Hace unos meses nos hicimos eco de la importante fuga de seguridad sufrida por la cadena hotelera Marriot a través de su filial Starwood. Los hechos ocurrieron en 2014, pero la noticia vio la luz a finales de 2018. Tras investigaciones posteriores se estimó que finalmente esta fuga de seguridad afectó a los datos de más al menos 383 millones de personas.
Más allá del impacto reputacional y de las pérdidas indirectas que este grave incidente pudo implicar para la cadena, a inicios de este mes de julio de 2019, se ha hecho pública la posible multa propuesta por la Oficina del Comisionado de Información de Reino Unido (en inglés ICO) de 99,2 millones de libras (alrededor de 110 millones de euros) por incumplimiento del Reglamento General de Protección de Datos (RGPD).
Los principales argumentos que ha esgrimido la ICO para proponer la alta cuantía de la sanción son el gran volumen y diversidad a nivel mundial de los datos exfiltrados, afectando a unos 30 millones de ciudadanos residentes en 31 países en el Espacio Económico Europeo (EEE) de aproximadamente 7 millones eran residentes del Reino Unido.
El regulador, a través de la comisionada de la ICO, transmitió en sus declaraciones, que tras sus investigaciones Marriott no había actuado con la debida diligencia cuando adquirió Starwood y debería haber hecho más para asegurarse que a lo largo del proceso de adquisición corporativa, los sistemas TI de la empresa estuvieran seguros y no sólo saber qué datos se habían adquirido. Igualmente trasladó que el valor de la información de los datos personales como activo que debe ser legalmente protegido por las empresas y la firme intención de la ICO de proteger los derechos de los ciudadanos. También hizo hincapié en el principio de responsabilidad activa exigida por el RGPD respecto a los datos por parte de las organizaciones (aspecto conocido con el término “accountability” en inglés).
La ICO ha estado investigando este caso como autoridad supervisora principal en nombre de otras autoridades de protección de datos de los Estados miembros de la UE, sin menoscabo que las restantes autoridades de protección de datos en la UE cuyos residentes han sido afectados puedan conocer los hallazgos del ICO y tomar las medidas oportunas.
Si bien es cierto que también ha trascendido que la cadena Marriot ha colaborado activamente con la ICO y Marriot ha manifestado su disconformidad con la multa, así como que recurrirá a la misma en su momento (ya que la ICO aún no ha tomado su decisión final y tomará en consideración las actuaciones hechas por la empresa).
A tal efecto la cadena Marriot llevó a cabo medidas para investigar y evaluar el incidente de seguridad relacionado con la base de datos de reservas de Starwood, y estableció un portal web para informar a los afectados, https://info.starwoodhotels.com/. Este sitio web tiene cierta información para los posibles afectados del incidente, como por ejemplo notas de prensa, FAQs (preguntas frecuentes) y aclaraciones, así como teléfonos gratuitos por cada país asociado a los huéspedes afectados, así como como para que los interesados puedan contactar.
Esta sanción propuesta pone de manifiesto la gran relevancia de la ciberseguridad en el sector turístico y las graves consecuencias que puede tener para las corporaciones obviar dicha relevancia, en caso de sufrir incidentes o directamente por la omisión de medidas oportunas según lo exigido en el RGPD, entre otras regulaciones y buenas prácticas.
La recomendación general es que es imprescindible la aplicación de unas medidas de seguridad suficientes de acuerdo con el nivel de riesgo de los datos, no sólo en los sistemas de información propios, sino en toda la cadena de suministro y todo el ciclo de vida de los datos (aspecto este fundamental). Así, de manera preventiva minimizaremos las posibilidades de sufrir un incidente, así como lograremos detectarlos a tiempo y reducir el posible impacto, aún en caso de que finalmente ocurra.
Todo parece apuntar que en el caso Marriot en el momento de la adquisición de Starwood, no se llevó a cabo una Due Diligence con un enfoque 360º. Es decir, no sólo llevar a cabo una evaluación de la compañía adquirida desde el enfoque económico-financiero, de negocio/estratégico, de funcionalidad/compatibilidad de los sistemas de información y de qué datos/información se disponía, sino también llevar a cabo una revisión desde el punto de vista de seguridad de la información y control interno TIC, tanto de sus procedimientos, como del diseño y funcionamiento operativo de los controles y medidas de seguridad organizativas y de ciberseguridad implantadas en la organización.
El establecer unos protocolos de verificación y monitorización, así como unos umbrales mínimos de madurez en ciberseguridad a nivel corporativo, tanto en empresas del grupo como en socios, colaboradores, prestadores de servicio o proveedores, fortaleciendo toda la seguridad de la cadena de suministro es un aspecto fundamental para la prevención y mitigación del impacto de las posibles brechas de seguridad, que lamentablemente va a ser una tendencia que va a ir al alza.
Seguramente si el Consejo de Administración de la Cadena Marriot hubiera sabido las consecuencias y costes de este incidente, con toda cereza habría invertido gustoso los recursos necesarios para prevenirlo o en el peor de los casos detectarlo prematuramente mitigando el impacto.
José Miguel Cardona Pastor, Socio de Auren Consultores
Josemiguel.cardona@mad.auren.es