Auditoria juego de apuestas online e ISO27001

Auditoria juego de apuestas online

Auditoria juego de apuestas online e ISO27001

Ayer comenzaba otra auditoria de juego online donde estando con los desarrolladores pudimos comparar y evaluar todos los puntos que la normativa, en este caso en España (posteriormente acometeremos otros países) exige para que un slot de juego online este publicada en un casino online. Auditoria juego de apuestas online

Auditoria juego de apuestas online e ISO27001

La normativa relacionada con la seguridad de la información de un juego online cubre una serie de requisitos respecto de muchos aspectos relacionados con la ISO27001 que como todos sabemos es el estándar de gestión de seguridad de la información más aceptado en el mundo.

En los requisitos que se exigen en España se hace un mix de dicha estándar junto con requisitos específicos del juego y una componente de hacking ético o test de penetración que también realizamos nosotros. Seguidamente resumimos los puntos clave que se exigen a las empresas que desarrollan juegos online que solemos auditar:

Security Policy. En este apartado se requiere que la empresa tenga una serie de políticas de seguridad de la información.

Risk analysis and management. Ciertos requisitos que involucran un plan completo de análisis de riesgos en materia de seguridad de la información.

Organisation of Information Security. Se requiere que la empresa siga un marco de seguridad de la información. Típicamente estamos hablando de la ISO27001.

Security in communications with participants. Hablamos de mecanismos de autenticación, comunicación encriptada, cifrado, password, exigencia de buenas prácticas, etc con todos los colaboradores internos y externos. Además se incluye análisis de comportamiento no habitual del jugador, entre otras cuestiones.

Security of human resources and third parties. Control de acceso del personal, plan de seguridad con training sobre seguridad de la información, etc

Physical and environmental security. Seguridad física del entorno. Típicamente pensado en el acceso físico a las instalaciones, servidores, sistemas de acceso a la información, control del perímetro, dispositivos de extracción de información, protección de incendio, borrado definitivo de dispositivos, etc

Management of communications and operations. En este punto se controla la operativa de entornos de desarrollo, segregación de funciones, copias de seguridad, tiempos de inactividad y duración máxima de sesión de jugadores y otros,…

Access control. Disponer de una política de control de accesos, gestión de sus riesgos, asegurar las posibles auditorias mediante logs seguros,…

Purchasing, development and maintenance of systems. Existencia de un plan de toma de decisiones en compras, desarrollo y mantenimiento de los sistemas de información del juego online.

Security incident management. Procedimientos de actuación ante incidentes de seguridad, incluyendo comunicación a terceras partes, impactos, etc

Change management. Políticas de gestión de cambios en los sistemas, nuevas versiones, mantener copia de los binarios de las versiones de los juegos online desarrollados…

Loss-of-information prevention plan. Plan, políticas y medidas para prevenir perdida de  información de los sistemas, alertas y mecanismos de continuidad incluyendo redundancia y replica de información asociada a los juegos online desarrollados.

Business continuity management. Disponer de un plan de continuidad de negocio, medidas etc ante fallos o catástrofes, asegurando la disponibilidad del servicio.

Penetration and analysis of vulnerabilities. Disponer de una auditoria de pentesting o hacking ético de penetración anual, evaluando y subsanando las debilidades encontradas.

Luis Vilanova Blanco.  Auditor de juego de apuestas online.

606954593

auditoriajuegoonline@luisvilanova.es