Hotelaria 4.0

O melhor do mundo da Tecnologia aplicado à realidade da Hotelaria.

Ciberequipa Hoteleira

Publicado a 02 MARÇO'17, por CARLOS SOARES em Operações Hoteleiras, Segurança

Na sua unidade hoteleira são, sem qualquer dúvida, os elementos da sua equipa os principais atores na prevenção, deteção e mitigação de riscos e ameaças. Um ambiente seguro, seja ele físico ou digital, depende em primeira instância das pessoas e da capacidade que estas possuem para prevenir, detetar e reagir relativamente a potenciais riscos de segurança. No caso da segurança informática, as capacidades que a sua equipa possui ganham especial importância pois as áreas de conhecimento são muito alargadas e estão em constante evolução, sendo determinante para um ambiente seguro a capacidade de ensinar, formar e treinar os colaboradores da sua unidade hoteleira.

Não querendo, tal como já prometi, manter estes artigos no nível da teoria irei apresentar um exemplo prático onde a capacidade de prevenir, detetar e reagir são determinantes.

PEN DRIVES, PORTAS USB E O WEBCENTER DO HOTEL

Talvez por defeito de profissão, sempre que fico alojado numa unidade hoteleira, faço um teste simples à capacidade de prevenir e detetar que essa unidade hoteleira possui: na receção solicito o especial favor de imprimir o meu bilhete de avião que está na minha Pen Drive que prontamente entrego.
 

PERCEBER A AMEAÇA

Com esta decisão, aparentemente simples, pode estar a permitir que:
  • A rede seja monitorizada, por forma a encontrar as vulnerabilidades e informação relevante;
  • Possa ser recolhida informação acerca dos nomes de utilizador e palavras-passe, utilizados em qualquer sistema da operação hoteleira e não só;
  • Estar a dar acesso a informação sensível acerca do seu negócio ou acerca dos seus hóspedes;
  • Permitir o sequestro de equipamentos, sistemas e da sua unidade.
 
Permitir a ligação de uma Pen Drive num equipamento é correr um elevado risco de, em poucos segundos, passar para o seu sistema um variado conjunto de malware abrindo assim a porta a variadíssimas ameaças, nomeadamente aquelas que permitem abrir a porta dos seus sistemas, dados e atividade aos cibercriminosos.
 

COMO AGIR

Existem aqui várias possibilidades, que podem ser aplicadas de acordo com a realidade da sua unidade hoteleira.
 
ANTIVÍRUS
Todos os equipamentos devem ter instalada e atualizada uma solução de antivírus profissional. A maior parte das soluções profissionais do mercado possuem a capacidade de detetar as ameaças conhecidas permitindo assim estabelecer uma primeira linha de defesa.
 
POLÍTICA DE SEGURANÇA
Ter uma política de segurança definida que estabeleça um procedimento claro para estas situações. Hoje em dia já é comum obter uma das seguintes respostas:
  • Não nos é possível ligar Pen Drives ao sistema, mas se nos conseguir enviar por correio eletrónico nós imprimimos” – Assim, mesmo que existam portas USB no equipamento, a equipa conhece os riscos e sabe como agir, sendo que caso possua um antivírus este cumprirá a sua parte de detetar alguma ameaça ao receber o correio eletrónico.
  • Não nos é possível ligar Pen Drives ao sistema, mas pode dirigir-se ali ao nosso webcenter e num dos equipamentos ligar a sua Pen e imprimir” – Neste caso, estamos a transferir o risco para o hóspede, cabendo-lhe a ele a decisão de ligar ou não a Pen Drive num dos equipamentos disponíveis, sendo que relativamente aos webcenters das unidades hoteleiras existem ainda outras medidas de segurança informática a aplicar pois são um verdadeiro ninho de malware.

 

MEDIDAS DE SEGURANÇA

Existe a possibilidade de configurar e aplicar algumas medidas de segurança relativamente simples aos seus sistemas informáticos, permitindo diminuir os riscos associados à ligação de dispositivos externos USB. Assim, pode solicitar ao seu departamento de informática que inative a possibilidade de utilização das portas USB de determinados (ou mesmo todos) equipamentos, adicionando desta forma uma camada que impede de facto que a política seja ultrapassada pela vontade do utilizador. A aplicação desta medida, é também um fator adicional de segurança, uma vez que impede os utilizadores de ligarem dispositivos USB (muitas vezes pessoais) nos equipamentos contribuindo desta forma para a redução da ameaça interna. Existem alguns casos documentados em que o atacante veio de dentro da organização.
 
Relativamente aos webcenters utilizados pelos hóspedes, por vezes alguns deles não têm as melhores intenções e a verdade é que não conseguimos controlar todos os aspetos da sua utilização, sendo muito comum encontrar malware instalado nestes equipamentos. E como é óbvio, se o hóspede for a vítima, o seu nível de experiência e satisfação não será o melhor. Existem, no entanto, também algumas medidas de segurança que podem ser aplicadas a estes equipamentos, mitigando algumas situações. A minha preferida é a utilização da virtualização. Quer isto dizer que, na realidade, o equipamento está a correr uma máquina virtual, que se comporta tal como a solução normal, mas que de cada vez que o equipamento é desligado apaga tudo voltando ao estado inicial. Assim, sempre que é ligado, o equipamento está limpo de instalações efetuadas, históricos de utilização, ficheiros guardados, entre outros. Não se tratando de uma situação completamente segura, é ainda assim uma excelente forma de reduzir alguns dos riscos detetados nos webcenters.
 
Com este pequeno exemplo, espero ter conseguido alertar para a importância de prevenir as ciberameaças pois podem ter consequências para além das diretamente visíveis.
Resta-me ainda acrescentar que detetar e reagir a ameaças não cabe só ao seu antivírus, cabe também à equipa, pois hoje em dia com fechaduras eletrónicas ou carregadores USB para telefones, estes são também vetores atacáveis e de ataque.
Assim, sugiro a leitura deste artigo onde se apresenta uma forma simples e barata de contornar fechaduras, bem como este outro artigo que apresenta alguns dos cuidados a ter quando se utilizam os carregadores USB de parede disponíveis em hotéis, aeroportos, aviões, entre outros. Se no primeiro caso, os fabricantes vão dando resposta e resolvendo a ameaça que tem sobretudo a ver com a segurança física dos alojamentos e possibilidade de utilização para assalto, a segunda, para além de deteção difícil, é hoje um dos vetores mais utilizados para roubo de dados.
 
Posto isto, meu caro ciberhoteleiro, não se esqueça que “mais vale prevenir do que remediar”! Inicie a aplicação de algumas medidas simples e treine a sua ciberequipa hoteleira para proteger a sua unidade.

Partilhar:

Sobre o Autor

Carlos Soares

Com uma experiência acumulada de mais de 15 anos em Consultoria Estratégica de TI para diferentes tipos de entidades, a nível nacional e internacional, especializou-se na área da Segurança de Informação e assume a gestão da ITBase / WareGuest enquanto CEO.

Artigos Relacionados

7 mandamentos para fontes de dados de qualidade a utilizar em Business Analytics

Cada vez mais as decisões nas empresas têm que ser fundamentadas em evidências e menos nos instintos ou intuições dos gestores. É claro que a experiência e conhecimento pessoal de cada gestor vão sempre influenciar as suas decisões, mas essencialmente, devem ser os factos a estar na base das decisões. E de onde vêm estes factos? Os factos e o conhecimento que os sustenta resulta sobretudo dos dados de que as organizações dispõem e de como os organizam, ou seja, como transformam os dados em informação e posteriormente, em conhecimento e sabedoria. Contudo, se os dados tiverem o que tecnicamente se chama de falta de “qualidade”, as decisões que possam advir de tomadas de decisão com base nos mesmos podem revelar-se incorretas.

06.nov.2018

Como é que os preços influenciam a ocorrência de cancelamentos?

Se os preços podem ser utilizados como fonte de dados, também a sua comparação com a concorrência afeta definitivamente futuros cancelamentos. Vejamos como com dados reais.

02.out.2018

Como tirar partido da Meteorologia para uma melhor Gestão Hoteleira?

Na continuação dos posts sobre as diversas fontes de dados que estão à disposição dos hoteleiros para reunir informação importante para a tomada de decisão, neste post venho falar da meteorologia, algo que todos os hoteleiros sabem intrinsecamente que tem impacto na atividade hoteleira, mas que muito raramente tiram partido da facilidade com que se tem acesso a estes dados.

19.out.2017

Artigos Recentes

7 mandamentos para fontes de dados de qualidade a utilizar em Business Analytics

06.nov.2018

Como é que os preços influenciam a ocorrência de cancelamentos?

02.out.2018

Fontes de dados de livre acesso e com impacto na procura

16.fev.2018