"No hemos estado a la altura de lo que merecen nuestros clientes y de lo que esperamos de nosotros mismos. Estamos haciendo todo lo que podemos para ayudar a nuestros huéspedes y aprovechar las lecciones aprendidas para mejorar en el futuro."
Arne Sorenson, Presidente y Consejero Delegado de Marriott
La recientemente anunciada violación de la seguridad de los datos de Marriot es una lección de ciberseguridad para todos.
El reto de la organización para hacer frente a lo sucedido, restaurar la credibilidad y tomar medidas rápidas para evitar otra brecha debe ser una llamada de atención para cualquier empresa, en cualquier industria.
Los primeros detalles sugieren que las claves de cifrado fueron robadas junto con la información de las tarjetas de crédito. Lo que resulta aún más inquietante son las inadecuadas políticas y prácticas de gestión de claves de cifrado de Starwood: la ausencia de detección de la filtración (y el hecho de que Starwood lleve cuatro años cometiéndola) no deja de ser alarmante.
No hay duda de que Marriott International ha establecido políticas y procedimientos diseñados para proteger los datos y detectar anomalías maliciosas. Esta brecha en los datos de Starwood sugiere un ciberataque iniciado internamente o uno que se produjo como resultado del secuestro de credenciales elevadas de un usuario.
Aunque angustioso, este incidente sirve para recordar que la seguridad actual está en el corazón de todo negocio digital.
1. Almacenamiento de datos con sentido común
Primera lección: la información de pago nunca debe almacenarse junto con datos que no sean de pago.
La mejor analogía es guardar las llaves, el pasaporte y el dinero uno al lado del otro cuando viajas. Estás aumentando la probabilidad de que te roben todo lo que es realmente importante de un solo golpe.
Si Starwood no utilizó las mejores prácticas para almacenar y proteger adecuadamente las claves de cifrado, podría tratarse de una filtración mucho mayor de lo que se informó en un principio.
2. La diligencia debida es algo más que contabilidad
Marriott adquirió la marca Starwood en 2016. El hecho de que esta brecha lleve produciéndose desde 2014 sugiere que el problema no se descubrió durante el proceso de fusión y adquisición.
Starwood era una marca lo suficientemente grande como para contar con un proceso de seguridad digital maduro. ¿Se pasaron por alto las señales de alarma? ¿No conocía Starwood las lagunas de seguridad?
¿O, tal vez, ni siquiera se abordó la seguridad digital en el momento de la adquisición?
Comprender el estado actual del programa de seguridad digital de una empresa () es fundamental para asegurarse de que no está pagando de más por una empresa que no ha invertido lo suficiente en la mitigación de riesgos.
El cumplimiento es una parte importante de la comprobación de la calidad de los activos y la responsabilidad durante una combinación de negocios. El rigor de la seguridad debe desempeñar un papel
3. Prepárese para un cumplimiento normativo y una complejidad aún mayores
Hay muchas buenas prácticas y directrices que las empresas deben tener en cuenta a la hora de planificar y aplicar prácticas de seguridad digital.
Pero estos conceptos no garantizan el cumplimiento, sino la normativa.
Sin duda, las organizaciones empezarán a enfrentarse a un escrutinio cada vez mayor y a posibles auditorías sobre cómo se gestionan las claves de seguridad digital. Ya no bastará con afirmar que los datos deben cifrarse o definir qué algoritmos deben utilizarse.
Las empresas deben estar preparadas para demostrar que las claves se gestionan eficazmente y se almacenan de forma segura, desde la cuna hasta la tumba y en todo momento entre medias. Las organizaciones que velan por el cumplimiento de la normativa y los organismos de normalización empezarán a añadir estos criterios y las empresas tendrán que estar preparadas para responder cuando se introduzcan nuevas normas.
Además, este incidente reúne todos los elementos necesarios para convertirse en el caso paradigmático del RGPD. Marriott es una empresa internacional con una importante base de operaciones en la UE.
Más allá de las sanciones económicas, las consecuencias podrían impulsar restricciones aún mayores y repercutir en la normativa sobre privacidad y en la futura legislación estadounidense.
4. La credibilidad de la marca lo es todo
La gestión de crisis es algo que se planifica, pero nunca se sabe realmente cómo va a ser hasta que ocurre algo.
La marca Marriott existe desde 1927, transformándose en la marca hotelera que es hoy en 1957. Lleva décadas forjándose una reputación de confianza que en pocos momentos ha sufrido un duro golpe.
Sólo el tiempo dirá con qué rapidez perdonarán los mecenas. Es poco probable que lleguen a olvidar.
Demandas, intervención del gobierno, desconfianza de los clientes... y no olvidemos que también tienen una división de tarjetas de crédito. Marriott estará en las noticias durante años, recordándonos una y otra vez los problemas que sufrieron por un programa de seguridad digital potencialmente mediocre.
5. Los "datos personales" son sólo eso: Personales
Las empresas utilizan los datos para personalizar la experiencia del cliente. Y funciona... cuando los datos se recopilan con consentimiento y el cliente ha demostrado cierto nivel de interés.
Piense hasta qué punto llega esto: los datos que tienen estos piratas informáticos van más allá de las preferencias de compra.
Podría incluir dónde han estado estos viajeros, qué habitaciones les gustan, qué comida han comido, nombres y datos de otros miembros de la familia que hayan viajado con ellos. Cumpleaños, contraseñas, incluso patrones de cuándo alguien viaja por negocios y está fuera de casa. Desde el punto de vista de la seguridad nacional, los números de pasaporte y otros datos podrían venderse a naciones adversarias.
Suena descabellado, pero este nuevo mundo en el que vivimos tiene amenazas de las que aún no somos conscientes.
Esta brecha podría haberle ocurrido a cualquier empresa. Los ciberatacantes son cada vez más sofisticados, y es imposible prever las amenazas venideras y evitar todas las violaciones, pero hay medidas que pueden dificultar las cosas, como asegurarse de que todos los activos están cubiertos por una identidad digital, y de que los dispositivos en los que se invierte tienen la seguridad incorporada en el diseño.
Invertir en los elementos adecuados puede reducir la probabilidad de que se produzca una infracción y, al mismo tiempo, reducir su impacto negativo cuando se produzca.
