Racionalizar la planificación e inversión en la protección de la información
La ciberseguridad ya se ha convertido, por su propio peso, en una de las mayores preocupaciones de las empresas turísticas a lo largo de los últimos años. De hecho, el sector turístico ya es el tercer sector más castigado a nivel mundial, por ciberataques e incidentes de seguridad. La prensa internacional se hace eco de multitud de noticias relacionadas con ataques sufridos por las más importantes cadenas hoteleras, pero, lo más importante, no conocemos los que han sufrido y sufrirán el resto de establecimientos hoteleros. Robos de tarjetas de crédito, ataques que paralizan las centrales de reservas, sustracción de datos personales de los huéspedes o secuestros informáticos (ransomware) son algunos de los principales ciberataques que se recogen en el sector hotelero en los últimos años.
Por todo ello, las organizaciones están invirtiendo en soluciones de ciberseguridad para defenderse de ataques, tales como antivirus, gestión de identidades, seguridad en tráfico de red o gestión de identidades, por poner unos pocos ejemplos de las tecnologías más solicitadas. En BinauraMonlex, empresa asociada a Turistec, creemos firmemente en adquirir tecnología suficiente para detectar y protegerse ante ciberataques, pero debemos establecer un matiz importante, previo a la inversión. La clave está en la estrategia de ciberseguridad, planificar la inversión en base a las necesidades y riesgos particulares de cada organización.
La estrategia en ciberseguridad queda perfectamente establecida con la implantación de un sistema de gestión de seguridad de la información, como la norma ISO 27001. La tendencia desde hace varios años en el sector turístico, y que se está incrementando a una velocidad enorme, es la elección de este estándar internacional entre otros sistemas de gestión como COBIT (Objetivos de Control para las Tecnologías de la Información y Relacionadas), NIST (Instituto Nacional de Estándares y Tecnología) o CIS (Center for Internet Security).
Algunos de los motivos de esta elección son:
– Pertenece a la International Organization for Standardization (ISO), por lo tanto, no está mantenida por un grupo privado o gobierno.
-Es certificable, a diferencia de normas capaces y reconocidas como la NIST de Estados Unidos. Por tanto, su implantación puede ir acompañada de un reconocimiento en forma de certificación oficial.
– Sirve como base para desarrollar controles específicos (Cloud, continuidad del negocio, ciberseguridad, etc.).
-No está centrada únicamente en el departamento de TI, sino en toda la organización o el alcance que se haya elegido para su implantación.
La utilización de la norma ISO 27001 permite establecer un gobierno de seguridad de la información, enlazando las estrategias de negocio con el funcionamiento del sistema de gestión de seguridad. De este modo, cualquier inversión en ciberseguridad que subyace del cumplimiento de las estrategias, políticas de organización o gestión de los riesgos, está plenamente analizada y planificada. Todo ello, con la imprescindible intervención de la dirección de la empresa que, como establece la propia norma, es consciente de la importancia de la ciberseguridad como elemento horizontal en todos los procesos de negocio.
Asimismo, la ISO 27001 nos servirá de base para otras normas de la misma familia, como la ISO 27799 que supone una extensión de controles para garantizar la privacidad de la información. La certificación en esta última norma supondrá a medio plazo, garantizar el cumplimiento del Reglamento General de Protección de Datos a clientes y partes interesadas. Este papel de garantía está siendo una necesidad indiscutible dentro del sector turístico; la altísima interconectividad entre los diferentes actores del sector obliga a obtener el compromiso suficiente de que la información que transmitimos o almacenamos, se encuentra debidamente asegurada ante amenazas como los ciberataques. No olvidemos que, al tratarse de un estándar internacional, la mayor parte de las organizaciones conocen la norma ISO 27001 y solicitan su certificación como demostración de nuestra gestión de la seguridad, incluso antes de contratar con empresas, como medida de fiscalización y análisis de riesgos.
Así pues, desde BinauraMonlex y su especialización dentro del sector turístico, vemos la tendencia mundial en la implantación de la norma ISO 27001 como método para racionalizar la planificación e inversión en ciberseguridad, ganando en eficiencia y efectividad a la hora de implantar las correctas medidas de seguridad en la organización.
Xavier Ferretjans
Director de BINAURAMONLEX
xferretjans@binauramonlex.com
Artículo publicado en eBook “Ciberseguridad en el sector turístico” elabora el Instituto Tecnológico Hotelero en colaboración con Turistec
