Índice - Gaming Labs International...o fraude de tarjeta de crédito. Entrarían aquí las...

LIBRO BLANCO DE GLI® -

© Gaming Laboratories International, LLC 2016

La información contenida en este libro blanco se ofrece únicamente a título orientativo y está sujeta a cambios sin noti�cación previa. Si bien hemos invertido todos los esfuerzos razonables en la preparación del presente documento para garantizar su precisión, la información en él contenida se ofrece “tal cual”, sin garantías, ni expresas ni implícitas, tampoco garantías de ningún tipo relativas a la comerciabilidad, idoneidad para un �n determinado o de no infracción. GLI® declina toda responsabilidad resultante de los errores u omisiones que pueda haber en este documento o del uso de la información en él contenida.

Agradeceremos dirijan los comentarios sobre el documento a la Sra. Christie Eickleman, Vicepresidenta de Mercadotecnia, a través del teléfono +1 (702) 914 2220 o por correo electrónico a [email protected]

Índice

EL PRIMER PASO - COMPRENDER SUS RIESGOS DE SEGURIDAD ..................................... 3

GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN EN iGAMING .................................. 4

DESCRIPCIÓN GENERAL DEL MARCO DE LA SEGURIDAD DE LA INFORMACIÓN ........ 5

CONFIDENCIALIDAD ........................................................................................................... 5

INTEGRIDAD.......................................................................................................................... 6

DISPONIBILIDAD ................................................................................................................... 7

EVALUACIONES Y AUDITORÍAS DE SEGURIDAD ................................................................. 8

PASOS EN LA IMPLEMENTACIÓN ...................................................................................... 10

ACERCA DE GLI ................................................................................................................. 15


De un modo u otro, las medidas de seguridad siempre han formado parte integral de las operaciones de juego, ya sea con el simple �n de proteger los depósitos y los desembolsos por ganancias o con el �n de preservar la integridad del proceso de juego.

Asegurar un casino en instalaciones convencionales puede conseguirse controlando el acceso físico a sus diferentes salas y restringiendo las conexiones externas con la infraestructura TI del casino. Por diseño, esto no es posible en el caso de los sistemas de juego por internet (iGaming), en los que la exposición constante a internet a través de una interfaz pública es necesaria para hacer funcionar el negocio. Los controles físicos implementados para restringir el acceso al casino y gestionar actividades de la empresa deben sustituirse por controles lógicos y puertas de enlace. Las interacciones cara a cara utilizadas por los casinos para comprobar la información de la empresa deben sustituirse con sistemas robustos que aseguren el mismo nivel de control; pero en este caso debe hacerse de modo remoto. Lo que no ha cambiado en el paso al juego por internet es que la seguridad constituye parte integral de las operaciones de la empresa. Y, aunque iGaming se ha construido basado en las más recientes tecnologías de la información, no puede limitarse la seguridad a una mera función del departamento de TI. Debe ser un compromiso asumido por toda la empresa.

EL PRIMER PASO - COMPRENDER SUS RIESGOS DE SEGURIDADMás que adoptar un enfoque fragmentado ante los sistemas de seguridad de la información que controlan, los operadores de juego por internet deben dar el primer paso estableciendo un proceso de gestión de la seguridad de la información, realizando una evaluación de riesgos de sus operaciones. La tarea puede llevarse a cabo en el ámbito interno o pueden contratarse los servicios de consultores externos, como GLI, para que evalúen sus riesgos para la seguridad de la información. Obtener una imagen clara de los riesgos asociados a su negocio debe ser parte integrante del proceso de gobierno.

Una vez comprendidos los riesgos, diseñar y de�nir el marco de seguridad de la información es un proceso bien establecido: evaluar las vulnerabilidades y amenazas a las que se enfrenta su infraestructura de información, establecer objetivos de seguridad en línea con una evaluación de los riesgos planteados por dichas amenazas y vulnerabilidades e implementar las contramedidas apropiadas para gestionar los riesgos.Los objetivos de seguridad suelen conseguirse con la implementación de controles de seguridad de la información conocidos. El enfoque preferido utiliza la seguridad por capas, con lo que se consigue redundancia y se refuerza el modelo de seguridad global, ya que deben violarse diversas capas de seguridad antes de que sea posible acceder a los almacenes de datos críticos.

Si bien no hay ningún sistema absolutamente seguro ante un adversario determinado, hábil y con recursos, la implementación de tales controles como parte de un sistema global de gestión de la seguridad de la información se ofrece como la defensa más e�caz en costes frente a las infracciones de la seguridad. No obstante, los controles no resuelven la cuestión de si las soluciones implementadas funcionan realmente como se espera de ellas. A �n de veri�car que un sistema de seguridad de la información funciona según está previsto, dicho sistema debe auditarse por completo y, a partir de la auditoría, supervisarse y probarse de modo rutinario.


GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN EN iGAMING El del juego es un sector altamente regulado, con autoridades reguladoras en cada jurisdicción de juego de�niendo normas técnicas para la oferta de operaciones de juego honestas, seguras y auditables en su ámbito de competencia. Al inicio de la aparición de regímenes normativos para las jurisdicciones de juego en línea, se vio que la seguridad de la información sería un factor importante que debería tenerse en cuenta y, en consecuencia, muchos estándares técnicos iGaming han incluido elementos de seguridad. Los requisitos abarcan tanto los requisitos técnicos de los propios sistemas de juego como los controles internos necesarios para gestionar las operaciones de juego ofrecidas a través de los sistemas de juego en línea.

Del mismo modo que el sector iGaming ha madurado, también han madurado los requisitos de seguridad de las jurisdicciones iGaming. Las últimas iteraciones de estándares técnicos de juego y requisitos de concesión de licencia de muchas jurisdicciones altamente reguladas han establecido las versiones más recientes de ISO/IEC 27001:2013 como estándar general de seguridad e ISO/EC 27002:2013 como directrices para implementar la seguridad de la información en las jurisdicciones iGaming. Se trata de estándares y directrices válidos en todo el mundo y ofrecen una línea base para la gestión de la seguridad de la información que puede aplicarse a las operaciones iGaming con independencia de la variabilidad en los operadores de empresas individuales del sector.

Si bien estos estándares pueden percibirse como simplemente otro obstáculo que superar, lo cierto es que deberían verse como una parte integral de una estrategia dinámica de gestión de la seguridad de la información diseñada para asegurar la seguridad de la información de las empresas. No son prescriptivos en el sentido de de�nir a un nivel detallado qué debe implementarse, y una comprensión real del uso de estos estándares ISO/IEC indica un camino para integrar la gestión de la seguridad de la información dentro de los procesos de negocio globales de la organización.

Presentamos a continuación algunas de las ventajas de implementar el estándar ISO 27001:

• Hace que su organización cumpla con los requisitos legales, normativos y estatutarios.• Ofrece un proceso para la Seguridad de la Información y el Gobierno Corporativo.• La certi�cación ISO 27001 se reconoce en todo el mundo, y en el mercado puede considerarse

un diferenciador gracias al reconocimiento del que goza.• Incrementa la e�ciencia organizativa global y el rendimiento operativo.• Minimiza los riesgos internos y externos para la continuidad del negocio.• Ofrece a su organización una protección constante que permite aplicar un enfoque

¯exible, efectivo y justi�cable a la seguridad y la privacidad.

Mientras exista como estándar, ISO 27001 debe considerarse parte del proceso de evolución continua en la mejora y adaptación a las necesidades de la actividad iGaming. El ciclo plani�car-hacer-veri�car-actuar (PDCA) de actualización y refuerzo continuos asociados al cumplimiento permite que una empresa pueda adaptar sus procesos sin dejar de cumplir en ningún momento con la norma.

Además, muchos de los estándares de seguridad adoptados por las jurisdicciones iGaming se basaron en los controles descritos en el ISO 27001; así es el caso para el Reino Unido, incluso no hallándose según se identi�can explícitamente.


La lección clave en la adopción de una norma o estándar como ISO/IEC 27001 es que el negocio que se adhiere a ella refuerza el convencimiento de que la seguridad de la información forma parte integral de las actividades empresariales y requiere la implicación de la dirección en cada nivel hasta el C-suite.

DESCRIPCIÓN GENERAL DEL MARCO DE LA SEGURIDAD DE LA INFORMACIÓNLa adherencia a un estándar del sistema de gestión de la seguridad de la información, como ISO/IEC 27001, no necesariamente convierte su sistema de la información seguro. Además de los controles y procesos de negocio que deben adoptarse como parte inherente de buscar la conformidad con un estándar, como en el caso de ISO 27001, está el foco adicional en los aspectos técnicos particulares de la seguridad, que pueden incidir en la actividad iGaming.

Un marco de seguridad de la información generalmente aceptado utiliza la tríada Con�dencialidad, Integridad y Disponibilidad como modelo diseñado para guiar las políticas sobre la seguridad de la información en el seno de una organización. Los elementos de la tríada se consideran los tres elementos más importantes de la seguridad de la información, y pueden relacionarse con los requisitos operativos del negocio.

¿De qué modo se relacionan los componentes de la tríada CIA (por las iniciales en inglés de las palabras Con�dentiality, Integrity, Availability) con la seguridad iGaming? Lo resumimos en los apartados que vienen a continuación, donde abordamos de qué modo los aspectos de dichas áreas pueden asociarse con la seguridad de las operaciones de juego en línea.

CONFIDENCIALIDADMantener segura la información con�dencial

El primer pensamiento que viene a la mente de la mayoría de las personas al considerar la seguridad de la información es el recuerdo de las historias de infracciones de la seguridad que resultan en la pérdida de grandes cantidades de información personal o que exponen a las personas al riesgo de suplantación de la identidad o fraude de tarjeta de crédito. Entrarían aquí las famosísimas violaciones de la red de Sony y Las Vegas Sands Corporation y los hacks en Target y Home Depot.

Además de las di�cultades de formar parte del ciberespacio, los sistemas de juego por internet se enfrentan a otros riesgos asociados con la naturaleza del negocio. El primero es que los sitios de juego en internet recopilan una gran cantidad de información personal de sus jugadores. No lo hacen para acumular información. Su objetivo es identi�car a sus jugadores en un escenario en el que el jugador no está al otro lado de la mesa, sino que puede encontrarse en un país totalmente distinto. Desafortunadamente, la información que los sitios de juego por internet recopilan sobre sus jugadores para identi�carlos a distancia es justamente la información necesaria para la suplantación de la identidad. No hay realmente una diferencia enorme entre establecer la identidad a través de internet para �nes de juego y establecerla como parte de una estafa.

Proteger toda la información personal es una consideración primordial para los sitios de juego por internet, ya que divulgar la información personal a gran escala puede desembocar en pérdidas catastró�cas para el negocio y, además, acarrear consecuencias jurídicas si el sitio de juego por internet opera en un régimen en el que las violaciones de la información personal deben resolverse de un modo previsto en la ley. Las vulnerabilidades de una aplicación web, que deja a los operadores expuestos a ataques, son bien conocidas. Pensemos, por ejemplo, en las 10 vulnerabilidades principales de la lista del Open Web Application Security Project (OWASP). El proyecto OWASP ha publicado guías para prácticas de codi�cación diseñadas para proteger las aplicaciones web de los ataques comunes que explotan vulnerabilidades resultantes de prácticas de codi�cación inseguras.


Si ya están disponibles y se conocen enfoques para garantizar la seguridad de la interfaz de la aplicación web frente a ataques, entonces ¿hay otras fuentes de vulnerabilidades que deban tenerse en cuenta en un contexto iGaming? Hay dos áreas en las que las actividades de operaciones de juego en línea pueden estar expuestas a riesgos para la con�dencialidad que no están directamente relacionados con la vulnerabilidad del propio software de la aplicación web: las brechas en la seguridad resultantes de diferencias en la postura de seguridad de las arquitecturas integradas y las brechas en la seguridad resultantes de la concesión a proveedores de servicios terceros de acceso a la plataforma de juego.

Integración de otras arquitecturas

Cuando una empresa con una cultura de prácticas estrictas de seguridad de la información adquiere otra empresa cuya cultura corporativa y �losofía de la seguridad son diferentes, ¿Hasta dónde se debe llegar para integrar los productos recién adquiridos en su arquitectura de plataforma existente? La mejor solución puede ser dejar el producto adquirido como una entidad independiente, sin embargo el producto no habría sido adquirido para adoptar esta solución. Entonces, ¿cuáles son los riesgos de seguridad asociados con el producto adquirido que pondrán en riesgo sus sistemas?

La consolidación del sector a través de fusiones y adquisiciones continúa aumentando. Asegurar cada activo o unidad de negocio adquirido por sí mismo ya no es su�ciente; es necesario implementar una estrategia de seguridad global que comprenda todas las unidades de negocio, con el �n de asegurar que no hay en seguridad ninguna brecha no deseada.

Una consideración inicial puede ser una transferencia de datos entre los sistemas de información de la empresa adquirida y los de la entidad adquirente. En este caso, no bastará con que la transferencia de datos se realice de un modo seguro para garantizar la con�dencialidad de los datos. Será necesario, además, que la integridad de los datos se mantenga y que se establezca un plan cuidadoso para validar los datos tras la transferencia.

Además, si la infraestructura de la empresa adquirida se está integrando en la de la empresa adquirente, debe realizarse una evaluación de riesgos completa del riesgo de la infraestructura para determinar si la seguridad de ambas infraestructuras es compatible y para de�nir qué cambios de con�guración o mejoras pueden requerirse para asegurar que el per�l de seguridad del sistema �nal es perfecto y no presenta brechas.

Una solución iGaming completa a menudo depende de la integración de diversas partes independientes con su sitio. Las responsabilidades en seguridad deben de�nirse claramente para todas las partes externas que están de acuerdo con acceder a los mismos sistemas.

La integración de los sistemas de terceros con plataformas iGaming es una parte inevitable de la arquitectura de tales sistemas, ya que diversas funciones necesarias para el funcionamiento pleno del sistema iGaming –veri�cación de la identidad, geolocalización y proceso de pagos– a menudo se ofrecen por terceros, esto teniendo en cuenta los escenarios en que el contenido del juego puede ofrecerse por servidores de juego remotos. No obstante, con el �n de minimizar los posibles riesgos, el acceso de terceros a sus sistemas debe estar claramente de�nido en los acuerdos que suscriba con el tercero, y los controles técnicos que de�nen los protocolos de comunicación entre las plataformas deben implementarse cuidadosamente. En la mayoría de los casos es aconsejable ensayar la seguridad de la Interfaz de Programación de la Aplicación (API).

INTEGRIDADEvitar las interferencias en los procesos de juego

Mantener la integridad en el proceso de juego es una preocupación normativa principal, y esto se re¯eja en el hecho de que las normativas de seguridad se focalizan principalmente en controlar el acceso a los componentes críticos del sistema iGaming, como es el caso del generador de números aleatorios (GNA), las bases de datos que almacenan información sobre el jugador y la información del juego, además de los sistemas de comunicación que unen entre sí los diversos componentes de plataforma iGaming.


Mientras que la arquitectura técnica de la plataforma iGaming se utiliza para restringir el acceso a los componentes críticos y la implementación de prácticas de cifrado y protocolos de comunicación seguros servirán de base subyacente para mantener la integridad del sistema iGaming, los controles y procedimientos internos desempeñan también un papel destacado.

Las amenazas a la seguridad pueden provenir tanto del exterior como del interior de su empresa. Un sistema sólido de procedimientos de seguridad y controles internos les protege al mismo tiempo a usted, al negocio y a sus empleados.

Desafortunadamente, la historia ha demostrado que las amenazas a la integridad de las operaciones de juego pueden venir tanto de fuentes internas como de fuentes externas. Mantener la integridad requiere establecer un buen sistema de controles internos que pueden:

• Suministrar supervisión de la gestión• Asegurar informes precisos y correctos• Mitigar los riesgos para el negocio• Segregar las tareas laborales

Asegurándose de que estos controles estén en línea con los requisitos de gestión de la seguridad de la información de una norma, por ejemplo de la norma ISO 27001, mejorará la posición de seguridad de la organización.

DISPONIBILIDADAsegurar el acceso a los sistemas de juego

Si el sitio iGaming no está disponible para los jugadores, entonces no se generarán ingresos. Las mejoras en la �abilidad del equipo y del hardware de la red y el uso de los clústeres de servidores redundantes virtuales ha aumentado en gran manera la disponibilidad de los sistemas informáticos complejos. No obstante, los sistemas continuarán siendo vulnerables a las amenazas del entorno y a las amenazas operativas. Las amenazas operativas son fruto de errores humanos en los procesos operativos relacionados con la infraestructura del sistema, mientras que las amenazas ambientales resultan de hechos deliberados o incontrolables externos al sistema de juego en línea, en particular desastres causados por la naturaleza o por el ser humano y ataques deliberados contra el sistema de juego en línea.

Plani�cación de la recuperación ante desastresPara un operador de iGaming puede resultar costoso, en términos de pérdida de ingresos y reputación, el que se produzca un corte en el servicio, sea éste temporal o duradero, en el centro de datos donde se aloja el sistema de juego en línea. Como parte del diseño arquitectónico del sistema iGaming, debería ponerse en funcionamiento un sitio secundario o de refuerzo para seguir funcionando en el caso de desastre que impida el acceso al centro de datos principal.

No es ningún secreto decir que el mundo está experimentando un incremento en el número de catástrofes medioambientales e incidentes geopolíticos graves. La plani�cación de la recuperación ante desastres debe ser una parte integral de sus operaciones.

En un contexto de juego en línea, no obstante, la plani�cación de la recuperación ante desastres es mucho más que disponer de un segundo sitio:

1. 1. Ambos sitios deben ser exactamente idénticos para evitar la pérdida de datos de juego en caso de desastre. Si bien la transferencia de datos sincronizada puede ser excesivamente costosa en cuanto a implementación, un proceso que ofrezca actualizaciones de datos casi en tiempo real con un objetivo de un punto de recuperación de datos tan pequeño como sea posible resulta necesario.

2. 2. El plan de recuperación ante desastres debe ponerse a prueba y ensayarse con regularidad para asegurar que la infraestructura sea capaz de admitir un proceso de recuperación ante desastres y que el personal técnico del operador de juego en línea no tiene problemas para ejecutar los procedimientos de recuperación ante desastres.


Ataques distribuidos de denegación de servicio (DDoS)

Las actividades de juego en línea, como las apuestas deportivas, los juegos peer-to-peer y los juegos de dealers en vivo, se desarrollan en tiempo real y son sensibles a interrupciones del servicio y a los retrasos en las transacciones. Un proveedor de infraestructuras líder explicó que el juego en línea ha sido el blanco más frecuente desde el segundo trimestre de 2014, acumulando aproximadamente el 35% de los ataques DDoS. En algunos casos, tales ataques han ido acompañados de amenazas de extorsión en las que el atacante ha exigido un rescate con fondos cuyo seguimiento no sea posible (por ejemplo, en bitcoin) para detener los ataques. Aunque estas acciones se han investigado por las autoridades policiales, ha resultado difícil recopilar pruebas su�cientes para procesar a las partes atacantes.

Para el operador iGaming, un ataque DDoS que resulte en un corte o una interrupción del servicio puede conducir a que los jugadores dejen de jugar en un sitio y empiecen a apostar en otros. Cuando el objetivo es el rescate, los ataques DDoS se han programado para que coincidan en el tiempo con importantes eventos deportivos, lo que incrementa las posibles pérdidas para aquel operador que ha sido su objetivo.

La fácil disponibilidad de recursos basados en la nube ha propiciado un incremento en los ataques DDoS, y las empresas de juego en línea se han convertido en el blanco favorito. La mitigación de los DDoS debe formar parte de su estrategia básica de seguridad.

¿Cómo puede un operador iGaming protegerse a sí mismo frente a un ataque DDoS? Hay tres estrategias posibles:

1. 1. Una solución interna, consistente en utilizar hardware o software para �ltrar y descartar el trá�co no deseado. Esta solución, no obstante, plantea en primer lugar el problema de que pocas empresas contarán con ancho de banda para afrontar los volúmenes de trá�co. Por otra parte, el desarrollo de software de �ltrado es costoso y sus resultados son inciertos en función del nivel de experiencia en seguridad del equipo que deba desarrollarlo.

2. 2. Con�ar en una solución suministrada por un proveedor ISP. Si bien los ISP pueden disponer de más ancho de banda y pueden distribuir el coste de capital del software de �ltrados entre diversos clientes, en función de sus dimensiones, es posible que no cuenten con la experiencia para gestionar semejantes ataques.

3. Contratar un servicio DDoS especializado. La solución consiste en utilizar un proveedor de nube contra el atacante de sistemas basados en nube. Estos servicios dedicados cuentan con un ancho de banda muy considerable y con software de �ltrado dedicado que puede redirigir el trá�co no deseado fuera del sitio que tenía por objetivo.

La mejor estrategia dependerá de la evaluación de riesgo de las operaciones de juego y del caso especí�co del negocio para decidir cuál es el nivel de protección necesario.

EVALUACIONES Y AUDITORÍAS DE SEGURIDADEl único modo de asegurar el funcionamiento correcto de un marco de seguridad de la información es probarlo. En función de las necesidades del negocio de la organización, la realización de ensayos puede adoptar diversas formas; desde la evaluación de la e�cacia de un elemento del sistema de la seguridad de la información en particular hasta una auditoría de cumplimiento completa del sistema de seguridad de la información para conseguir una certi�cación del sistema.


Una Evaluación de la Seguridad del Sistema de Información consiste en valorar hasta qué punto se han implementado bien los elementos del sistema de seguridad de la información a �n de descubrir áreas de debilidad o de identi�car vulnerabilidades y sus impactos. Las evaluaciones suelen determinarse por necesidades especí�cas del negocio (por ejemplo, la evaluación de la seguridad del sistema inalámbrico puede ser necesaria para contar con un control independiente de que una red inalámbrica instalada recientemente se ha con�gurado del modo adecuado y funciona con seguridad; la evaluación de vulnerabilidades puede solicitarse para veri�car que todos los servidores de una red especí�ca se han ajustado de modo estricto a sus respectivos roles; el test de penetración puede solicitarse para asegurar que las aplicaciones orientadas a la web no sean vulnerables a los ataques dirigidos desde el internet, etc.). La valoración también puede practicarse basada en un conjunto similar de controles según una norma publicada y las conclusiones resultantes, pero las conclusiones no conferirán un estado de cumplimiento o de no cumplimiento.

La Auditoría de Seguridad del Sistema de Información es una evaluación de cómo la seguridad del sistema de información de una organización se ha implementado en relación con una norma en particular. Una auditoría tiene por objetivo proporcionar una determinación del cumplimiento. La conformidad con una norma de terceros puede resultar en la certi�cación o acreditación de conformidad con dicha norma. En el curso de una auditoría, las áreas no conformes con la norma se comunican a la organización auditada en forma de informes de no conformidad, estas no conformidades deben resolverse antes de que el sistema pueda considerarse conforme.Solo la auditoría puede establecer que, en la práctica, se siguen los requisitos de una norma. Las auditorías pueden llevarse a cabo a nivel interno o externo:

Auditoría internaLa auditoría interna se lleva a cabo por miembros del personal designados al efecto para determinar si la organización sigue los requisitos establecidos en su propio marco corporativo de seguridad de la información. El proceso de auditoría interna, además de tener sentido para la empresa, suele ser un requisito para conseguir la certi�cación conforme a la norma de seguridad de la información de un tercero.

Auditoría externaLa auditoría externa se lleva a cabo por terceros cuali�cados e independientes con el �n de determinar si el marco de seguridad de la información de la organización es conforme con una norma especí�ca. En función de la norma y del organismo auditor escogidos, la auditoría externa puede conducir a certi�cación conforme a la norma de seguridad de información de un tercero.

La auditoría puede aplicarse sólo a una parte de los requisitos de una norma publicada o a todosAn audit can be performed to only part or to the complete requirements of a published standard.

EVALUACIONES VS. AUDITORÍAS

La Auditoría de Seguridad del Sistema de la Información es una evaluación de cómo la seguridad de la información de una organización se ha implementado en relación con una norma en particular. Puede ser una evaluación con relación a las normas de seguridad interna de la organización y/o en relación con una norma de seguridad externa (por ejemplo, ISO 27001:2005). Una auditoría tiene por objetivo proporcionar una determinación del cumplimiento.

Una Evaluación de la Seguridad del Sistema de Información consiste en valorar hasta qué punto se han implementado bien los elementos del sistema de seguridad de la información a �n de descubrir áreas de debilidad o de identi�car vulnerabilidades y sus impactos. La evaluación tiene por objetivo elaborar un informe de las conclusiones de la evaluación y formular recomendaciones para su mejora.

La diferencia entre una “auditoría” y una “evaluación” radica en que la auditoría es una medida de algo contra una norma especí�ca, mientras que la evaluación evalúa cuán bien o cuán mal está ese algo, tomando como base la experiencia del asesor y los criterios acordados antes del inicio de la intervención. Tanto en las Evaluaciones de Seguridad como en las Auditorías de Seguridad el análisis puede efectuarse sobre las tecnologías, las personas y los procesos aplicables a la seguridad de la información pertenecientes a la organización. La evaluación puede tener lugar antes de la auditoría para identi�car áreas que deban mejorarse antes de la auditoría; o bien después de la auditoría para asegurar su e�cacia.


PASOS EN LA IMPLEMENTACIÓN

Implementar un programa de gestión de la seguridad de la información puede parecer una tarea desalentadora. Sin embargo, los profesionales de GLI cuentan con la experiencia su�ciente para ayudar a los operadores de iGaming a realizar la transición para implementar un sistema de gestión de la seguridad de la información que satisfaga sus necesidades especí�cas según el tamaño de la organización, los mercados en los que ésta ópera y su solución técnica en particular.

Para determinar la posición de la seguridad de una organización y de sus sistemas de información y datos, GLI realiza evaluaciones de Seguridad de la Información (INFOSEC) y controles de la seguridad que sean conformes con procedimientos y directrices reconocidos en todo el mundo.

GLI realizará una evaluación frente a estándares de seguridad especí�cos para el juego en una jurisdicción y frente a estándares de seguridad reconocidos para determinar el nivel de precisión y e�cacia de los controles de seguridad de la información implementados por su organización.

Evaluaremos los controles implementados sobre la seguridad de la información dentro de su organización con relación a las normas de seguridad ISO 27001 para determinar hasta qué punto son precisos y e�caces.

Las empresas de Asesores de Seguridad Cuali�cados (QSA) son organizaciones independientes dedicadas a la seguridad que cuentan con la acreditación del Consejo de Estándares de Seguridad PCI para validar la conformidad de una entidad con los estándares DSS de PCI. Los empleados de QSA son individuos que trabajan para una empresa QSA y han cumplido y cumplen con todos los requisitos de QSA.

Auditoría del Sistema de Seguridad de la Información

Auditoría del Sistema de Seguridad de la Información según una Jurisdicción

Auditoría del Sistema de Seguridad de la Información ISO 27001

Auditoría de Seguridad Cuali�cada PCI

AUDITORÍA

Servicios de GLI


GLI realiza amplios análisis y diseño de sistemas de control de seguridad física que incluyen: sistemas de control de entradas manuales y automatizadas, equipo de vigilancia de la instalación; sistemas de detección de intrusos; procedimientos de control de acceso y otros mecanismos diseñados para proteger las infraestructuras físicas. GLI ha llevado a cabo inspecciones de seguridad física para centros de datos, centros de operaciones en red (NOC) y centros de operaciones de seguridad (SOC) en todo el mundo.

Para asegurar la disponibilidad de las funciones críticas de una organización, GLI evalúa y consulta los planes y procedimientos para contingencias, los planes de respuesta ante incidentes, los planes de recuperación ante desastres y las evaluaciones de impacto empresarial para los sistemas de información principales, centros de datos y redes de telecomunicaciones de todo el mundo. Dichos planes y procedimientos tienen por objetivo central asegurar la continuidad de las operaciones y asegurar una copia de seguridad/recuperación. También evaluamos los Planes de Continuidad de las Operaciones (COOP) especializados de acuerdo con las directrices de organismos especí�cos y con normas de Seguridad de la Información reconocidos en todo el mundo.

Nuestro análisis se centra en los estándares, directrices y procedimientos de gestión de incidencias, así como en la implementación y gobierno de dichas actividades. La gestión de las incidencias de seguridad puede con¯uir o complementarse con los servicios de asistencia al cliente, la gestión de problemas y la elaboración de informes de incidencias operativas. No obstante, nuestro análisis se centra principalmente en el componente de la seguridad.

La nube está revolucionando el sector de las tecnologías de la información y el modo en que se implementa la seguridad. GLI está en la vanguardia de la seguridad informática en la nube: evalúa y consulta la implementación de la seguridad de este tipo de soluciones.

Un programa e�caz de gestión de riesgos requiere una evaluación a fondo de las amenazas a que puede estar sometido un sistema de información en particular, además de una evaluación de las vulnerabilidades del sistema ante dichas amenazas. GLI ofrece a los clientes una evaluación completa de la implementación de la gestión de riesgos y análisis de las amenazas a los sistemas de información causadas por la acción humana o por causas naturales, mediante fuentes autorizadas y diversas fuentes de inteligencia. Con las evaluaciones se identi�can los procedimientos de mitigación y las modi�caciones del sistema para vulnerabilidades conocidas, lo que permite que el sistema de información pueda operar a un nivel de riesgo aceptable.

Auditoría de Seguridad Física

Auditoría de Continuidad de las Operaciones y de Recuperación ante Desastres

Auditoría de Gestión de Incidencias

Auditoría de Seguridad de la Informática en Nube

Análisis de la gestión de Amenazas y Riesgos y Evaluación de las Vulnerabilidades

Conseguir personal de con�anza para operar y mantener los sistemas de información crítica es vital para la seguridad de una organización. GLI evalúa y consulta a los clientes sobre los programas de seguridad personal que se ocupan de cuestiones relacionadas con las políticas de control de seguridad, procedimientos de identi�cación del personal, requisitos de seguridad industrial y programas formativos para concienciar en materia de seguridad.

Auditoría de Seguridad del Personal


El servicio de test de penetración de GLI ayudará a las empresas a determinar las debilidades de sus redes, sistemas informáticos y aplicaciones. Un test de penetración estándar podría contener una evaluación de vulnerabilidades mediante test convencionales de sistema y de software o únicamente escaneo de seguridad de la red. A diferencia de otras empresas dedicadas a test de penetración que se centran en las evaluaciones de la línea de montaje y en el resultado de las herramientas automáticas, nosotros aplicamos un enfoque diferente. GLI ofrece un producto de calidad adaptado a sus necesidades. Trabajamos con nuestros clientes para construir un per�l preciso de la función principal de su negocio, determinar de dónde proceden las amenazas y conocer sus objetivos de evaluación de la seguridad. Lo hacemos así para asegurar que el trabajo realizado cumple exactamente con sus necesidades y que no es un mero producto obtenido con facilidad. Queremos tener relaciones duraderas con nuestros clientes, para tener la certeza de que cuentan con el mejor test de penetración posible, y les ofrecemos servicios de auditoría de seguridad profesionales y calidad superior desarrollados de acuerdo con sus necesidades.

Los test de infraestructura externa pretenden responder a la pregunta: “¿Puede un atacante poner en riesgo nuestros recursos orientados a internet?” El test de infraestructura externa explora las consecuencias de actividades maliciosas realizadas por un hacker desde internet. Implica supervisar los servicios de red disponibles, cuestionar sus debilidades e intentar traspasarlos para obtener información o poner en riesgo la red. La metodología de GLI puede adecuarse para cumplir con los requisitos del PCI ISO 27001 y reglas de las jurisdicciones sobre el juego. Con la evaluación de la infraestructura externa podemos saber con seguridad si una red está a salvo de amenazas externas.

Los test de infraestructura interna pretenden responder a la pregunta: “¿Qué podría hacer un atacante si contase con acceso a la red interna de una organización?”. El test de infraestructura interna suele llevarse a cabo en las instalaciones del cliente y suele basarse en escenarios y riesgos. Con esta evaluación pueden evaluarse cuáles son las consecuencias de tener un empleado o contratista granujas que lleven a cabo actividades maliciosas. Puede implicar intentar entrar en servicios básicos de la empresa desde el wi� para empleados de la cafetería. Puede incluir análisis de la seguridad estándar del ordenador de sobremesa o del portátil, además de evaluaciones de seguridad de las redes virtuales del área local (VLAN), VoIP, móvil y redes inalámbricas. La metodología de GLI puede adecuarse para cumplir los requisitos del PCI ISO 27001 y reglas de jurisdicciones sobre juego. Con la evaluación de la infraestructura interna podemos saber con seguridad si una red interna está a salvo de amenazas internas y externas.

Una ASV (Approved Scanning Vendors) es una organización con un conjunto de servicios de seguridad y herramientas (“Solución de escaneo ASV”) que lleva a cabo servicios externos de escaneo de vulnerabilidades para validar la conformidad con los requisitos de escaneo externo de los DSS de PCI, requisito 11.2.2. La solución de escaneo ASV del proveedor de servicios de escaneo está probada y aprobada por el SSC de PCI antes de que el proveedor ASV se incorpore a la lista del SSC de PCI de proveedores de servicios de escaneo aprobados.

Test de Penetración

Test de Infraestructura Externa

Test de Infraestructura Interna

Escaneo trimestral a Proveedores de Servicio de Escaneo con certi�cación PCI

EVALUACIÓN


El test de seguridad de las aplicaciones es un método para evaluar la seguridad de una aplicación (web, compilada, móvil, etcétera) y valorar la e�cacia de los controles que se implementan para proteger la aplicación y la organización frente a los riesgos planteados por imperfecciones basadas en la aplicación. En concreto, el test de seguridad de la aplicación evalúa las vulnerabilidades de las aplicaciones que puedan poner en riesgo la con�dencialidad, integridad y disponibilidad de datos críticos o con�denciales, y establece la prioridad en la eliminación de las vulnerabilidades o la mitigación del impacto que estas pueden tener en la organización. El test de seguridad de la aplicación de GLI ayuda a la organización a identi�car y remediar las vulnerabilidades e imperfecciones relacionadas con la aplicación antes de que los hackers puedan explotarlas y obtener acceso a los sistemas, recursos e información con�dencial de la organización. Se trata de un servicio ¯exible que puede personalizarse para adaptarse a los requisitos especí�cos del cliente. Nuestra metodología global se modela según el Open Web Application Security Project (OWASP), un conjunto de directrices establecidas para su aplicación integral en las pruebas de seguridad de la aplicación. OWASP es una comunidad de ámbito mundial libre y abierta cuyo objetivo central es mejorar la seguridad de las aplicaciones. Tiene por misión hacer que la seguridad de las aplicaciones esté “visible”, de modo que individuos y organizaciones puedan tomar decisiones informadas sobre los riesgos de seguridad de la información.

El Análisis del código fuente de la seguridad probablemente sea la técnica única y más e�ciente para identi�car las imperfecciones en la seguridad. Al utilizarla junto con herramientas automatizadas y test de penetración manual, el examen de código puede incrementar signi�cativamente la e�ciencia en costes del esfuerzo invertido en la veri�cación de la seguridad de una aplicación. GLI ha examinado el código fuente para diversas organizaciones del sector iGaming con el �n de veri�car si están presentes los controles de seguridad adecuados y si estos funcionan del modo previsto y se han utilizado en todos los lugares apropiados. El examen del código es una forma de garantizar que la aplicación se ha desarrollado para “auto defenderse” en el entorno que le es propio; y se ejecuta de acuerdo con el marco fuente abierto de OWASP.

Los ingenieros sociales de GLI intentan, a través del contacto personal, robar los datos con�denciales de sus empleados, aprovechándose de su con�anza, buena fe y disposición o insistiendo o creando incertidumbre en el empleado. En función del objetivo del test y del grupo meta, GLI utiliza distintos métodos y tipos de ingeniería social.

Con GLI usted puede disponer de un valioso conocimiento sobre la velocidad y la disponibilidad de su sitio y del funcionamiento de este para sus visitantes. Un ingrediente básico para la supervisión del rendimiento del sitio web de GLI es nuestra metodología de test única, además del sistema preciso y dirigido de mensajes de alerta. Como resultado, ofrecemos los datos más �ables y coherentes disponibles sobre el rendimiento del sitio web. El test se practica desde el exterior de su cortafuegos, lo que nos ofrece una visión de usuario real sobre el rendimiento de su sitio web. Los test son coherentes y repetibles. Cada uno se regula para simular la velocidad de conexión del usuario �nal. Tenemos así una visión realista y coherente de la velocidad del sitio web sin la interferencia de la conectividad del ISP.

Test de Seguridad de las Aplicaciones

Análisis del código fuente de la seguridad

Ingeniería social

Supervisión de Rendimiento

CONSULTORÍA


El test de carga es una etapa esencial en el ciclo de vida del desarrollo, ya que garantiza que su sitio no se deforma al soportar grandes cargas. El práctico servicio de test de carga de sitio web propuesto por GLI le permite controlar tanto del proceso como desee. Ofrecemos soluciones a medida basadas en sus necesidades técnicas y empresariales. Usted puede administrar sus propios test con la opción Software como Servicio (SaaS) o bien puede optar por el test de carga gestionado y permitir que nuestros evaluadores de rendimiento web asuman el esfuerzo. Para ahorrar tiempo y dinero en repeticiones de test innecesarias, podría resultar buena idea llevar a cabo una auditoría de rendimiento de test previa a la carga. Así usted podrá asegurarse de que su sitio web está en la forma óptima para soportar la carga antes de probarlo. El test de carga suele ser una necesidad habitual. Puesto que trabajamos con usted para que consiga sus objetivos de test de carga del sitio web, queremos transferirle nuestro conocimiento para que usted pueda sacar el mejor provecho de nuestro servicio para usted mismo. A medida que avanzamos en diferentes proyectos, podemos adecuar nuestra implicación para adaptarnos a sus necesidades, asegurando que siempre le ofrecemos el nivel de asistencia que necesita.

Nuestros expertos pueden practicar un análisis de brechas entre los controles que usted normalmente tiene en funcionamiento y los que son necesarios para la conformidad con la norma ISO 27001. Trabajaremos con usted para desarrollar una hoja de ruta con la que implementar los controles que contribuirán a que sus procesos de gobierno sean conformes con la norma ISO 27001.

La concienciación sobre la seguridad y la formación son un componente vital de todo programa de seguridad para el personal. GLI desarrolla una gran variedad de programas relativos a la concienciación y formación sobre la seguridad, incluyendo formación para la concienciación en general, formación especí�ca sobre el sistema de información y formación en seguridad para personal técnico y desarrolladores. GLI ha escrito numerosos artículos de concienciación sobre la seguridad en los que se tocan temas como la amenaza de intrusión electrónica, la detección de intrusos y respuesta a la intrusión, la seguridad de los sistemas TI del juego por internet y certi�caciones y acreditaciones.

GLI ofrece un servicio de consultoría en profundidad relacionado con los procesos organizativos claves. Por ejemplo, Ciclo de Vida del Desarrollo del Sistema (SDLC), gestión del cambio, gobierno de las TI, gestión de proyectos, y muchos más. Su objetivo es asesorar a las organizaciones acerca de cómo deben racionalizar tales procesos y al mismo tiempo eliminar las pérdidas de tiempo y adoptar soluciones e�caces.

GLI aprovecha sus años de experiencia ofreciendo servicios de auditoría y evaluación relativos a la recuperación ante desastres. Los expertos de GLI pueden aconsejar sobre estrategias de recuperación ante desastres y asistir en la plani�cación y ejecución de los test de recuperación ante desastres.

Test de Carga

Análisis de brechas ISO 27001

Concienciación sobre la seguridad y formación

Evaluación de los procesos clave de la organización

Consulta sobre la recuperación ante desastres


ACERCA DE GLI Gaming Laboratories International (GLI®) es el principal laboratorio de ensayo de loterías, juego terrestre iGaming a nivel mundial.

Durante 26 años, Gaming Laboratories International, LLC ha estado prestando servicios de evaluación ofreciendo una calidad superior en lo que se re�ere a loterías, juego terrestre e iGaming, todo esto con gran precisión y reduciendo el tiempo de espera para la salida al mercado.

Con más de 20 laboratorios físicos distribuidos en África, Asia, Australia, el Caribe, Europa, América del Norte y América del Sur, GLI cuenta con acreditaciones en Estados Unidos así como internacionales en cumpliendo con las normas ISO/IEC 17025, 17020 y 170265 que se otorgan en relación a la competencia técnica en el sector del juego de azar, apuestas y loterías.

GLI’s Professional Services Quali�cations:• Ingeniero de Calidad de Software Certi�cado (CSQE)• Certi�cado en Control de Riesgos y Sistemas de la

Información (CRISC) • Gestor de la Seguridad de la Información Certi�cado

(CISM)• Auditor de la Seguridad de la Información Certi�cado

(CISA)• Auditor principal (LA) de la norma ISO 27001• Asesor de Seguridad Cuali�cado del Sector de las

Tarjetas de Pago (QSA)• Profesional del Sector de las Tarjetas de Pago (PCIP)• Ingeniero de Calidad de Software Certi�cado (CSQE)• Hacker Ético Certi�cado (CEH)

SI NECESITAN MÁS INFORMACIÓNSi necesitan más información sobre los servicios ofrecidos por GLI visiten www.gaminglabs.com

SOLICITE UNA LLAMADASi desea una llamada o realizar una pregunta, contacte con una de las ubicaciones de o�cinas listadas de GLI en América del Norte. Le atenderá un representante de GLI que responderá a su consulta dentro del plazo de dos días hábiles.

UBICACIONES DE LAS SEDES DE GLI:

Sede Principal600 Airport RoadLakewood, NJ 08701Teléfono: +1 (732) 942 3999Fax: +1 (732) 942 0043

Sede en Las Vegas 7160 Amigo StreetLas Vegas, NV 89119Teléfono: +1 (702) 914 2220Fax: +1 (702) 914 2799

Sede en Colorado4720 Independence StreetWheat Ridge, CO 80033Teléfono: +1 (303) 277 1172Fax: +1 (303) 277 9901

GLI Canada British ColumbiaOºice Suite 210 – 6400 Roberts StreetBurnaby, BC V5G 4C9Teléfono: +1 (778) 331 0794Fax: +1 (778) 331 0799

GLI Canada New BrunswickOºice Suite 130 – 11 Ocean Limited Way Moncton, NB E1C 0H1Teléfono: +1 (506) 855 0214

GLI Europe BVSatellietbaan 122181 MH Hillegom, The NetherlandsTeléfono: +31 (0) 252 529 838Fax: +31 (0) 252 529 608

Índice - Gaming Labs International...o fraude de tarjeta de crédito. Entrarían aquí las...

Documents

Transcript of Índice - Gaming Labs International...o fraude de tarjeta de crédito. Entrarían aquí las...