06 Abr Auditoria ISS y auditoria ISMS en slots de apuestas en casinos virtuales
Como se puede ver en este enlace https://www.gamingintelligence.com/es/productos/casino/28843-los-secretos-del-exito-de-las-tragaperras-online/ los slots representaron durante el año 2019 el 43.4% de los ingresos totales del casino online, muy por delante de la ruleta (28.11%) o el blackjack (11.5%). Su crecimiento se mantiene en un 40% anual tras haber logrado un espectacular 243% entre los años 2014 y 2015. Son varios los factores que explican estas cifras. El diseño atractivo, temático y localizado ha sido vital, pero también existen otros como el tiempo de juego, las reglas con las que cuentan o los premios que se pueden lograr. De cara al futuro, las slots deberán adaptarse también a las exigencias de los nativos digitales, ofreciendo una experiencia de juego más cercana.Como auditor externo del sistema de seguridad de la información de www.3cherry.com quisiera en este post indicar algunas de las cuestiones clave de los dos aspectos de auditoria que a continuación paso a explicar, Auditoria ISS y auditoria ISMS en slots.
Auditoria ISS y auditoria ISMS en slots de apuestas en casinos virtuales
Como auditor CISA y máster en Ciberseguridad por Deloitte ante todo tengo que nombrar que lo que se busca en este tipo de auditoria de slots de apuestas online es garantizar que los sistemas a los que el jugador online y los demás stakeholders de este negocio operan, son players de sistemas seguros que garantizan lo que llamamos CDI (Confidencialidad, disponibilidad e integridad) de la información que con estos sistema compartimos.
Este tipo de Auditoria tiene dos partes principales:
- Auditoria ISS. Hablamos de análisis técnico de vulnerabilidades de estos sistemas.
- Auditoria ISMS. Donde estamos ante como la empresa desarrolladora del software de slots de casinos gestiona su seguridad interna. Estamos ante un gran porcentaje de la ISO27001 así como algunas cuestiones añadidas de este sector particular.
Auditoria ISS
Estamos ante la necesidad que nos marca la auditoria de asegurar que el sistema (servidores, hosts, sistemas operativos, endpoints), sus módulos y la información intercambiada está libre al máximo posible de vulnerabilidades que un sistema externo (generalmente un hacker pueda explotar) En este sentido realizo esta parte de la auditoria siguiendo el siguiente esquema:
- Análisis con mi cliente de la arquitectura, tecnologías utilizadas, hosting y medidas de seguridad aplicadas (típicamente Filtrados IP, Firewall, WAF, anti spam, cifrado SSL, VPN, puertos restringidos, IPS e IDS configurados, etc)
- Hacking ético con test de penetración que rescatan las vulnerabilidades que cualquier hacker utilizara en una primera instancia.
- Recomendación de solución a los resultados obtenidos en el punto anterior.
- Paso 2 y 3 hasta libre de vulnerabilidades de nivel 1, 2 y 3.
- Entrega de informes.
Auditoria ISMS
La seguridad de la información debe ser un pilar de este tipo de empresas dentro de sus procesos de negocio. Para ello esta auditoria recoge una serie de puntos de control que aseguran que toda la empresa trabaja de forma segura, desde las instalaciones, procedimientos de alta y baja del empleado, gestión de contraseñas, copias de seguridad, gestión e dispositivos móviles, etc Para ello el estándar ISO27001 mas algunas cuestiones muy específicas de este tipo de sistemas de slots de apuestas en casinos virtuales. Para ello e igual que cuando otras empresas me solicitan adaptarse a la ISO27001 recomiendo el uso de alguna herramienta cloud que nos permita gestionar toda la documentación, gestión del riesgo, que ya nos aporte plantillas y ejemplos, etc para reducir el tiempo de adaptación de la empresa a este estándar.
Conclusión
El jugador de slots de apuestas en casinos virtuales no es conocedor generalmente que existen normativas, por cada país, que garantizan que las transacciones económicas, entre otras cuestiones, se realizan seguras libres de alteraciones, suplantaciones por terceros, acceso indebido, etc
Luis Vilanova Blanco. Auditor CISA, Master en Ciberseguridad, Auditor slots casinos online.
911277300