Hasta el 5 de febrero se encuentra abierta la consulta pública respecto a la propuesta de Circular que imparte instrucciones relativas a los lineamientos de ciberseguridad que deben observar las sociedades operadoras y las sociedades concesionarias de casinos de juego.
La referida circular tendría por objeto establecer lineamientos mínimos a cumplir por las sociedades operadoras y las sociedades concesionarias de casinos de juego para la gestión de la ciberseguridad, en reconocimiento que actualmente los casinos de juego en su actividad comercial se encuentran sujetos a riesgos al operar sobre sistemas y plataformas tecnológicas, y que muchos de ellos están conectados a través de redes internas o externas, formando parte de un ecosistema digital que es uno solo y que no admite divisiones.
Dentro de las obligaciones que impondría la circular están las de implementar medidas técnicas y de organización para gestionar los riesgos de ciberseguridad de las redes, equipos y sistemas que utiliza para la prestación de los servicios a sus clientes, indistintamente de si tal gestión estuviere o no externalizada, los cuales deberán constar en un protocolo.
Cada sociedad operadora y concesionaria municipal deberá determinar y explicitar en dicho protocolo las medidas de gestión que busquen garantizar la disponibilidad, integridad y confidencialidad que en definitiva adopte, de conformidad con los riesgos asociados y la tecnología disponible.
Los protocolos en que consten las medidas de gestión deberán contener, a lo menos:
- Las medidas de seguridad física y ciberseguridad de los sistemas e instalaciones.
- Las medidas de resiliencia de la red, equipos y sistemas.
- Las medidas de gestión del riesgo propio de la actividad.
- Las medidas de gestión de incidentes.
- Las medidas de gestión de la continuidad de los servicios.
- Las medidas de monitoreo permanente de los sistemas.
- Las actividades de supervisión, auditoría y prueba.
- Las medidas de conocimiento de las alertas de ciberincidentes a nivel nacional e internacional.
- Las medidas de seguridad en los componentes tecnológicos de los equipos para los servicios entregados, que garanticen adecuadamente la integridad, confidencialidad y disponibilidad de las transmisiones e información, tales como dispositivos y máquinas de azar contemplados en la Ley N°19.995, medios de pago integrado, redes inalámbricas, entre otros.
- Calificación mínima exigida, los planes de capacitación y seguridad del personal que opera los componentes tecnológicos.
- Mecanismo o procedimiento de recuperación de la información en caso de pérdida de ésta por manipulación, ciberincidentes u otras causas de su responsabilidad.
Otros de los requerimientos del protocolo son el plan de respuesta; los criterios orientados a minimizar los riesgos de ciberincidentes y a facilitar una adecuada gestión de estas durante su operación, mantención y optimización; medidas tendientes a garantizar la operación y seguridad de las partes sensibles de sus sistemas, redes y equipos, así como también la obligación de resguardar la confidencialidad, disponibilidad e integridad de la información que se transmita y almacene por sus tecnologías; medidas de mitigación de riesgos de ciberseguridad; entre otros.
Los protocolos y sistemas de seguridad asociados serían revisados al menos una vez por año calendario y actualizados cada vez que corresponda, debiendo constar explícitamente en acta de sesión de Directorio o acta de reunión con la Alta Gerencia dicha revisión.
También exige que las sociedades operadoras y las sociedades concesionarias de casinos de juego cuenten con una Unidad de Ciberseguridad.
Asimismo, las sociedades operadoras y las sociedades concesionarias de casinos de juego deberán reportar a la Superintendencia los ciberincidentes que detecte en sus redes, equipos y sistemas y que alcancen los niveles de peligrosidad e impacto.
El formulario para ingresar comentarios u observaciones en esta consulta pública se encuentran en el siguiente link.
Para obtener más información puede contactar a nuestro grupo de TI, privacidad y medios:
Óscar Molina | Director TI, privacidad y medios | omolina@az.local
Andrea Céspedes | Asociada | acespedes@az.local