Marriott Internacional, Inc. Destacando un enfoque de larga data en poner a las personas en primer lugar, buscar la excelencia, actuar con integridad y servir al mundo. Hoy, la FTC y los fiscales generales de 49 estados y D.C. anuncian conjuntamente una acción que sugiere que una empresa podría querer agregar un quinto valor a esa lista: proteger los datos y la privacidad de los clientes.
Según la denuncia propuesta hoy, Marriott International y su filial corporativa Starwood Hotels & Resorts Worldwide, LLC tuvieron fallas de seguridad de datos que resultaron en al menos tres violaciones entre 2014 y 2020. Aprovechar la mala seguridad de los datos para robar 339 millones de registros de consumidores de la filial de Marriott, Starwood, en dos infracciones distintas. Esto incluía millones de números de pasaporte, tarjetas de pago y fidelización. Luego, en 2020, según la denuncia, Marriott dijo a sus clientes que malos actores habían violado la red privada de Marriott a través de un hotel cantante. Esta vez, los piratas informáticos robaron 5,2 millones de registros de invitados, que incluían información personal importante y lealtades importantes. La denuncia explica que la información robada es lo suficientemente detallada como para que los delincuentes puedan utilizarla para crear campañas de phishing específicas de gran éxito para cometer fraude.
Para resolver el caso de la FTC, Marriott y Starwood acordaron una orden propuesta que les exigiría implementar procesos y controles diseñados para prevenir problemas futuros protegiendo la información personal, detectando problemas a medida que surjan e identificando cualquier problema de manera oportuna. Marriott también acordó pagar 52 millones de dólares como parte de acuerdos relacionados con las autoridades gubernamentales.
A continuación se presentan algunas lecciones clave del caso Marriott.
- Verifique las prácticas de seguridad al adquirir otra empresa. La denuncia de la FTC dice que el incumplimiento de Starwood ya estaba ocurriendo antes de que Marriott adquiriera la empresa y continuó durante y después de la adquisición. Recuerde, cuando adquiere una empresa, no sólo está comprando cosas buenas como computadoras, software, sistemas, bases de datos y redes. También está aceptando problemas, como vulnerabilidades, configuraciones incorrectas y otros problemas de seguridad que puedan existir. Asegúrese de tener un plan para incorporar la empresa adquirida de forma segura. Después de la adquisición, observe detenidamente el programa de seguridad de la información adquirido. Cuando encuentre problemas, haga un plan para solucionarlos. No integre los sistemas de la empresa y la tecnología adquirida en su red hasta que pueda hacerlo de forma segura.
- Utilice un enfoque en capas para la seguridad de los datos. Para proteger la información personal de malos actores, comience con una evaluación de riesgos que analice los riesgos internos y externos. Evite la seguridad básica. Y cuando descubra dónde existen los problemas, implemente múltiples capas de controles. Algunas medidas básicas, como capacitar a sus empleados para reconocer ataques, usar controles de acceso, actualizar software y tener planes para abordar las infracciones cuando ocurran, pueden ser de gran ayuda.
- Recopile y mantenga solo los datos que necesita. Los actores malintencionados no pueden robar lo que no existe, así que piense en los datos que recopila antes de recopilarlos y no los guarde más tiempo del necesario. Y asegúrese de brindarles a sus clientes una manera fácil de informarles que desean que se elimine su información personal.
- La supervisión del vendedor es más importante que nunca. Si está contratando a alguien para que lo ayude con su negocio, ya sea para crear su sitio web o por otro motivo, asegúrese de elegir proveedores que hagan de la seguridad de los datos una prioridad. Utilice contratos para garantizar que sus proveedores tengan controles establecidos y supervise la actividad de los proveedores para asegurarse de que cumplan.
- No te olvides de los franquiciados. Cuando trabaje en su evaluación de riesgos, recuerde observar de cerca sus relaciones con los franquiciados. ¿Sus contratos requieren capacitación de los empleados y seguridad de los datos? ¿Realizan auditorías? Asegúrese de estar atento a los problemas.
Obtenga más información sobre cómo proteger los datos y la privacidad de sus clientes comenzando por la seguridad.