— ¿En qué consiste una estrategia de ciberseguridad?

—Dado el entorno de amenazas rápidamente cambiante que vivimos hoy en día, se debe promover la necesidad protegerse mediante la definición de una estrategia que permita mitigar el riesgo ya sea con la implantación de una tecnología o directamente concienciando a los empleados, transferirlo a un tercero como puede ser con la contratación de una ciberpóliza o, en caso que sea la mejor o única opción, aceptarlo. Dicha estrategia tiene como punto de partida la evaluación del actual nivel de madurez en cuanto a un conjunto de cibercapacidades que conformen los cuatro pilares fundamentales de la ciberseguridad: Gobierno, Protección, Vigilancia y Resiliencia. A partir de aquí, trazar un plan estratégico alineado con el negocio.

—El sector turístico es el motor de la economía de las islas, ¿están bien protegidas las empresas de las islas?

—Se puede palpar una tendencia creciente en cuanto a la concienciación de las empresas del sector, pero continúa habiendo un amplio margen de mejora. En los tiempos que corren tenemos la ventaja que gracias al continuo bombardeo de noticias relacionadas con los ciberataques que está sufriendo el sector, ya es la alta dirección la que se preocupa por la seguridad en lugar de, como tiempo atrás, el responsable de seguridad. Él era quien tenía que ir a ellos con discursos probabilísticos los cuales desde negocio creían que no les aplicaba. Hoy los ataques a las compañías son cada vez más distribuidos que dirigidos.

—¿ Y qué deberían hacer hacer las empresas para mejorar su seguridad?

—Deberían ser más proactivas que reactivas, ya que puede que en ocasiones cuando quieran poner remedio haya cosas que no la tengan o sea difícil de sufragar. Todos hemos escuchado hablar de los últimos casos que han afectados a nivel global a empresas del sector turístico. Puede que ahora hayan protegido mejor los datos de sus clientes, pero su reputación ya ha sido comprometida, siendo muy costoso poder reconstruirla.

—¿Se le ocurre algún ejemplo de un ciberataque a un hotel, más allá del robo de datos?

—A raíz de los hechos recientes, la sociedad cree que lo peor que le puede pasar a una compañía es que les roben sus datos, pero dados los diversos vectores de ataque a los cuales están expuestas, hay otros riesgos cuyo impacto puede ser aún mayor. Entre ellos podríamos citar el "ataque al CEO" en el que, a través de un phishing y una pizca de ingeniería social, los cibercriminales pueden derivar grandes transferencias monetarias a paraísos fiscales. Otros riesgos a los que están expuestas son el bloqueo de sistemas, encriptación de archivos y sobrecarga de la red, etc. Todos ellos con unas pérdidas cuantitativas elevadas y cualitativas incalculables.

—¿Considera que el sector de la restauración está en la misma situación?

—En el caso del sector de la restauración, aparte de los ya mencionados, nos podríamos encontrar expuestos a riesgos alimenticios que afectarían directamente contra la integridad de las personas. Por ejemplo, vamos a imaginarnos un restaurante de un centro hospitalario que tiene en su base de datos la dieta de cada uno de sus pacientes, atendiendo a que algunos son celíacos u otros tienen alergia a algún alimento en concreto. Pues bien, si un cibercriminal modifica dicha base de datos los resultados podrían ser fatales. Otro factor, aunque no tan crítico, también podría ser la modificación del stock provocando que no puedan abastecer a sus clientes por un mal inventariado de sus existencias, lo que lleva supeditado una pérdida económica. Sin olvidarnos del daño que sufriría la reputación de dicha cadena de restauración.

—¿Es la privacidad el mayor reto de ciberseguridad al que se enfrenta la industria hotelera en la actualidad?

—La privacidad es un gran reto y tenemos la suerte de que los gobiernos ya están tratando de darle el debido soporte y resonancia mediante la aplicación de normativas de protección de datos como el progreso de la LOPD a la GDPR. Sin embargo, la pérdida de confianza de los clientes, el daño a la reputación y a la marca de la organización siguen siendo riesgos latentes en el sector.

— ¿Cuál diría que es el gran reto en ciberseguridad de la industria turística?

—Los retos a los que se enfrenta, y lo continuará haciendo de forma exponencial, son los relacionados con el Internet of Things o Internet de las Cosas, el cual permite la interconexión de objetos a través de la red, recibiendo y enviando información al instante. Los hoteles utilizan cada vez más sistemas basados en IoT y los cibercriminales pueden usar esos dispositivos para espiar y robar, entre otros.