Marriott International, Inc. ha destacado durante mucho tiempo los valores centrales de poner a las personas primero, perseguir la excelencia, actuar con integridad y servir al mundo. Hoy, la FTC y los fiscales generales de 49 estados y DC están anunciando conjuntamente una acción que sugiere que la compañía puede querer agregar un quinto valor a esa lista: proteger los datos y la privacidad del cliente.
Según la queja propuesta de hoy, Marriott International, Inc. y su subsidiaria Starwood Hotels & Resorts Worldwide, LLC tuvieron fallas de seguridad de datos que condujeron a al menos tres infracciones entre 2014 y 2020. Primero, la FTC dice entre 2014 y 2018 los malos actores pudieron Para aprovechar la seguridad de los datos débil para robar 339 millones de registros de consumidores de la subsidiaria de Marriott, Starwood en dos infracciones separadas. Eso incluyó millones de pasaportes, tarjeta de pago y números de fidelización. Luego, en 2020, según la denuncia, Marriott dijo a sus clientes que los malos actores habían violado la propia red de Marriott a través de un hotel franquiciado. Esta vez, los intrusos robaron 5.2 millones de registros de invitados, que incluyeron información significativa de información personal y cuenta de lealtad. La información robada fue lo suficientemente detallada, explica la queja, que los malos actores podrían usarla para crear campañas de phishing altamente exitosas y específicas para cometer fraude.
Para resolver el caso de la FTC, Marriott y Starwood han acordado una orden propuesta que les exigirá implementar procesos y controles diseñados para evitar problemas futuros mediante la protección de la información personal, detectar problemas a medida que surgen y solucionar cualquier problema de manera oportuna. Marriott también acordó pagar $ 52 millones como parte de los acuerdos relacionados con los ejecutores estatales.
Aquí hay algunas lecciones clave del caso Marriott.
- Consulte las prácticas de seguridad cuando adquiera otra empresa. La queja de la FTC dice que la violación de Starwood ya estaba ocurriendo antes de que Marriott adquiriera la compañía y continuara hasta el proceso de adquisición. Recuerde que cuando adquiere una empresa, no solo está comprando cosas buenas como sus computadoras, software, sistemas, bases de datos y redes. También está comprando los problemas, como las vulnerabilidades, las configuraciones erróneas y otros problemas de seguridad que pueden existir. Asegúrese de tener un plan para llevar a la empresa adquirida a bordo de forma segura. Y después de la adquisición, eche un vistazo cuidadoso al programa de seguridad de la información de la empresa adquirida. Cuando, no si, encuentra problemas, haga un plan para abordarlos. No integre los sistemas y la tecnología de la empresa adquirida en su red hasta que pueda hacerlo de manera segura y segura.
- Use un enfoque de múltiples capas para la seguridad de los datos. Para proteger la información personal de los malos actores, comience con una evaluación de riesgos que analice los riesgos internos y externos. Ve más allá de la seguridad básica. Y cuando haya descubierto dónde están los problemas, coloque múltiples capas de controles en su lugar. Algunas medidas básicas, como capacitar a sus empleados, para reconocer los ataques, usar controles de acceso, actualizar el software y tener planes para lidiar con las infracciones cuando ocurren puede ser muy útil.
- Recopilar y mantener solo los datos que necesita. Los actores maliciosos no pueden robar lo que no está allí, así que piense cuidadosamente los datos que recopila antes de recopilarlos, y no mantengan los datos más tiempo de lo que lo necesita. Y asegúrese de dar a sus clientes una manera fácil de hacerle saber que quiere que elimine su información personal.
- La supervisión del proveedor es más importante que nunca. Si está contratando a alguien que lo ayude con su negocio, ya sea para construir su sitio web o por otra razón, asegúrese de elegir a los proveedores que hacen de la seguridad de los datos una prioridad. Use contratos para asegurarse de que sus proveedores tengan controles en su lugar y monitoree la actividad de sus proveedores para asegurarse de que cumplan.
- No olvides a los franquiciados. Cuando esté trabajando en su evaluación de riesgos, recuerde echar un vistazo más de cerca a sus relaciones con los franquiciados. ¿Sus contratos requieren capacitación de empleados y programas de seguridad de datos? ¿Está realizando auditorías? Asegúrate de estar buscando problemas.
Obtenga más información sobre cómo proteger los datos y la privacidad de sus clientes al inicio con la seguridad.
