Negocio

Cibersegurança na indústria da hospitalidade

O que é crime cibernético?

Os Weavers acabaram de voltar de férias maravilhosas no sul da França. Durante a visita, realizaram as atividades turísticas típicas, como fazer compras e jantar nos pontos mais badalados da região. Os Weavers pensaram que iriam jogar pelo seguro e usar seu cartão de crédito para todas as suas compras. Os Weavers notaram várias cobranças suspeitas em seus cartões de crédito de lojas, bares e até mesmo companhias aéreas. Mal sabiam eles, suas informações de cartão de crédito foram hackeadas! Eles foram vítimas de crimes cibernéticos!

Crime cibernético é qualquer crime que envolva o roubo de informações e dados por meio da Internet, incluindo computadores ou qualquer tecnologia. Existem algumas maneiras pelas quais um crime cibernético é cometido. Por um lado, os ladrões cibernéticos podem hackear um computador ou até mesmo uma rede inteira para obter informações seguras sobre uma pessoa ou empresa.

Para um hotel, os hackers podem obter informações como:

  • Nomes de convidados
  • Endereços
  • Números de telefone
  • Datas de nascimento
  • Números de cartão de crédito

Os hackers podem usar essas informações para cometer roubo de identidade . Uma vez que as informações estão em mãos erradas, os ladrões usam essas informações para assumir a identidade da vítima com a intenção de cometer fraude ou engano.

Ransomware é outra forma de crime cibernético. Os hackers cometem esse crime enviando um e-mail infectado para uma pessoa inocente. O e-mail geralmente contém um link aparentemente inocente. Assim que o link é aberto, o ransomware assume o controle do computador de uma pessoa, permitindo que o ladrão virtual bloqueie dados e exija resgate para liberar o acesso.

A forma como isso pode ocorrer em um hotel é através de um recibo de reserva ou mesmo de um e-mail disfarçado de confirmação ou atualização do programa de fidelidade. É por isso que a maioria dos hotéis toma medidas extremas para proteger as informações dos hóspedes.

O que é um plano de segurança cibernética?

A segurança cibernética é um plano para proteger informações valiosas em um banco de dados pessoal ou empresarial. A maioria dos hotéis está ciente do risco de intrusão e possui planos para proteger as informações. Um bom lugar para começar é montar uma Equipe de Resposta de funcionários que recebem tarefas específicas no caso de um ataque cibernético.

Selecione cuidadosamente os funcionários de vários departamentos do hotel. Alguns candidatos qualificados podem incluir:

  • CEO
  • Diretor financeiro
  • Gestão
  • Pessoal de segurança
  • Pessoal de operações

Em seguida, implemente um plano no caso de um ataque. Delegue tarefas da seguinte forma:

  • Considere as opções de segurança
  • Execute testes frequentes para vulnerabilidade de crimes cibernéticos
  • Tome decisões sobre opções de cibersegurança
  • Responda a uma violação, se necessário
  • Trabalhe com autoridades locais, estaduais e federais
  • Responda ao público
  • Projete um sistema para notificar potenciais vítimas

A gerência do hotel também deve reservar um tempo para treinar os funcionários sobre o que fazer para evitar o risco de um ataque. Tudo começa com informações do hóspede. Certifique-se de que os funcionários mantenham as informações dos hóspedes seguras e fora da vista de um possível ladrão. Os sistemas de computador devem ter uma maneira segura de reter informações de cartão de crédito que não sejam decodificadas facilmente e, acima de tudo, certifique-se de que a cultura do hotel seja a de segurança do hóspede.

Para compreender melhor o quão valioso o sistema de computador de um hotel pode ser, vejamos o que aconteceu quando a Wyndham Worldwide Corporation teve seu sistema de computador hackeado.

FTC v. Wyndham Worldwide Corporation

Os hoteleiros podem aprender uma lição valiosa sobre violações de segurança com a Wyndham Worldwide. Esse caso serve como um forte lembrete da importância de proteger os dados, treinar a equipe e atualizar constantemente a tecnologia de segurança da Internet para manter os dados de hotéis e hóspedes protegidos.

Entre 2008 e 2010, a Wyndham Worldwide foi vítima de três ciberataques separados. Os ladrões conseguiram obter informações de cartão de crédito de impressionantes 619.000 convidados. Quando a Federal Trade Commission (FTC) investigou as medidas de segurança da Wyndham, ela revelou muitas práticas arriscadas.

A FTC relatou que Wyndham:

  • As informações do cartão de crédito do hóspede são armazenadas em texto legível, em vez de texto que não pode ser decodificado
  • Usei senhas que eram simples de decodificar para obter acesso aos sistemas de gerenciamento de propriedade em toda a rede e franquias
  • Não tinha firewalls para proteger suas redes
  • Permitiu que fornecedores terceirizados acessem sua rede
  • Não tinha um plano de segurança cibernética em vigor para monitorar suas redes e as de seus franqueados

Em outras palavras, a Wyndham não tomou medidas de segurança adequadas para proteger informações críticas para seus negócios e seus hóspedes.

Na sequência, a FTC recomendou que a Wyndham Worldwide reformulasse seu plano de segurança para incluir práticas rigorosas de segurança cibernética. Wyndham levou o conselho a sério e implementou um novo plano de segurança mais invasivo que incluiu a contratação de especialistas em segurança, atualização de sua rede e treinamento de funcionários sobre como evitar riscos de crimes cibernéticos.

Resumo da lição

Crime cibernético é qualquer crime que envolve o roubo de informações da Internet, incluindo computadores ou qualquer tecnologia, e é feito de duas maneiras. Uma violação direta pode ocorrer quando ladrões invadem uma rede onde dados de hóspedes, como números de cartão de crédito, são armazenados.

Enviar e-mails para convidados que contenham ransomware é outra forma de os ladrões obterem acesso a informações críticas. Uma vez que um destinatário desavisado abre o e-mail ou um anexo, eles estão abrindo as portas para que ladrões recuperem dados de seu computador. Os ladrões também podem usar qualquer um dos dados roubados e realizar o roubo de identidade usando o nome da vítima e outras informações para abrir contas bancárias, proteger cartões de crédito ou fazer empréstimos.

Os hotéis estão tomando medidas contra o crime cibernético. A primeira etapa é montar uma equipe de resposta e atribuir tarefas para desenvolver e manter um ambiente online seguro. Os membros devem incluir o CFO, o CEO, o pessoal de segurança e outros nas posições principais para supervisionar e implementar um plano. Em seguida, treine os funcionários sobre como reconhecer e relatar qualquer atividade suspeita. A cultura hoteleira deve basear-se na segurança dos hóspedes e da entidade hoteleira.

Ao analisarmos a violação de segurança que a Wyndham Worldwide experimentou, aprendemos que adotar uma abordagem indiferente à segurança é um negócio arriscado. A Wyndham Worldwide não tomou medidas para proteger os dados de hotéis e hóspedes de várias maneiras. Eles não tinham firewalls para proteger as informações. A equipe não foi treinada adequadamente e os dados críticos ficaram vulneráveis ​​em seu banco de dados. Com a orientação da FTC, Wyndham foi capaz de renovar suas políticas de segurança, contratar especialistas em segurança e treinar funcionários para reconhecer riscos e relatar informações imediatamente.