Poiché il COVID-19 continua a influenzare il business travel a livello globale, gli esperti di tecnologia e sicurezza di BCD Travel hanno tenuto sotto stretto controllo malware, virus di sistema, truffatori e hacker opportunisti cercando di violare le difese informatiche della società di gestione dei viaggi.
Il BCD Travel Executive Vice President of Technology, Products & Innovation Russell Howell e il Chief Information Security Officer Sherron Burgess spiegano come la travel management company salvaguarda i dati di proprietà di BCD e quelli dei suoi clienti.
Con il lavoro in remoto che ora è una realtà per molti, quanto è importante la protezione dei dati?
HOWELL: La protezione dei dati continua ad essere un tema importante e un’area di interesse costante per BCD Travel. I nostri clienti si aspettano che i dati a noi affidati rimangano sicuri anche in tempi di discontinuità. I travel manager dovrebbero sapere che l’impegno di BCD per la protezione dei dati e i protocolli di sicurezza non è solo legato al normale funzionamento ed è costantemente monitorato e gestito 24 ore al giorno 7 giorni su 7 a livello globale. I nostri ambienti di controllo, i programmi di certificazione e il quadro di sicurezza sono ancora richiesti, applicati e soggetti a convalida esterna.
Abbiamo fatto investimenti strategici nelle nostre risorse, processi e tecnologie che ci consentono di eseguire i nostri piani di business continuity e ci permettono di fornire un servizio sicuro ai nostri clienti.
Che tipo di attacchi sta combattendo il team in modo proattivo?
BURGESS: l’ingegneria sociale, dove i truffatori usano schemi di sicurezza, anche quelli a bassa tecnologia, per ottenere informazioni, è un problema per tutte le TMC e i corporate travel programs. Inoltre monitoriamo costantemente le attività contro il phishing e gli schemi relativi ai salari. I “cattivi” prendono di mira i viaggi perché abbiamo molti processi e le nostre operazioni sono complesse. Ecco perché siamo così dedicati alla coerenza e alla metodologia. Quando si dispone di un determinato modo di fare le cose, è molto più facile individuare incongruenze e valori anomali.
Ne abbiamo già parlato prima, ma il nostro investimento strategico proattivo nella formazione sulla consapevolezza della sicurezza e nei rapidi report di phishing e strumenti di analisi ci permettono di stare al passo con questo tipo di eventi, allertare i nostri utenti e bloccare qualsiasi tentativo correlato. I nostri utenti sono in allerta, i nostri team monitorano attivamente e i processi di risposta sono in standby in caso di tentativi.
Come gestisce la sicurezza dei dati in mezzo a così tanti cambiamenti?
BURGESS: Siamo strategici, coerenti e metodici. Conosciamo la nostra logica e capiamo perché stiamo agendo o facendo un investimento.
Cosa significa essere “strategici, coerenti e metodici”?
La nostra strategia di sicurezza dei dati segue quattro principi: il primo è la priorità, il che significa che investiamo risorse in aree che potrebbero avere il maggiore impatto positivo sulla nostra direzione aziendale e sulle esigenze. Siamo data people, quindi usiamo una metrica di prioritizzazione per calcolare l’impatto potenziale. In secondo luogo, gettiamo bene le basi. Ciò significa che affrontiamo le politiche, la conformità, la formazione e i controlli tecnologici in modo coerente, di volta in volta.
Il nostro terzo principio è quello che chiamiamo “miglioramento intelligente”. Usiamo i risultati dei nostri audit regolari e completi per capire dove abbiamo bisogno di migliorare. Infine, il nostro quarto principio è quello di gestire potenziali minacce concentrandosi su governance, rischio e conformità [GRC], un approccio strutturato che allinea le tecnologie dell’informazione con gli obiettivi di business per mitigare il rischio.
HOWELL: Utilizziamo la nostra metodologia a quattro principi per aiutare i clienti a valutare le loro priorità tecnologiche e di sicurezza dei dati. Quando vediamo un trend dei rischi in determinati mercati, condividiamo queste informazioni con i clienti e spieghiamo perché potrebbero doler rinforzare le loro protezioni.
Così, BCD è ben preparata per salvaguardare gli interessi dei dati privati dei clienti?
BURGESS: Assolutamente. BCD tratta i dati personali in conformità con la sua Global Privacy Policy, disponibile all’indirizzo https://www.bcdtravel.com/privacy-policy/. Prendiamo molto seriamente la nostra responsabilità di proteggere i dati dei clienti, dei viaggiatori e dei dipendenti che deteniamo. Ci occupiamo di tale protezione attraverso un approccio interdisciplinare alla privacy dei dati che include un responsabile globale della protezione dei dati, specialisti di sicurezza informatica ed esperti legali e sulla privacy.
In che modo le certificazioni ISO e gli audit influenzano il vostro approccio alla sicurezza dei dati?
HOWELL: Ci avvaliamo di revisori e valutatori indipendenti per verificare che stiamo utilizzando le migliori pratiche e migliorando continuamente. Soddisfiamo gli standard in corso. Non si tratta di valutazioni puntuali.
Quali sono alcuni dei principali audit e certificazioni del BCD?
BURGESS: La certificazione ISO 27001:2013 del sistema di gestione della sicurezza dell’informazione [ISMS] dimostra che BCD segue le migliori pratiche in materia di sicurezza dell’informazione. I nostri data center sono certificati ISO 9001:2008 e ISO 27001:2013 per controlli di sicurezza, ridondanza e disaster recovery.
La SSAE18 SOC 1 Type 2 Audit si applica principalmente alle nostre operazioni finanziarie U.S. ma copre la sicurezza delle informazioni come parte delle attività di controllo.
Il nostro certificato Payment Card Industry Data Security Standard [PCI DSS] convalida che abbiamo rispettato i requisiti per la protezione dei dati del titolare della carta e include le scansioni delle vulnerabilità delle nostre reti. L’ISO 14001:2015 Environmental Management System [EMS] convalida i progressi sui nostri impegni di sostenibilità.
ISO 9001:2008 Quality Management System [QMS] certifica che BCD ha alcuni dei dati di più alta qualità nel settore. La certificazione copre le prenotazioni, nonché i dati dei clienti che raccogliamo, anche da terze parti. Abbiamo un Global Data Quality Tool proprietario e autonomo che controlla tutti i dati che arrivano prima di andare al database. Se i dati non superano gli standard di qualità stabiliti da noi e dai nostri clienti, vengono inviati al fornitore di dati per correggerli. Il nostro controllo qualità si assicura che inseriamo i dati puliti in modo da far uscire report affidabili.
Scopri il Travel Risk Survival Kit di BCD per saperne di più sulle minacce informatiche e su come salvaguardare il tuo programma di viaggio aziendale.
