SEGURANÇA INFORMÁTICA NA INDÚSTRIA HOTELEIRA

A SEGURANÇA DOS SISTEMAS INFORMÁTICOS É UM TEMA altamente debatido em variadíssimas industrias, não sendo a hoteleira uma excepção. Contudo, existem características próprias do ambiente computacional de uma unidade hoteleira, que fazem com que a politica de segurança informática tenha algumas “nuances” que diferem das práticas correntes em outras indústrias. Neste artigo procuramos, numa linguagem o menos técnica possível, alertar o Director Hoteleiro para alguns princípios básicos a ter em conta na elaboração de uma politica de segurança dos sistemas de informação.
Em primeiro lugar importa definir o que é uma política de segurança informática. Sumariamente a mesma considera-se o conjunto de procedimentos empresarias e soluções tecnológicas que visam garantir a privacidade, disponibilidade e fiabilidade dos recursos físicos e lógicos que compõem a rede informática da empresa.
No contexto da indústria hoteleira importa estender esse conceito ao conjunto de medidas adaptadas com o intuito de garantir a privacidade e segurança dos sistemas informáticos usados pelos clientes quando os mesmos sejam usados a soluções de conectividade disponibilizados pela unidade hoteleira.

Dois Cenários, Necessidades Diferentes
Até um passado recente a preocupação com a segurança dos recursos informáticos abrangia exclusivamente os pertencentes à empresa. No entanto a massificação dos sistemas de banda larga de acesso à Internet e os “Business Centers” transformaram esta realidade. Nos dias de hoje todo o hoteleiro se depara com dois cenários distintos dentro da sua propriedade. Se por um lado temos a rede do hotel operada por funcionários do mesmo e onde é fácil impor regras apertadas de segurança, no oposto encontramos os serviços baseados em tecnologias de informação que são disponibilizados aos clientes e nos quais é difícil, mas fundamental, encontrar um equilíbrio entre funcionalidade e segurança. Se por exemplo na nossa rede é fácil e indiscutível restringir o acesso a plataformas de transferência de ficheiros P2P como o Kazaa ou o Emule (cujo o risco para a segurança é elevadíssimo) a aplicação da mesma regra aos nossos clientes poderá provocar alguns atritos com os mesmos.
Desengana-se o hoteleiro que pense que é imune a problemas se recorrer a sistemas operados por terceiros em regime de “outsourcing” total. Se legalmente um contrato de serviço devidamente elaborado o ilibará da responsabilidade legal em caso de danos aos dados ou sistema do cliente o custo a nível de imagem é inultrapassável. O cliente lesado não dirá que “o meu sistema foi atacado ou infectado por causa do sistema do operador X no Hotel Y“. Simplesmente propagará a mensagem que “no Hotel Y o sistema não é seguro”.

As ameaças são primordialmente internas
Este é um dado exaustivamente documentado e comprovado. Cerca de 80% dos danos provocados aos sistemas informáticos tem origem em recursos internos à empresa. Este indicador não procura de alguma forma lançar suspeição sobre os colaboradores. Uma análise mais profunda tem revelado que as causas destes problemas com uma origem dentro das paredes da organização são primordialmente a negligência e a inexistência de procedimentos formais na utilização dos sistemas informáticos.
Uma prática vivamente recomendada é que a responsabilização dos colaboradores seja formalizada por um documento de “Termos e condições de uso de Sistemas de Informação” que deverá ser do conhecimento geral de todos os colaboradores da empresa e se possível anexo ao contrato de trabalho.
Esta medida, alem dos benefícios legais, previne o argumento da ignorância, que é muitas vezes usado, quando se detectam situações graves que comprometem a segurança e a integridade da estrutura de informação da empresa.
Embora não muito popular o autor tem como princípio básico nas unidades que gere que os recursos dos sistemas informáticos (incluindo os dados) são propriedade da empresa e a sua utilização restringe-se às actividades de negócio. O uso dos mesmos para actividades lúdicas ou de natureza pessoal deverão ser erradicados pela responsabilização formal, implementação de politicas de rede estritas e a monitorização da actividade de todos os utilizadores (incluindo os quadros superiores).

Especialização
A segurança informática é uma área de grande especialização e dificilmente os custos com um especialista dedicado na área serão comportáveis para as unidades e grupos hoteleiros. No entanto existem no mercado nacional excelentes empresas especializadas em segurança informática e muitos dos operadores de acesso Internet (ISP's) providenciam já serviços e soluções de segurança. O conselho que o autor dá ao Director Hoteleiro é que procure externamente a sua organização contratar serviços desta natureza e que os mesmos sejam regularmente auditados (sugere-se no mínimo uma auditoria semestral) de forma a verificar a eficiência e eficácia das políticas em curso.

Análise de Risco, Mitigação e Contingência
Como já foi referido anteriormente, a segurança informática é acima de tudo uma política empresarial que deverá ser sempre iniciada por uma análise do risco e classificação da importância dos variados recursos para a operação da unidade. Esta análise poderá diferir de unidade para unidade mas é decerto que em quase todas encontraremos o sistema de Front Office e a capacidade de comunicação electrónica (E-mail e Acesso Internet) no topo da lista.

A mitigação é alcançada por definirmos (usualmente em colaboração com uma entidade especializada) as medidas a implementar para assegurar a protecção dos recursos identificados como críticos no passo anterior. Sem entrar em detalhes técnicos deverão ser elementos a incluir.
• Segurança Física - Acesso a Servidores, Estabilidade e Redundância da Instalação Eléctrica, Vídeo Vigilância;
• Actualização de Sistemas Operativos - Sendo uma das causas mais comuns dos problemas de segurança importa assegurar que os sistemas operativos (Windows, Linux, MacOS) estejam sempre devidamente actualizados com as actualizações fornecidas pelos fabricantes;
• Plataforma Antivírus - Este tipo de software deverá estar instalado e permanentemente activo em todos os computadores da rede e deverá ser actualizado diariamente. A execução de rotinas de verificação (virus scanning) deverá ser efectuada com uma periodicidade nunca superior à semanal. Tem extrema importância no cenário actual que as mensagens de correio electrónico sejam objecto de verificação;
• Firewalls- Um elemento a não dispensar de forma alguma devendo dar-se preferência a dispositivos que usem um misto de software e hardware para garantir que os acessos do exterior da rede sejam apenas os devidamente autorizados e que o perímetro esteja devidamente isolado da rede pública (Internet). Adicionalmente deverão os postos que executem tarefas fora da rede da unidade (laptops do departamento comercial, por exemplo) estar equipados com uma firewall de software.
• Salvaguarda de Dados - Vulgarmente conhecidos como “cópias de segurança” ou Backups estes elementos são o garante da nossa capacidade de repor uma situação de operacionalidade e normalidade no caso de uma situação anómala ter lugar. Sendo variadíssimas as soluções disponíveis no mercado e após algumas experiências negativas recomenda o autor que se privilegie as soluções baseadas em discos em prol das baseadas em tapes e que se considere vivamente a efectivação ou armazenamento dessas cópias de segurança em local exterior às instalações do hotel (offsite storage).

A contingência é conhecida na indústria das TI como disaster recovery e deve incluir de forma documentada o conjunto de medidas e a prioridade das mesmas a implementar no caso de a disponibilidade dos sistemas de informação ser altamente comprometida. Embora na indústria hoteleira a existência do local esteja intimamente associada à continuidade do negócio deverão os planos de contingência incluir medidas para eventos de natureza extrema como incêndios ou desastres naturais que causem uma destruição total ou de grande envergadura da unidade.