Hur kan krav på spel- och lotterisäkerhet driva fram ISO 27001-certifieringar? Fredrik Rehnström, CISSP, CISM VD och säkerhetsrådgivare Rote Consulting AB
Varför är säkerhet på agendan? Hotbild Myndighets- och branschkrav Andra goda argument WLA SCS Vad är det? Vägen till certifiering Undvik väggen och ta trappan Erfarenheter att ta med sig
Varför är spel och lotterier intressanta? Mycket stora penningsummor Möjlighet att verka anonymt (helt/delvis) Internet är huvudsaklig marknadsplats Möjlighet att tvätta pengar Bedrägeriförsök kan organiseras Landsöverskridande transaktioner, men nationella lagar och regelverk
Vilka är argumenten för att införa LIS? Säkerställa affärskontinuitet med katastrofskydd; Ökad motståndskraft för olika incidenter; Efterleva externa krav (Lag, förordning, föreskrifter, PCI DSS, WLA, etc.); Möjliggöra certifiering mot ISO 9001, 14001, 20000, 27001; Förbättra affärsmöjligheter och marknadsposition, stärka varumärket; Möjliggöra mätbarhet och mätning inom området; Minska kostnader för säkerhetsåtgärder; Skydda de tillgångar som är av strategiskt värde; Skapa en god miljö för internkontroll med; effektiva säkerhetsåtgärder = förtroende Ett förlorat bet är ett förlorat tillstånd!
Hur balanserar man ett förtroende? Spel- och lotteriaktör Ägare Delägare Långivare Försäkringsgivare Affärspartners Intressenter Kunder Leverantörer Allmänheten Rättsväsende Tillsynsmyndigheter Styrelse Ledning Personal
Var hittar vi WLA SCS på kartan?
WLA Security Control Standard Part A GENERAL SECURITY REQUIREMENTS ISO/IEC 27001 Requirements WLA Basic Controls G1 Organization of Security G1.1 Allocation of security responsibilities G2 Human Resources Security G2.1 Implementation of a Code of Conduct G2.2 Information Security awareness, education and training G3 Physical and Environmental Security G3.1 Secure areas G4 Operations Management G4.1 Protection against security vulnerabilities G5 Access Control G5.1 Remote user access management G6 Information Systems Maintenance G6.1 Cryptographic controls G6.2 System testing G7 Business Continuity Management G7.1 Press media handling and availability Part B LOTTERY SPECIFIC SECURITY REQUIREMENTS L1 Instant Tickets L1.1 Instant game design L1.2 Instant ticket printing L1.3 Shipment of instant tickets L1.4 Storage and distribution of instant tickets L1.5 Retailer security instant tickets L1.6 Instant game closures L2 Lottery Draws L2.1 Lottery draw management L2.2 Conduct of the draw L2.3 Physical drawing appliances and ball sets L3 Retailer Security L3.1 Recruitment and set-up L3.2 Retailer operations L3.3 Gaming terminal security L4 Prize Money Protection L4.1 Validation and payout of prizes L4.2 Unclaimed prize money L5 Sales Staff and Customer Services L5.1 Staff working outside organization premises L5.2 Customer service areas L6 Internet Gaming Systems L6.1 Internet-based sales of games
Vad täcker vad? WLA SCS ISO/IEC 27001 PCI DSS Verksamhetsansvar för en spel- och lotteriaktör
Certifieringar inom spel- och lotteriindustrin WLA Security Control Standard: 28 Statliga lotterier and spelorganisationer WLA Security Control Standard + ISO 27001: 8 Statliga lotterier och spelorganisationer ISO 27001: 2 Internetbaserade spelleverantörer/operatörer
Andra branschstandarder
Gå inte in i väggen Förstudie Grundnivå God ordning ISO/IEC 27002 I andan av ISO/IEC 27001 I enlighet med ISO/IEC 27001 Certifierad Analys Implementation Styrning och uppföljning
Vägen till certifiering, tag trappan Struktur i säkerhetsarbete Planera Genomföra Revidera/Förbättra Implementering : Införande av säkerhetsåtgärder Riskhantering Policy och styrande dokument Analys och planering Information och utbildning Mognad i ledningssystemet Förbättringsarbete Intern revision
Sammanfattning Det räcker inte med ledningens stöd, det krävs ENGAGEMANG Säkerställ att grunderna/mognad finns på plats före en utrullning Riskanalys/hantering görs på rätt sätt och på rätt plats i organisationen, den röda tråden Ha dina (informations) tillgångar identifierade och klassificerade Nödvändiga styrdokument på plats och roller/ansvar definierade Personer med delansvar i ett ledningssystem måste ha grundläggande utbildning Ansvar = Befogenhet = Adekvata resurser Det du inte kan styra kan du inte mäta, börja alltså inte i fel ända Enkelhet har egenvärde, försök att vara gatusmart i ditt sätt att implementera Fokusera på ledningssystemet först, sedan på säkerhetsåtgärderna Varje införandesteg bör backas upp med såväl logiska som känslomässiga argument Även en trappa börjar längst ner!
Spela säkert och lagom! Frågor?