El turismo es el tercer sector más amenazado por la ciberdelincuencia, según ha confirmado Patricia Miralles, responsable de Innovación del ITH (Instituto Tecnológico Hotelero). No en vano los incidentes de seguridad digital alcanzaron los 120.000 en 2017, 10 veces más que sólo tres años antes, como publicó el portal Hosteltur, especializado en noticias de turismo. Sin embargo el eslabón más débil de la cadena de seguridad las empresas lo tienen dentro de casa, pues es el propio empleado por sus “comportamientos no adecuados”, según se ha constatado en el informe elaborado al respecto por el Observatorio de Investigación de ESERP Business School, en colaboración con el ITH, DataSeekers y Cuadernos de Seguridad.
La delincuencia informática se configura actualmente como uno de los grandes problemas de seguridad a nivel internacional. La falta de información, la baja percepción del riesgo por parte de las empresas, organizaciones y usuarios, unidas al hecho de que la comisión del delito vaya, en muchas ocasiones, un paso por delante de los avances realizados en materia de prevención, convierten los ciberataques en una amenaza constante en un entorno cada vez más tecnológico.
Ciberseguridad: el personal de las empresas es el eslabón más débil https://t.co/iZSRUNEEvn
— hosteltur (@hosteltur) 15 de diciembre de 2018
Prácticas de riesgo habituales dentro de las empresas :
- El uso de internet sin protocolos de seguridad mínimos como la utilización de antivirus, firewalls o la actualización de sistemas pueden poner en riesgo la seguridad de una organización
- Gestos tan habituales como la consulta de la cuenta de correo personal y de las redes sociales desde el equipo de la organización
- La descarga de archivos ilegales
- Acceder a los servicios de la empresa desde los dispositivos personales.
Todas estas acciones abren brechas de seguridad para las que hoy en día muchas compañías no están preparadas y de las que el empleado todavía no es consciente. Especialmente, según se ha reflejado en el informe, los trabajadores en prácticas, que son los que con mayor frecuencia ponen en peligro a la empresa difundiendo información sobre ella, visitando sus redes sociales desde los dispositivos de la compañía y compartiendo claves.
💻 Interesante reportaje de @tecnohotelnews:“La crisis de #Marriott reafirma el problema de #Ciberseguridad de los #Hoteles” #Turismo #Ciberataques #Hackers #Ciberseguros #PuenteDeLaConstitución https://t.co/D8bNJjJz4d
— Hiscox España (@HiscoxSpain) 6 de diciembre de 2018
Este problema afecta a todo tipo de empresas, tanto grandes como pequeñas, y se debe a una falta de formación y al amplio desconocimiento existente entre los empleados, a pesar de mostrar cierta sensibilidad por lo que está ocurriendo en todo el mundo y en cualquier ámbito. La responsable de la investigación, Luisa Fanjul, ha hecho hincapié en que son ellos “los responsables de lo que está ocurriendo, por trasladar sus comportamientos y hábitos a su lugar de trabajo. Obviamente no buscan atacar de manera deliberada a su empresa, sino que esos hábitos de comunicación presentes en su vida los trasladan luego a su puesto de trabajo”.
Son, como los ha definido Fanjul, “comportamientos no conscientes ni deliberados pero que abren brechas de seguridad en la empresa por su falta de formación y a pesar de esa sensibilidad que muestran hacia la ciberseguridad”. Y ha puesto ejemplos, detectados tras la investigación, como que el 24% de los encuestados comparte sus claves de acceso, o que el 33% habla de temas sensibles de su empresa fuera de ella en el ámbito offline.
#TURISMO | Los hoteles, una presa muy apetitosa para los 'hackers' https://t.co/MHs8dXqVLa #ciberdelincuencia #seguridad #Hoteles pic.twitter.com/yP9fne8Msd
— AtlánticoHoy (@atlantico_hoy) 7 de diciembre de 2018
Por ello considera que “formar al personal sobre cuáles de sus hábitos no debe trasladar a su lugar de trabajo mejoraría sin duda la ciberseguridad”. En este sentido los responsables de la investigación, como ha explicado Fanjul, lanzan “una propuesta novedosa: formar y sensibilizar a esos empleados de una forma divertida con una estrategia de gamificación basada en ARG, juegos de realidad alternativa en los que el empleado que participa no sabe si está jugando o no”. A ello también suman “mini ciberjuegos, sólo como una muestra de lo que se puede hacer adaptando la ludificación a cualquier tipo de empresa”.
Éste es el segundo estudio que estos socios realizan en colaboración con el ITH, tras analizar todas las áreas de una empresa que podían verse afectadas por estos ciberataques. Y para el próximo, según ha avanzado Miralles, van a investigar “si los empresarios están invirtiendo ante esas necesidades que hemos detectado; si son conscientes de que tienen que invertir, no sólo en tecnología sino también en formación porque la tecnología va más rápido que nosotros”.