Card image

Seguridad de datos en empresas Hoteleras

En nuestros días la información personal desafía a las amenazas informáticas que pueden atentar contra la confidencialidad, integridad o disponibilidad de los datos personales como; edad, domicilio, número telefónico, e mail, etc. Además de otras propiedades de la información que deban cumplirse.

Mediante este artículo queremos dar a conocer la importancia en el manejo de la seguridad de datos personales en las empresas hoteleras.

Este tema es de suma importancia en la industria Hotelera, David A. Jordan Jefe de Seguridad de la información del Grupo IHG y José Jaime Lorenzo Doria Director de Distribución y CRM de Grupo Posadas brindaron su opinión respecto a cómo se debe llevar un buen manejo de la seguridad de datos personales, para que los huéspedes se sientan en confianza al brindar sus datos.

¿Qué es seguridad de datos?

Seguridad de datos, seguridad de la información o seguridad informática se trata de un aspecto que tiene que ver con la protección de datos contra accesos no autorizados y para protegerlos de una posible corrupción durante todo su ciclo de vida.

¿Que implica para usted la seguridad de datos de sus clientes/ huéspedes?

D.A.J La relación con nuestros huéspedes se basa en la confianza. Al reservar una estadía en nuestros hoteles, confían en que les brindaremos una experiencia de alta calidad y relación calidad-precio que satisfaga sus necesidades. Del mismo modo, confían en que tomaremos medidas para proteger su información personal confidencial, incluidos los datos de la tarjeta de crédito.

J.L.D  Nosotros tenemos la responsabilidad y compromiso de su custodia y protección, asignamos los recursos necesarios para contar con los mecanismos que permitan el manejo adecuado de los datos y respetar los derechos de privacidad de nuestros clientes.

¿Cuáles son las pautas / protocolos para manejar datos de clientes / invitados?

D.A.J Para educar a nuestros equipos sobre buenas prácticas de manejo de datos confidenciales, primero les pedimos que piensen cómo mantienen la seguridad sobre su propia información personal en sus vidas privadas, y luego extrapolar ese pensamiento a la gran cantidad de información personal a la que pueden tener acceso en sus trabajos diarios. Si podemos crear una conexión emocional para mantener una buena higiene de seguridad sobre los datos de nuestros huéspedes, entonces es más probable que se refleje en el comportamiento de nuestro personal del hotel.
Algunas pautas que generalmente recomienda incluyen:

 
  • Minimizar el acceso a los datos de los invitados solo a aquellas personas que tengan una necesidad legítima de verlos.
  • Proteger todos los dispositivos utilizados para mostrar / procesar los datos del cliente para que solo las personas autorizadas tengan acceso para usarlos.
  • Limitar los tipos de datos de invitados que se incluyen en informes impresos o que se escriben.
  • Eliminar el manejo de las tarjetas de crédito de los huéspedes siempre que sea posible, permitiendo a los invitados mantener el control de la tarjeta durante la transacción.

J.L.D  Contamos con una política corporativa de privacidad y protección de datos, la cual está diseñada para cumplimiento de la ley y mejores prácticas publicadas por el INAI, certificación PCI.

¿Qué riesgos existen al manejar datos personales / comerciales de sus clientes / invitados?

D.A.J Existen numerosos riesgos para la información confidencial con la que nuestros invitados nos confían. Los delincuentes están motivados por ganancias financieras, ya sea por el robo de información de la tarjeta de crédito, el abuso del programa IHG Rewards Club o la creación de una interrupción comercial. Los incidentes relacionados con piratería son muy publicitados en los medios.

J.L.D Los riesgos a los que se exponen empresas como la nuestra radican en el robo de datos por Phishing (técnica utilizada por los ciberdelincuentes para engañarle y conseguir que revele información personal como contraseñas o datos de tdc y de la seguridad social y números de cuentas bancarias) engaños a nuestros clientes haciéndose pasar por nosotros.

¿Cómo garantiza la integridad y seguridad de los datos de sus clientes / invitados?

D.A.J Hay muy pocas garantías en la vida. Hay muchos ejemplos de incidentes que involucran entidades gubernamentales, instituciones financieras e incluso instalaciones militares de alto valor, que han experimentado violaciones de datos como resultado de determinada actividad criminal. Como tal, debemos tratar de asegurarnos de utilizar el equilibrio correcto entre los controles preventivos y de detección, brindando capacitación relevante, utilizando las tecnologías de seguridad adecuadas y monitoreando nuestros sistemas y redes para detectar signos de un evento potencial. En caso de que ocurra un evento, nos preparamos con un plan de respuesta bien pensado y bien practicado para proporcionar el nivel adecuado de respuesta y apoyo a nuestros valiosos invitados y miembros del IHG Rewards Club.

J.L.D  A través de políticas y procedimientos, distintos controles de seguridad técnicos y administrativos, control de acceso a las bases de datos, monitoreo de redes, capacitación, convenios de confidencialidad, auditorias de cumplimiento, etc.

¿Qué opina del auge que representa el aumento de los delitos de robo de información confidencial?

D.A.J La razón del aumento de la actividad cibernética criminal es en realidad bastante simple. Mientras haya un valor en los datos que se almacenan y procesan todos los días, habrá personas que intentarán robar esos datos. Combine esto con el hecho de que cualquier persona puede ejecutar el delito cibernético en cualquier parte del mundo con acceso a una conexión a Internet y las herramientas adecuadas, entonces tiene un escenario que hace que el delito cibernético sea muy atractivo.

J.L.D  Este tipo de delitos lamentablemente también se considera un “buen negocio” implica robo y venta de datos, consideramos que las sanciones por este tipo de delitos deberían ser más severas.

¿Existen certificaciones que sirvan como testimonio de excelencia en la gestión de datos?

D.A.J El estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un estándar de seguridad de la información para organizaciones que manejan datos de tarjetas de crédito, con las mejores prácticas que se pueden aplicar en todo el entorno tecnológico del hotel. Esta es una certificación que alentaríamos a todos los propietarios de hoteles a buscar sus hoteles.

J.L.D Sí existen certificaciones y sellos de confianza en nuestros sitios web avalados por la AMIPCI, KONEXO, así como una certificación de protección de datos del INAI, también una certificación internacional PCI.

¿Qué tendencias verás en este tema en los próximos años?

D.A.J Es probable que veamos un aumento continúo en la cantidad de delitos cibernéticos en el futuro. Los ciberdelincuentes continuarán explotando las debilidades en los sistemas hoteleros y los comportamientos humanos para robar datos electrónicos o manipular al personal del hotel para revelar información confidencial sin darse cuenta. A medida que se introducen tecnologías nuevas / innovadoras para mejorar la experiencia del huésped, es inevitable que también se conviertan en objetivos con fines maliciosos. Un ejemplo de esto es el uso y abuso de dispositivos activados por voz. No es coincidencia que a medida que estos dispositivos "inteligentes" se vuelven más frecuentes que la sofisticación de "deepfake", el software de suplantación de voz también continúa aumentando.

J.L.D  Al ser los datos un activo con valor, continuaremos viviendo con este riesgo pero al mismo tiempo las personas se hacen más consientes de la importancia de cuidar sus datos y exigen un mayor nivel de privacidad. Por lo tanto creemos que debemos estar preparados.

¿Qué sugiere a los hoteleros para mejorar y cuidar la seguridad de los datos en sus hoteles?

D.A.J  En primer lugar, es importante que los hoteleros entiendan lo que está en riesgo, tanto los datos como los sistemas, y luego ponerse en la mente de un atacante. ¿Cómo buscaría acceder a esa información, y al acceder a ella, cómo eliminaría esos datos del entorno del hotel? Si puede responder a estas preguntas, estará en buena forma para identificar controles adicionales que puedan usarse para prevenir la actividad delictiva y garantizar mejor la seguridad continua de la información más confidencial de los invitados. En segundo lugar, aproveche la escala y el apalancamiento que compañías como IHG pueden proporcionar, obteniendo productos y servicios de seguridad líderes en la industria a precios reducidos. Busque en sus marcas los materiales que hacen que administrar su propio programa de seguridad sea mucho más fácil.

J.L.D Lo importante es capacitar a su personal en el tema, identificar los riesgos a los que se encuentran expuestos implementar controles necesarios, apoyarse de las herramientas tecnológicas de monitoreo.

Jesús Sánchez Peñafiel nos comparte un ejemplo de cómo la seguridad de Datos es manejada en otros países en particular en la Unión Europea ya que a finales de Mayo del año pasado, comenzó la aplicación de una regulación de protección de datos a la que se conoce como GDPR, por sus siglas del inglés General Data Protection Regulation.

El 25 de mayo de 2018, entró en vigor la aplicación de la regulación en la Unión Europea, pero que tiene un alcance extraterritorial. Lo que quiere decir que a diferencia de otras regulaciones que se centran en los negocios localizados en la unión, esta legislación se enfoca en los ciudadanos de la unión europea y su interacción con otras entidades, entre las que se encuentran los hoteles, los organizadores de eventos, y muchos otros. La regulación protege a los ciudadanos de la Unión Europea sin importar en qué parte del mundo se encuentren.

Esto quiere decir que sin importar que el hotel no esté físicamente dentro de la unión europea, debe también respetar los lineamientos que marca GDPR por ejemplo. Si tú estás organizado un evento en Cancún, y algunos de tus asistentes son españoles, franceses o de cualquier país de la Unión Europea, debes de considerar que cumples con el GDPR.  Esto puede tener un impacto en la forma en la que haces cualquier tipo de promoción, el proceso de datos, el ofrecimiento de bienes y servicios, o el monitoreo de la conducta de los ciudadanos de la Unión Europea.  En México tenemos muchos casos de personas que cuentan doble nacionalidad, siendo una de las más frecuentes la española, y por eso es necesario ser muy cuidadosos con el manejo de toda la información.

Elementos a tomar en cuenta para que se cumpla esta regulación

El origen del GDPR se debe porque la privacidad de los datos personales, son considerados por la Unión Europea como un derecho fundamental de sus ciudadanos. En consecuencia, nosotros como organizaciones debemos tener en cuenta dos elementos clave: ser transparentes sobre lo estás haciendo con la información personal, y ser responsables de los datos que resguardamos.

Es importante entender lo que significa “información personal” en el marco de esta regulación. Para GDPR información personal son todos los datos por los cuales un individuo puede ser identificado, por cualquier persona, ya sea directa o indirectamente. Es muy importante entonces, tener en consideración qué datos de los que se están recolectando son considerados información personal.  Un ejemplo poco tradicional es que bajo esta definición se incluyen elementos digitales que normalmente utilizamos en los sitios web como cookies o direcciones de IP.

Regresando entonces a lo que comenté sobre la transparencia, es de suma importancia tener autorización para la utilización de la información personal.  Ya no se puede obtener una autorización “forzada” en donde ya estaba preseleccionada la opción de aceptar; Es necesario contar con una declaración en dónde se informa claramente a los individuos qué datos son recolectados y almacenados, pero lo más importante cómo serán utilizados, y la autorización deber realizarse por “capas”, es decir, hay que darle la opción al individuo de aceptar opciones específicas.  Es muy importante ser muy claro cuando estás solicitando autorización para información “sensible”, por ejemplo, cuando le preguntas a alguien sobre sus restricciones alimentarias o alergias.

Finalmente debes considerar que, así como alguien autorizó el uso de su información, en cualquier momento puede retirar la autorización y debes proporcionar una forma que sea tan sencilla como fue obtener su autorización.

Mi recomendación sobre este punto es que solo recolectes la información necesaria o indispensable. Si no harás ninguna distinción sobre el género de un asistente, no lo preguntes, si no necesitas su edad, no la preguntes. Recuerda que debe ser transparente sobre los datos que recolectas y cuál será su uso.

Sin duda lo que está buscando la Unión Europea es que las organizaciones sean mucho más cuidadosas con el manejo de la información personal, y que sean mucho más transparentes con la forma en que esta información se utilizará, existen algunos otros derechos que sean importantes por ejemplo.

  • Derecho al acceso, cualquier persona puede solicitar que la organización le envié toda la información que tenga sobre ella.
  • Derecho al olvido, cualquier persona puede solicitar a la organización que borre toda la información que tenga sobre ella.  Este punto puede ser más complicado de lo que parece, porque incluye por ejemplo que seas capaz de demostrar que se ha borrado toda la información de la persona. Solo para ejemplificar la complejidad de este punto, supongamos que un organizador de eventos envió una lista de huéspedes a un hotel a través de una hoja de cálculo, el organizador debe demostrar que el hotel también ha borrado la información personal de la persona que lo solicita.
  • Derecho a la portabilidad, es el derecho a transferir la información de una compañía a otra.
  • Derecho de objetar ciertas decisiones realizadas a través de medios automatizados, y en esta época en la que está floreciendo los sistemas de recomendaciones y la inteligencia artificial, esto puede resultar particularmente difícil.

El panorama en México

En mi experiencia veo que GDPR, es solo el principio sobre una oleada grande de presión sobre el manejo de la información personal. En México también debemos cumplir con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPP) y muchos estados de Estados Unidos, están por pasar legislaciones similares.  Tener una buena comprensión del tema de seguridad y manejo de la información es clave para el desarrollo futuro de la industria de la hospitalidad y la organización de eventos.  En nuestro caso, contamos con la infraestructura necesaria para hacerlo, y podemos también orientarlos sobre el tema.

En un estudio de ciberseguridad y privacidad señala que en México el 48% de las empresas incumplen con los requerimientos de la ley de protección de datos y además el 88% de las empresas tiene la percepción de acatar esta ley mas no lo están logrando.

Ahora bien podemos decir que una empresa en México o en cualquier otra parte del mundo que es capaz de manejar de forma adecuada la información de su personal, como la de sus huéspedes, puede lograr altos niveles competitivos en el mercado hotelero, ya que gracias a esto los equipos de trabajo presentes en la organización pueden identificar las fortalezas y debilidades de la misma para una mejor planeación y alcance factible.


Fecha de publicación:18-01-2022

Fuente:Alta Hotelería

Autor:Michelle Herrera

Imprimir