La creciente amenaza de las brechas de ciberseguridad en la industria hotelera

Se han producido innumerables violaciones de datos en la industria hotelera. Los hoteles Marriott, Radisson Hotel Group, InterContinental, Four Seasons y Hilton son sólo algunas de las grandes empresas que han saltado a los titulares en los últimos años como consecuencia de un ataque a la seguridad de los datos.

En la actualidad, Marriott se cita a menudo como una de las mayores violaciones de datos que se han producido, lo que ha dado lugar a una multa de más de 120 millones de dólares. Sin embargo, estos fallos básicos de seguridad no sólo causan pérdidas financieras devastadoras, sino que también cuestan a las organizaciones su reputación, puestos de trabajo, inversiones y negocios. Estas consecuencias son demasiado grandes para ignorarlas y el año pasado, el informe Perspectivas de los hoteles de PwC afirmaba que el sector de la hostelería era el segundo con mayor número de violaciones de la ciberseguridad, después del sector minorista.

La hostelería ocupa el tercer lugar, por detrás del comercio minorista y las finanzas, en cuanto a la probabilidad de sufrir una violación de datos.

Fuente: Informe de seguridad global de Trustwave, 2019

El eslabón más débil

El personal es a menudo el mayor activo de cualquier organización, pero también puede ser su eslabón más débil en materia de ciberseguridad, al ser predominantemente inconsciente de sus comportamientos y de su ciberhigiene.

Como tal, la hostelería es una industria lucrativa para los ciberdelincuentes debido al valor y al volumen de información personal identificable que poseen estas organizaciones. Esto, unido a una plantilla numerosa, ofrece amplias oportunidades para que los intrusos se infiltren en el sistema de reservas o en el TPV interno del restaurante para capturar datos críticos de los clientes.

Consciente de la creciente amenaza, el Galgorm Spa and Golf Resort, un hotel de lujo de primera categoría con sede en Irlanda del Norte, quería adoptar un enfoque proactivo para aumentar la concienciación entre los empleados y educar al personal sobre su papel a la hora de mantener la seguridad de la organización.

Reconocer y responder a las ciberamenazas

Tras una expansión, el Galgorm Spa and Golf Resort había incrementado su plantilla en múltiples ubicaciones y, como resultado, la organización estaba experimentando un aumento de las comunicaciones por correo electrónico y de las amenazas de phishing. Dado que la ciberseguridad es responsabilidad de todos, al Galgorm Spa and Golf Resort le resultaba cada vez más difícil comunicar claramente la higiene de la ciberseguridad y formar a los empleados sobre cómo reconocer y responder a las ciberamenazas más comunes.

Educar y comprometer a los empleados

Con el 76% de las empresas afectadas por ataques de phishing en 2019 según Wombat Security, el Galgorm Spa and Golf Resort reconoció la necesidad de aumentar la vigilancia y ayudar a mantener al personal a salvo de las estafas de phishing mediante una formación automatizada.

Utilizando el galardonado MetaPhish de MetaCompliance, el Galgorm Spa and Golf Resort puede ahora identificar a aquellos con mayor riesgo y dirigir a los usuarios a experiencias de aprendizaje en el punto de necesidad que ayuden a educar a los empleados para evitar futuros intentos de phishing. El uso de campañas de phishing personalizadas que se basan en escenarios de la vida real también ayuda a impulsar el compromiso entre el personal y ayuda a los empleados a identificar diversas formas de ataques de phishing en un entorno controlado.

«El phishing era un área de máxima preocupación y MetaPhish era el único producto que satisfacía nuestras necesidades específicas. Nos ha ayudado a identificar las vulnerabilidades dentro de la organización y nos ha dado una visión que luego utilizamos para mejorar nuestra formación en cibersensibilización.»

Elaine Kelly, Directora de Políticas y Proyectos

Informar sobre los resultados

A pesar de haber realizado campañas de concienciación ad hoc en el pasado, la dirección del Galgorm Spa and Golf Resort no pudo determinar la eficacia de la formación ni establecer una línea de base para la concienciación actual de los usuarios.

Con el detallado panel de informes de MetaCompliance, el Galgorm Spa and Golf Resort puede ahora demostrar el rastro de pruebas de sus campañas de concienciación, señalar a los usuarios vulnerables a los ataques y esbozar la necesidad de formación adicional del personal.

La dirección también ha podido compartir los informes con los miembros del consejo de administración y los ejecutivos, lo que ha contribuido a crear un modelo de responsabilidad compartida en toda la C-suite y a apoyar la aceptación dentro de la organización.

Sentido compartido de la responsabilidad

Para la dirección del Galgorm Spa and Golf Resort, crear un sentido compartido de la responsabilidad era clave. Desde la introducción de MetaPhish, la organización ha podido desarrollar una cultura de ciberseguridad, mejorar la responsabilidad personal e incrustar la seguridad como prioridad máxima en todas las áreas de operaciones.

Trabajando en colaboración con el Galgorm Spa and Golf Resort, el equipo de éxito de clientes de MetaCompliance ha podido asesorar sobre las últimas tendencias en phishing y ayudar a crear plantillas personalizables que sean relevantes para usuarios específicos.

«El proceso de implementación fue fantástico y no podría haber sido mejor. El equipo de MetaCompliance estuvo ahí para responder a cualquiera de nuestras preguntas, dar sugerencias para las campañas y proporcionar su asesoramiento experto.»

Elaine Kelly, Responsable de políticas y proyectos

En sólo unos meses, el Galgorm Spa and Golf Resort ha notado un aumento de la concienciación, con empleados que siguen las directrices de buenas prácticas y evalúan antes de hacer clic en cualquier enlace de correo electrónico. El Galgorm Spa and Golf Resort también ha podido mantener un enfoque coherente de la concienciación, emitiendo pruebas de phishing simuladas con regularidad utilizando el flujo de trabajo automatizado, lo que les ha ayudado a ahorrar tiempo y recursos.

«Trabajar con MetaCompliance ha puesto de relieve la importancia de una buena higiene en materia de ciberseguridad en toda la organización. Hemos notado que los usuarios son más conscientes de sus comportamientos y actúan con cautela porque ahora son conscientes de los riesgos y las consecuencias que se derivan de un ciberataque.»

Elaine Kelly, Directora de Políticas y Proyectos

Con el sector de la hostelería cada vez más propenso a sufrir ciberataques malintencionados, el Galgorm Spa and Golf Resort planea ahora mantener la concienciación entre el personal mediante campañas de concienciación continuas que incorporan un enfoque híbrido de activos físicos y digitales, como campañas de carteles, simulaciones de phishing, cuestionarios y un atractivo aprendizaje electrónico.

Mitigar el riesgo

Con los ciberdelincuentes representando un riesgo persistente para las organizaciones de todos los tamaños, es vital que su campaña de concienciación cibernética proporcione una defensa real contra las ciberamenazas y eduque al personal sobre la importancia de su papel en la salvaguarda de los datos sensibles de la empresa.

Cree una formación a medida sobre ciberseguridad y privacidad

Si desea más información sobre cómo MetaCompliance puede proporcionarle la mejor formación posible en materia de concienciación sobre ciberseguridad y privacidad para su personal, póngase en contacto con nosotros.

 

Logotipo de UCISA

¿Tiene prisa? Descárguese un PDF de este estudio de caso y guárdelo para más tarde.

Descargar