzats?

➤ Quins són els conceptes bàsics per protegir el vostre entorn i dades? 

➤ Com formar adequadament els teus equips davant ciberatacs?

➤ Què has de fer si ets víctima?

‍

En primer lloc, algunes xifres clau:

• Es triga una mitjana de 277 dies a identificar i contenir una bretxa de ciberseguretat — IBM
• L'hospitalitat és el 3r sector més dirigit de ciberatacs — HRIMag
• El 72% de les empreses afectades per atacs de rescat tenen menys de 100 empleats — HRIMag
• El 95% de les bretxes de ciberseguretat són causades per errors humans — World Economic Forum

Els ciberatacs més comuns

Critomining / Cryptojacking

Els pirates informàtics es fan càrrec de l'ordinador per extreure secretament criptomoneda. La criptomineria pot ser molt agressiva i fer que l'ordinador sigui inutilitzable durant llargs períodes de temps.

Botnet

Una botnet és una xarxa de dispositius informàtics infectats per programari maliciós controlats remotament per un operador. Els pirates informàtics prenen possessió d'ells per fer-los realitzar tasques malicioses i entrar al sistema.

Ransomware / Rançongiciel

És el segrest de dades a canvi d'un rescat. El cryptolocker "posa el bloqueig" a la ubicació de les dades. Sucumbir al xantatge pagant el rescat mai és una bona idea, els hackers coneixen cryptolocker però no necessàriament esborren el seu pas correctament.

Phishing

El phishing és una tècnica de temptació a través del correu electrònic, SMS o un altre tipus de missatge, generalment a través d'un enllaç o fitxer adjunt. El frau del CEO és un exemple de phishing que utilitza la influència i la urgència d'una sol·licitud per animar-los a fer clic a l'enllaç enviat el més ràpidament possible fent-se passar pel seu gestor. A continuació, l'objectiu ha de deixar informació personal (targeta de crèdit, targeta sanitària, inicis de sessió, correus electrònics, etc.).

Programari maliciós

El programari maliciós és un programari maliciós dissenyat per infectar, danyar o comprometre un sistema informàtic sense el consentiment de l'usuari, que pot incloure virus, cucs, troians, ransomware, etc.

Mites a l'oblit

❌ Heu de canviar la contrasenya regularment

Quan feu això, acabareu amb un patró fàcil de recordar per recordar la vostra contrasenya. No cal canviar la contrasenya regularment, sinó utilitzar una contrasenya segura.

❌ Utilitzar la mateixa contrasenya (encara que sigui complicat) en diversos comptes

Un pirata informàtic que aconsegueixi una contrasenya intentarà utilitzar-la en tots els comptes i, per tant, tindrà control sobre tot l'accés.

❌ El pirata informàtic intenta endevinar contrasenyes

Els pirates informàtics utilitzen robots per trencar contrasenyes, que poden recuperar dades personals (dates de naixement, codi postal, nom de l'hotel + any, etc.). Fins i tot van establir diverses dotzenes de dietes per provar regularment els sistemes específics.

❌ Una infecció és visible

No sempre ets conscient que s'ha pres el control sobre les dades, és de l'interès del pirata informàtic que no sigui visible tenir més temps. Un estudi d'IBM va trobar que una institució detecta una intrusió a la seva xarxa en una mitjana de 277 dies, cosa que dóna als pirates informàtics molt de temps per recuperar tot el que els interessa. I això és només una mitjana! El cas del hackeig anunciat a finals del 2018 va posar sobre la taula que l'atac s'havia comès quatre anys abans sense que s'hagués detectat; També es diu que va afectar 5,2 milions de clients.

❌ Els petits establiments no estan en el punt de mira

Una enquesta de HRIMag va trobar que el 72% de les empreses afectades per atacs de rescat tenen menys de 100 empleats. Per tant, no són les empreses més grans les més afectades. I el més important, els atacs giren constantment amb l'expectativa que mossegarà en algun lloc.

❌ La propietat no es fa responsable de:

Les responsabilitats generalment són compartides, però l'establiment està obligat a formar els seus empleats en seguretat. També és responsable de la seguretat dels seus clients i més encara de les seves dades personals.

❌ L'autenticació de doble factor no és necessària

L'autenticació de doble factor és el pas addicional després d'introduir les seves credencials per garantir la identitat de l'usuari. Per exemple, és utilitzat per tots els bancs per a pagaments en línia. Això pren la forma d'un codi enviat per correu electrònic o SMS. Això augmenta exponencialment la dificultat d'entendre el compte.

❌ Només teniu un antivirus o no obriu fitxers adjunts de correu electrònic

Es necessiten multitud de mitjans per protegir els sistemes i, igual que una casa, no hi ha seguretat a prova de manipulacions. A més de les eines per assegurar-se, també cal sentit comú i educació en equip per desconfiar dels correus electrònics i missatges diàriament, ja que l'error humà sol ser el punt feble (responsable del 95% de les bretxes de ciberseguretat).

‍

Recomanacions bàsiques per al teu hotel

1. Una contrasenya per programari

Si un lloc o dades de programari estan compromeses, el pirata informàtic té accés a tots els comptes que utilitzen la mateixa contrasenya. Per això és important configurar una contrasenya diferent per a cada programari i utilitzar un gestor de contrasenyes per fer-ho. 

2. Utilitzeu una eina de gestió de contrasenyes

Un gestor de contrasenyes permet gestionar i generar contrasenyes complicades, per introduir-les automàticament a la pàgina d'inici de sessió sense que estiguin en text pla. 

L'usuari només ha de recordar una contrasenya per desbloquejar el seu gestor i no coneix cap altra contrasenya ja que la connexió als sistemes registrats es realitza automàticament. Aquest programari també facilita compartir credencials amb un altre membre de l'equip sense que ho sàpiguen. 

Alguns exemples de programari que permet gestionar contrasenyes en equip: Dashlane, 1Password, LastPass, Bitwarden, RoboForm, KeePass...

3. Un inici de sessió per empleat

En un hotel, alguns programes o sistemes no sempre permeten crear múltiples inicis de sessió per a cada membre de l'hotel. I el més important, no tots els empleats sempre tenen una adreça de casa (i comparteixen adreces de correu electrònic genèriques contact@, info@, reception@, etc.). 

No obstant això, sempre que sigui possible, crear tants èxits com col·laboradors hi hagi. No només tens més control sobre la seguretat, sinó que l'accés es revoca més fàcilment quan l'empleat marxa, només has de retirar l'accés. 

4. Instal·leu una VPN als ordinadors portàtils de l'equip

Una VPN és una xarxa privada virtual que estableix una relació punt a punt entre un dispositiu i un lloc remot, de manera similar a un túnel segur entre el servidor de xarxa i l'ordinador. La informació intercanviada està xifrada. VPN us permet protegir un ordinador portàtil a la Wi-Fi pública o no segura.

5. Afavorir el programari amb autenticació multifactor

El programari que gestiona dades personals (de clients o empleats) ha d'oferir imperativament autenticació multifactor per a un accés segur. L'autenticació de doble factor (2FA) és una verificació en dos passos i la més estesa. Les formes més conegudes són: un codi únic enviat per SMS, una aplicació d'autenticació, reconeixement facial o d'empremtes dactilars, una clau de seguretat, etc.

6. Gestioneu l'accés a l'eina i ordeneu-lo regularment

Els drets d'administrador de programari no s'han de donar a tots els col·laboradors si no els necessiten, ja que aquest és l'estat més alt de la modificació d'elements (modificació de configuració o drets d'eliminació completa).

Donar diferents accessos a cada empleat facilita la classificació tan bon punt un empleat surt de la instal·lació sense haver de restablir la contrasenya. Tot el que heu de fer és eliminar l'accés del compte. 

També pot ser intel·ligent crear un altre compte per a la mateixa persona (amb drets d'administrador) amb menys drets per a tasques quotidianes que no requereixen accés complet.

7. Assegureu la vostra xarxa Wi-Fi

No utilitzis mai una caixa d'internet personal per al teu establiment perquè no aporta un nivell de seguretat suficient (és inexistent), tant per a la teva seguretat com la dels teus clients. Tots els usuaris són fàcilment accessibles per a qualsevol persona que es connecti a ells, incloses les vostres estacions de treball internes. Recorre sempre als proveïdors de xarxa Wi-Fi per configurar una xarxa segura que et permeti separar els dispositius connectats, entre altres coses. A més, recordeu no connectar les impressores a la xarxa del client.

8. Identifiqueu clarament la vostra xarxa Wi-Fi

Feu saber als vostres clients el nom de la vostra xarxa Wi-Fi i com connectar-s'hi. Les xarxes malicioses es poden anomenar amb el nom de l'hotel perquè els hostes no estiguin atents a connectar-s'hi.

Recorda revisar periòdicament les xarxes wifi que hi ha al voltant de l'hotel per detectar aquelles persones que hagin pogut usurpar el nom de l'hotel (Nomdelhotel_GUEST, WIFI_NOMDELHOTEL, etc.).

9. Forma't regularment en ciberseguretat

Incloure la ciberseguretat en la formació d'equips és primordial. La debilitat més gran és l'error humà, per la qual cosa la conscienciació és clau per minimitzar el risc i educar els empleats perquè siguin conscients diàriament. És precisament en les tasques més quotidianes on es relaxa l'atenció que es fan els atacs.

Els recordatoris regulars (per exemple, sobre mètodes d'atac o detecció d'intents) ajuden a mantenir l'atenció activa. També pot ser interessant entrenar en la detecció d'alertes i el procediment a seguir en cas de sospita. El primer pas pot ser redactar documentació per formar-te en les competències bàsiques de ciberseguretat.

10. Construir bons hàbits

És important adoptar bons hàbits incloent la ciberseguretat en la teva vida diària : bloqueja sempre la teva estació de treball tan bon punt la surtis, desconnecta't de les eines, desplega programari de gestió de contrasenyes dins dels equips, truca als empleats que no presten atenció a l'ordre, informa't regularment sobre amenaces i intents d'intrusió, Estar al dia de les novetats del sector, etc.

Una manera de mantenir els empleats vigilants és utilitzar els serveis per provar els empleats amb correus electrònics de phishing falsos (inofensius) que simulin intents d'atac, tan elaborats com els dels pirates informàtics. Als empleats corruptes se'ls adverteix amablement i se'ls recorda que mantinguin la seva sospita en tot moment.

11. No connecteu mai res a l'ordinador de l'escola

Negar-se quan un client demani poder carregar el telèfon a l'ordinador de la recepció o lliuri una memòria USB per imprimir un document. Els llocs de treball informàtics de l'hotel han d'estar protegits. Compte també amb les impressores connectades a la xarxa Wi-Fi de l'hotel. Si necessiteu imprimir alguna cosa del client, demaneu-li que l'enviï per correu electrònic i obriu només els pdf.

Com triar i quines preguntes fer als teus proveïdors tecnològics?

Envoltar-se de solucions professionals que compleixin amb el GDPR és necessari per assegurar les dades personals que passen per les vostres eines. Ets el responsable de dotar-te de solucions que compleixin amb la normativa vigent. 

A continuació, es detallen algunes preguntes clau que cal fer als vostres proveïdors tecnològics abans d'associar-vos amb ells: 

• On s'allotgen les dades? Quin tipus de dades es localitzen? L'RGPD requereix que sàpigues on es troben les dades per poder actuar al respecte
• Sóc el propietari de les dades? Processador de dades (el proveïdor) versus estat del controlador de dades (l'hotel)
• Hi ha doble seguretat per connectar-se? 
• Com puc gestionar les credencials compartides? 
• Hi ha un sistema de drets d'administrador? No tots els empleats han de poder fer-ho tot: Compte d'usuari vs. Compte d'administrador
• Tens un document que resumeix la teva política de seguretat? Què passa en cas d'emergència, tinc un número dedicat o un xat? Es pot bloquejar el compte?

‍

Si vols saber més sobre ciberseguretat a l'hostaleria, mira el nostre últim webinar sobre aquest tema: 

Els ponents:

• Guilain Denisselle, redactora en cap de Tendance Hôtellerie
• Lionel Tressens, cofundador i CTO de LoungeUp
• Jean-Christophe Behar, director general d'IPEFIX
• Bruno Lanvin, responsable de Formació i Formació de Clients de LoungeUp