Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Medidas básicas de ciberseguridad en el sector turístico

Fecha de publicación 27/09/2018
Autor
INCIBE (INCIBE)
Medidas básicas de ciberseguridad en el sector turístico

Desde el año 1980, cada 27 de septiembre se celebra el Día Mundial del Turismo. Fue en el año 1979 cuando la Asamblea General de la Organización Mundial del Turismo decidió instituir este día en esta fecha ya que coincide con el aniversario de la aprobación de los Estatutos de la Organización Mundial del Turismo, organismo de las Naciones Unidas encargado de la promoción de un turismo responsable, sostenible y accesible para todos. Esta organización está compuesta por 158 países, 6 miembros asociados y más de 500 Miembros Afiliados que representan al sector privado, a instituciones de enseñanza, a asociaciones de turismo y a autoridades turísticas locales. 

Durante muchos años, el turismo ha crecido y se ha diversificado de manera constante. Es posiblemente el sector con mayor crecimiento a nivel global, siendo España uno de los destinos turísticos más deseados. Aprovechando esta celebración queremos resaltar aspectos fundamentales relacionados con la ciberseguridad que afectan directamente al sector turístico.

Las agencias de viaje, páginas web y otros organismos que trabajan constantemente con datos personales, alojamientos, billetes de diferentes medios de transporte, etc.  deben contar con los mecanismos de seguridad suficientes para gestionar y proteger la información. Garantizar la privacidad de los datos repercutirá en una mejora de la imagen corporativa y, por extensión, aumentará la confianza tanto de clientes como de proveedores. 

Pero además de contar con plataformas tecnológicas que gestionen esta información, no podemos olvidarnos de implicar tanto a empleados como a posibles colaboradores, incidiendo en la importancia de la formación y la concienciación en materia de ciberseguridad. 

Por lo tanto, será necesario implementar una serie de medidas de seguridad y buenas prácticas para proteger la información, como son las siguientes:

  • Control de acceso a la información. Será de gran importancia contar con una política de seguridad en la que se defina y clasifique la información, dejando claro quién y en qué condiciones accederá a qué tipo de información. Este control tendrá como objetivo impedir fugas de información y que personal no autorizado acceda a información confidencial.
  • Copias de seguridad. Se trata de una de las principales medidas de protección cuyo principal objetivo es evitar la pérdida de información o de los sistemas que la almacenan. Es fundamental realizar copias de seguridad periódicas, asegurándose que albergan toda la información relevante. Por último, será necesario asegurarse de que se sabe cómo recuperar los datos en caso necesario. 
  • Gestión de contraseñas. Por seguridad, los servicios y sistemas donde se gestione la información deberán estar bajo la tutela del uso de credenciales. De tal manera que además de un nombre de usuario haya que introducir una contraseña lo más robusta posible (haciendo uso de minúsculas, mayúsculas, números y caracteres especiales), que deberá ser actualizada periódicamente y eliminada de forma segura cuando sea necesario. Las contraseñas deficientes o mal custodiadas pueden provocar accesos no autorizados a los datos y servicios de una organización. 
  • Cifrado de datos. Tanto la información sensible y confidencial como los dispositivos o soportes que la contengan (bases de datos, registros, correos electrónicos, etc.), que requieran especial protección, además de controlar su acceso, será necesario cifrar los datos que alojan. De esta forma evitaremos fugas o manipulaciones garantizando la confidencialidad e integridad de la misma. 
  • Actualizaciones. Todo software es susceptible de mejorar y por lo tanto de contar con actualizaciones, ya sea por motivos de seguridad o por añadir nuevas funcionalidades. Esto incluye al firmware de los equipos electrónicos, sistemas operativos y aplicaciones informáticas, incluidos los productos antimalware. Por lo tanto será necesario estar al día en cuanto a actualizaciones y parches de seguridad para evitar ser víctimas de ataques no deseados. 
  • Eliminación segura de la información. Una vez que la información deja de ser necesaria para una organización, se dice que ha llegado a su última fase de su ciclo de vida, haciéndose necesaria una eliminación de forma segura para que ésta no vuelva a ser accesible, evitando así posibles difusiones accidentales o indeseadas.
  • Control de uso de herramientas corporativas. Si queremos evitar fugas de información garantizando la privacidad de los datos de carácter personal e información sensible, se deberá determinar y controlar qué software estará autorizado para el tratamiento de la información dentro de la empresa. Además, también será necesario controlar los accesos desde el exterior por parte del personal ajeno a la organización. 
  • Confidencialidad en la contratación de servicios. En el caso de ser necesaria la contratación de servicios especializados externos que requieran el intercambio de información, deberán contar con una buena capacidad de protección, tanto la que aloja el proveedor como aquella que se encuentra en tránsito. De nada servirá asegurar al máximo nuestros sistemas si luego no exigimos esa misma seguridad a proveedores externos
  • Cumplimiento legal. Cualquier empresa u organización deberá cumplir las normas que estén establecidas en el país que estén establecidas u operen y oferten sus productos y servicios. Esto, además de ser una obligación legal, ayuda a forjar una buena reputación de negocio. Las principales leyes a cumplir en España son el nuevo RGPD (Reglamento General de Protección de Datos), la LOPD (Ley Orgánica de Protección de Datos), ambas con la finalidad de proteger la privacidad de las personas, o la SSI-CE (Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico), que regula aspectos jurídicos de las actividades económicas o lucrativas derivadas del comercio electrónico. Además existen otras como el Eidas (Reglamento Europeo de Identificación Electrónica y Servicios de Confianza en el Mercado Interior), o las leyes de Propiedad Intelectual o Propiedad Industrial. 

Siguiendo este tipo de pautas básicas, podremos proteger la información que gestionamos y transmitir una imagen positiva de nuestra organización, generando confianza tanto en clientes como proveedores. Proteger y gestionar correctamente la información en cualquier empresa debe ser una de las principales prioridades, ya que conforman la base del negocio del sector turístico. 

No lo dudes, pon en marcha estas medidas. Feliz Día Mundial del Turismo.