Entrevista

"La información que manejamos en las empresas hoteleras es muy valiosa"

"Nuestra labor es facilitar a la compañía que desarrolle su estrategia de negocio con el mínimo riesgo pero la seguridad total no existe", destaca Josep Estévez

16.09.2017 | 23:20
Josep Estévez, CISO de Meliá Hotels International.
Josep Estévez
 
"Velamos por garantizar la seguridad de la información dentro de los procesos de negocio"

"Lo importante es que el cliente sea consciente de que sus datos se van a tratar de forma adecuada"

Director de Seguridad de la Información (CISO) de Meliá Hotels International

 

 

Ingeniero superior de Telecomunicaciones, Josep Estévez (Palma de Mallorca, 1982) es el máximo responsable de la Seguridad de la Información de Meliá Hotels International, en cuyo plantel se integró tras la participación en el proyecto de certificación PCI de la central de reservas del grupo. El término CISO (Chief Information Security Officer) es bastante reciente, "en realidad, una tendencia del mercado para alinearnos con la nomenclatura procedente de Estados Unidos", explica. Él, sin embargo, afirma que en su empresa a los de su departamento los llaman cariñosamente "los seguratas". Estévez participará el próximo octubre en una de las mesas de HackHotel 2017 ( www.hackhotel.es), I Congreso Nacional de Ciberseguridad Hotelera, que organiza Ashotel en el Auditorio de Tenerife.

¿Considera que en términos generales existe conciencia en las empresas acerca del valor de la información que manejan para garantizar su seguridad?

Yo diría que es algo que va a más. Al principio se empezó a tener conciencia porque había que cumplir con una serie de normas legales en diferentes ámbitos, entre ellas la Ley Orgánica de Protección de Datos (LOPD), de 1999, y su reglamento posterior, de 2007. Seguidamente, el requerimiento por parte de las marcas de tarjetas de crédito que exige el cumplimiento PCI (Payment Card Industry) para garantizar la seguridad en los medios de pago ha ido calando en la conciencia empresarial, que afecta a toda la organización.

En este caso, la ley es la que ha generado la conciencia, un caso en el que la ley va por delante...

Sí, exacto. Trabajamos en dos vías: por un lado, la ley, que nos obliga a cumplir una serie de medidas de seguridad, y por otra, la implementación de éstas en los canales donde viaja la información. Debemos tener la garantía de que se realiza un uso de forma segura en términos de confidencialidad, integridad y disponibilidad. Así, del binomio normativa ?que nos obliga? y tecnología ?que nos permite mejorar en la forma de trabajar? surge esa cultura de la seguridad de la información, que día a día va calando en la organización.

¿Forma usted parte de algún comité estratégico de su empresa?

Si bien la estrategia define el camino de la empresa, realmente la labor de la seguridad es táctica. Dentro de esta táctica nuestra labor desde Seguridad va ligada a la proactividad, en ir un paso por delante en las estrategias que requieren el uso de información, garantizando la confidencialidad, integridad y disponibilidad.

¿Cuál es la información más sensible que maneja una empresa hotelera?

Sin duda, los datos de los clientes, principalmente la información de medios de pago, que debemos proteger para evitar fraudes. También su información personal, sus preferencias... Cuando una persona se hospeda en uno de nuestros hoteles y nos da su confianza para disfrutar de un servicio y una experiencia lo importante es que sea consciente de que se va a respetar su información y que sus datos se van a tratar de forma adecuada. Además, también son importantes los datos de los empleados (de salud, nóminas...), así como información confidencial de la empresa, que es estratégica. La información es el nuevo oro, un activo muy importante, y debemos poner mucho empeño en custodiarla.

En términos a nivel de usuario, ¿cómo definiría la labor diaria de un CISO?

Básicamente, velamos por garantizar la seguridad de la información dentro de los procesos de negocio. Diseñamos la arquitectura de seguridad y los procesos de los diferentes flujos de información, identificando los riesgos y los controles de seguridad a implementar para controlar y mitigar ese riesgo. Es una tarea diaria que llevamos en coordinación con todas las áreas (IT, RRHH, hotel, Administración, Riesgos...), validando cada solución en función de la criticidad de cada tipo de información. Aquí nos llaman 'los seguratas' a modo cariñoso, nuestra labor va imbricada en toda la cadena de valor de la organización. Nosotros damos las pautas de cómo se debe trabajar de forma segura, pero si esta información no llega a todo el personal, de poco vale. Por eso decimos que hay tres ejes básicos en nuestra labor: información, comunicación y formación.

¿Existe un protocolo estandarizado que apliquen las empresas hoteleras cuando conocen de la existencia de un ciberataque a nivel mundial?

Nosotros tenemos unas políticas y procedimientos de gestión de incidentes de seguridad, tanto a nivel interno como con los proveedores con los que trabajamos para minimizar cualquier impacto debido a un incidente de seguridad. Así, realizamos análisis de riesgos para saber qué información nuestra está compartida, qué controles tenemos y, en caso de producirse algún incidente real, lo acotamos al máximo y trazamos un plan de acción para mitigar posibles daños. Al final, al ser una empresa hotelera, lo que más nos preocupa es nuestro cliente y que el impacto en la operativa sea mínimo, reestableciendo el servicio de la manera más ágil posible. En definitiva, nuestra labor consiste en facilitar a la empresa que lleve a cabo su estrategia de negocio con los mínimos riesgos.

¿Comparten ustedes información de interés con responsables de otras empresas? Porque a nivel empresarial pueden ser competidores, pero a nivel técnico, aliados.

Sí, sin duda. Existen varios foros, uno de ellos es el HTNG (Hotel Technology Next Generation), un foro internacional en el que participamos y compartimos experiencias y problemáticas. También lo hacemos simplemente con colegas del sector, con los que compartimos problemas, generamos sinergias y podemos estar en proyectos similares en los que la experiencia del vecino puede servirte. Creo que en el ámbito de la seguridad la competencia no existe, no competimos, porque normalmente las amenazas son comunes, de forma que si compartimos información y experiencias generaremos sinergias y estaremos más preparados.

¿Hasta qué punto un buen CISO debe ser en cierta medida un ciberdelincuente para ponerse en la piel de un grupo criminal que busque atacar los sistemas de seguridad de la información de una empresa?

Más que ponernos en la piel de un ciberdelincuente lo importante es tener mucha curiosidad para pensar dónde están nuestros puntos débiles. Indiscutiblemente, la ciberdelincuencia es un tema de candente actualidad dentro de la criminología moderna. Tecnológicamente avanzamos muy rápido y es necesario estar al día de las nuevas amenazas.

¿Qué intereses cree que persigue el cibercrimen? ¿Sólo el económico?

En primer lugar, el cibercrimen es un delito, ya existen tarifas por hackear cuentas de Facebook, direcciones de correo... Detrás de esto, evidentemente, hay un móvil económico.

¿Qué aspectos positivos destacaría del próximo Reglamento General de Protección de Datos que impondrá la UE en mayo de 2018?

Si bien las empresas que se adaptaron a la LOPD no tienen que partir de cero, queda mucho trabajo por hacer. Lo más novedoso, desde mi punto de vista, es que esta norma supondrá un cambio en el enfoque, introduciendo el concepto de seguridad desde el diseño que implica la protección de datos de procesos y aplicaciones. El nuevo reglamento persigue proteger al cliente final exigiendo el consentimiento explícito. Además, esta norma da un enfoque mucho más transversal y exigirá que cada organización sea consciente del valor de su información de carácter personal que maneja e implemente los controles adecuados a su sensibilidad. Con los planes de impacto de la privacidad, la empresa pondrá los controles que crea oportunos y ahí se verán los niveles de vigilancia de cada organización, porque cada vez compartimos más información en más entornos diferentes. Debemos ser conscientes del volumen de datos que tratamos y de las medidas para protegerlos.

¿Qué valoración hace de que desde Ashotel se haya apostado por organizar este I Congreso Nacional de Ciberseguridad Hotelera?

Me ha parecido una iniciativa muy positiva. Cuando me avisaron de que se estaba organizando este congreso, vi la oportunidad de compartir información en un foro profesional como este acerca de cómo estamos en materia de ciberseguridad en el ámbito hotelero. Sin duda, considero que esto será un beneficio para todos, un punto de encuentro donde desarrollar networking y compartir experiencias.

Compartir en Twitter
Compartir en Facebook

Tenerife

El municipio entrega su Medalla de Oro a la banda de música municipal

El municipio entrega su Medalla de Oro a la banda de música municipal

La Agrupación Musical 'Garachico' recibe la distinción por sus 150 años de historia

El Cabildo realiza obras de mejora en la calle José González González

Los trabajos cuentan con un presupuesto que supera los 878.000 euros y un plazo de ejecución de 10...

´Lacura´, de la compañía Impulso, se alza con el Premio Réplica al mejor espectáculo

´Lacura´, de la compañía Impulso, se alza con el Premio Réplica al mejor espectáculo

La obra, protagonizada por Bibiana Monje, se hace también con el Premio del Público y el de Mejor...

Podemos aboga por vetar las peleas de gallos en la Ley de Protección Animal

Podemos aplaude que el anteproyecto de Ley de Protección Animal incluya varias propuestas...

Avanza la renovación de la red de abastecimiento de agua en La Esperanza

Los trabajos se realizan gracias a una inversión de 223.000 euros

Enlaces recomendados: Premios Cine