Na sua unidade hoteleira são, sem qualquer dúvida, os elementos da sua equipa os principais atores na prevenção, deteção e mitigação de riscos e ameaças. Um ambiente seguro, seja ele físico ou digital, depende em primeira instância das pessoas e da capacidade que estas possuem para prevenir, detetar e reagir relativamente a potenciais riscos de segurança. No caso da segurança informática, as capacidades que a sua equipa possui ganham especial importância pois as áreas de conhecimento são muito alargadas e estão em constante evolução, sendo determinante para um ambiente seguro a capacidade de ensinar, formar e treinar os colaboradores da sua unidade hoteleira.

Não querendo, tal como já prometi, manter estes artigos no nível da teoria irei apresentar um exemplo prático onde a capacidade de prevenir, detetar e reagir são determinantes.

PEN DRIVES, PORTAS USB E O WEBCENTER DO HOTEL

Talvez por defeito de profissão, sempre que fico alojado numa unidade hoteleira, faço um teste simples à capacidade de prevenir e detetar que essa unidade hoteleira possui: na receção solicito o especial favor de imprimir o meu bilhete de avião que está na minha Pen Drive que prontamente entrego.

PERCEBER A AMEAÇA

Com esta decisão, aparentemente simples, pode estar a permitir que:

• A rede seja monitorizada, por forma a encontrar as vulnerabilidades e informação relevante;
• Possa ser recolhida informação acerca dos nomes de utilizador e palavras-passe, utilizados em qualquer sistema da operação hoteleira e não só;
• Estar a dar acesso a informação sensível acerca do seu negócio ou acerca dos seus hóspedes;
• Permitir o sequestro de equipamentos, sistemas e da sua unidade.

Permitir a ligação de uma Pen Drive num equipamento é correr um elevado risco de, em poucos segundos, passar para o seu sistema um variado conjunto de malware abrindo assim a porta a variadíssimas ameaças, nomeadamente aquelas que permitem abrir a porta dos seus sistemas, dados e atividade aos cibercriminosos.

COMO AGIR

Existem aqui várias possibilidades, que podem ser aplicadas de acordo com a realidade da sua unidade hoteleira.

ANTIVÍRUS

Todos os equipamentos devem ter instalada e atualizada uma solução de antivírus profissional. A maior parte das soluções profissionais do mercado possuem a capacidade de detetar as ameaças conhecidas permitindo assim estabelecer uma primeira linha de defesa.

POLÍTICA DE SEGURANÇA

Ter uma política de segurança definida que estabeleça um procedimento claro para estas situações. Hoje em dia já é comum obter uma das seguintes respostas:

• “Não nos é possível ligar Pen Drives ao sistema, mas se nos conseguir enviar por correio eletrónico nós imprimimos” – Assim, mesmo que existam portas USB no equipamento, a equipa conhece os riscos e sabe como agir, sendo que caso possua um antivírus este cumprirá a sua parte de detetar alguma ameaça ao receber o correio eletrónico.
• “Não nos é possível ligar Pen Drives ao sistema, mas pode dirigir-se ali ao nosso webcenter e num dos equipamentos ligar a sua Pen e imprimir” – Neste caso, estamos a transferir o risco para o hóspede, cabendo-lhe a ele a decisão de ligar ou não a Pen Drive num dos equipamentos disponíveis, sendo que relativamente aos webcenters das unidades hoteleiras existem ainda outras medidas de segurança informática a aplicar pois são um verdadeiro ninho de malware.

MEDIDAS DE SEGURANÇA

Existe a possibilidade de configurar e aplicar algumas medidas de segurança relativamente simples aos seus sistemas informáticos, permitindo diminuir os riscos associados à ligação de dispositivos externos USB. Assim, pode solicitar ao seu departamento de informática que inative a possibilidade de utilização das portas USB de determinados (ou mesmo todos) equipamentos, adicionando desta forma uma camada que impede de facto que a política seja ultrapassada pela vontade do utilizador. A aplicação desta medida, é também um fator adicional de segurança, uma vez que impede os utilizadores de ligarem dispositivos USB (muitas vezes pessoais) nos equipamentos contribuindo desta forma para a redução da ameaça interna. Existem alguns casos documentados em que o atacante veio de dentro da organização.

Relativamente aos webcenters utilizados pelos hóspedes, por vezes alguns deles não têm as melhores intenções e a verdade é que não conseguimos controlar todos os aspetos da sua utilização, sendo muito comum encontrar malware instalado nestes equipamentos. E como é óbvio, se o hóspede for a vítima, o seu nível de experiência e satisfação não será o melhor. Existem, no entanto, também algumas medidas de segurança que podem ser aplicadas a estes equipamentos, mitigando algumas situações. A minha preferida é a utilização da virtualização. Quer isto dizer que, na realidade, o equipamento está a correr uma máquina virtual, que se comporta tal como a solução normal, mas que de cada vez que o equipamento é desligado apaga tudo voltando ao estado inicial. Assim, sempre que é ligado, o equipamento está limpo de instalações efetuadas, históricos de utilização, ficheiros guardados, entre outros. Não se tratando de uma situação completamente segura, é ainda assim uma excelente forma de reduzir alguns dos riscos detetados nos webcenters.

Com este pequeno exemplo, espero ter conseguido alertar para a importância de prevenir as ciberameaças pois podem ter consequências para além das diretamente visíveis.

Resta-me ainda acrescentar que detetar e reagir a ameaças não cabe só ao seu antivírus, cabe também à equipa, pois hoje em dia com fechaduras eletrónicas ou carregadores USB para telefones, estes são também vetores atacáveis e de ataque.

Assim, sugiro a leitura deste artigo onde se apresenta uma forma simples e barata de contornar fechaduras, bem como este outro artigo que apresenta alguns dos cuidados a ter quando se utilizam os carregadores USB de parede disponíveis em hotéis, aeroportos, aviões, entre outros. Se no primeiro caso, os fabricantes vão dando resposta e resolvendo a ameaça que tem sobretudo a ver com a segurança física dos alojamentos e possibilidade de utilização para assalto, a segunda, para além de deteção difícil, é hoje um dos vetores mais utilizados para roubo de dados.

Posto isto, meu caro ciberhoteleiro, não se esqueça que “mais vale prevenir do que remediar”! Inicie a aplicação de algumas medidas simples e treine a sua ciberequipa hoteleira para proteger a sua unidade.

‍