El pasado mes de junio, se llevaron a cabo las auditorías de seguridad en el Área de Juego de la ONCE, con un resultado plenamente satisfactorio que consolida el proceso de mejora del Sistema de Gestión de la Seguridad de la Información (SGSI) en dicha área, lo que proyecta interna y externamente, una imagen de transparencia y fiabilidad en todo lo que guarda relación con los productos de Lotería de la ONCE y sus procesos de comercialización.

Como punto de partida, hay que aclarar que, si bien la seguridad es un todo que abarca muchos significados y ámbitos de la gestión, en estas dos décadas en las que se viene trabajando en esta idea, se ha pasado de una seguridad sustentada en conceptos o elementos físicos, a una seguridad basada en la información y en los datos.

Es un planteamiento que ha evolucionado desde lo tangible y físicamente evidente, hacia elementos más intangibles y cuyas evidencias, resultan más sofisticadas y difíciles de implementar.

Así, la seguridad tradicional, suele asociarse al control de accesos a recintos, a la guarda y custodia de información en contenedores físicos, a edificios impenetrables, mientras que la seguridad que ahora se pone en valor, se asocia más bien con informaciones o datos que circulan por las redes de comunicaciones, datos que se almacenan en la “nube”, la ciberseguridad, las transacciones comerciales, los premios y sus derivadas económicas, etc.

Desde hace dos décadas, la ONCE ha ido construyendo lo que se entiende como un Sistema de Gestión de la Seguridad de la Información, que bajo el marco establecido por dos grandes normas o estándares internacionales, regula los requisitos y procedimientos propios de una Organización y de una Lotería Segura.

Esos dos marcos a los que se hace referencia son:

•    La norma ISO 27001, orientada a la seguridad en general de organizaciones, empresas y entidades de cualquier naturaleza.
•    La norma WLA que se erige en el estándar internacional de referencia para loterías que operan en el sector del juego, de forma que si no se supera la primera, no se puede superar la segunda.

Las auditorías de seguridad, consisten en un proceso de evaluación por parte de una empresa externa, que verifica el alineamiento de la Organización/Lotería, con la legislación, los requisitos y los procedimientos establecidos. Este proceso, se realiza en ciclos de tres años, de forma que en el primero se evalúan todos los controles establecidos, mientras que en los dos años intermedios del ciclo, solo se evalúan algunos de los controles existentes en cada Organización.

El primer año del ciclo, se denomina auditoría de recertificación o de renovación de los Certificados ISO y WLA y las auditorías que se realizan en los dos años intermedios del mencionado ciclo, se denominan auditorías parciales o de seguimiento.

Las últimas auditorías, tuvieron lugar del 16 al 24 de junio, de forma presencial en la sede de la Dirección General de la ONCE de Madrid, en intensas sesiones de trabajo, durante las cuales, diferentes técnicos y responsables de ámbitos concretos asociados a procesos del SGSI, fueron compareciendo y mostrando las evidencias requeridas por el auditor, quien tuvo la oportunidad de verificar el manifiesto grado de compromiso con la Seguridad de la Información existente en la ONCE.

En esta ocasión, se ha practicado una Auditoría de Seguimiento, en la que se han examinado áreas como:  la organización de la seguridad en la ONCE, la realización de una auditoría interna por la propia Organización, la evaluación de los distintos riesgos, los procesos de formación y concienciación respecto de la seguridad, tanto del personal vendedor como del personal no vendedor, la eficacia del Protocolo de clasificación de los documentos del área de juego, algunos controles legales o de cumplimiento normativo, los planes de continuidad de los llamados activos críticos, los procesos de los diferentes sorteos, la seguridad de las comunicaciones, el tratamiento de las “vulnerabilidades o brechas” de seguridad y su remediación,  así como la visita a dos centros de referencia, el Data Center de respaldo y el CLP de la ONCE.

Los resultados han sido absoluta y plenamente satisfactorios, atendiendo tanto al contexto general de una organización compleja y con presencia por todo el territorio del Estado, así como a su condición específica de Lotería de carácter Social, valorando el permanente proceso de mejora continua, uno de los principios en los que se sustenta el éxito de un SGSI.

También se puso en valor, cómo la Seguridad es un elemento que se tiene siempre presente en el desarrollo del trabajo diario, en todas las estructuras de gestión, desde la implicación de la alta dirección, hasta el nivel de los puntos de venta ubicados a lo largo de la extensa geografía del Estado.

En definitiva, continúa el inexorable proceso de construcción y desarrollo de la ONCE como Lotería Social, Segura y Responsable fruto del esfuerzo colectivo.