1. Abast del SGSI
L’abast del sistema de gestió de seguretat de la informació (SGSI) cobreix tots els serveis prestats per Intergrid (Opengea SCCL), incloent:
- Hosting Cloud, Hosting Dedicat i VPS.
- Registre i gestió de dominis.
- Aplicacions web al núvol.
- Infraestructura física allotjada a Centres de Dades avançats d\'Alemanya, Finlandia, Estats Units i Singapur, i gestionada íntegrament per Intergrid desde Barcelona.
2. Política de seguretat de la informació
Intergrid es compromet a protegir la confidencialitat, integritat i disponibilitat de la informació pròpia i dels seus clients, mitjançant controls tècnics i organitzatius adequats, avaluació contínua dels riscos i millora contínua del SGSI.
3. Metodologia d\'anàlisi i tractament de riscos
- Identificació d’actius, amenaces i vulnerabilitats.
- Avaluació d’impacte i probabilitat (Alt, Mitjà, Baix, Nul).
- Assignació de mesures i controls per reduir riscos.
- Documentació del risc residual i responsable.
4. Declaració d’aplicabilitat (SoA)
Aquesta declaració acredita el compromís i l\'aplicació real dels requisits de la norma ISO/IEC 27001:2022 mitjançant una declaració responsable de l\'organització.
S’han seleccionat i aplicat controls de l’annex A de la norma ISO/IEC 27001 segons l’avaluació de riscos. Incloent:
- A.5: Polítiques de seguretat
- A.6: Organització de la seguretat
- A.8: Gestió d’actius
- A.9: Control d’accés
- A.12: Seguretat operativa
- A.13: Seguretat de les comunicacions
- A.15: Relacions amb proveïdors
- A.16: Gestió d’incidents de seguretat
- A.17: Continuïtat del negoci
5. Objectius de seguretat
- Evitar fuites de dades dels serveis web allotjats
- Assegurar l’autenticació i accés legítim a sistemes
- Garantir backups íntegres i disponibles
- Assegurar el compliment del RGPD
6. Registres clau
- Registre d’actius i responsabilitats
- Registre de formació en seguretat
- Incidents de seguretat
- Auditories internes i revisions per la direcció
7. Procediments específics
Gestió d’incidents de seguretat
Tots els incidents s’han de reportar immediatament al responsable del SGSI. Es documentaran en el registre d’incidents i es realitzarà una anàlisi per identificar causes, impacte i accions correctives.
Control d’accessos
- Accés limitat segons rols i necessitats
- Autenticació forta: claus complexes i 2FA
- Revisió periòdica dels permisos
Política de còpies de seguretat
- Backups automàtics diaris i setmanals
- Replicació en múltiples Centres de Dades (ubicacions físiques independents)
- Proves de restauració regulars
Política d’ús acceptable
Els usuaris i tècnics només poden utilitzar els recursos d’Intergrid per a finalitats autoritzades. Qualsevol ús abusiu, il·legal o que comprometi la seguretat serà objecte de sanció.
Gestió de tercers i proveïdors
- Acords de confidencialitat amb col·laboradors
- Control de l’accés dels proveïdors a sistemes interns
- Revisió periòdica dels serveis subcontractats
Continuïtat del negoci
- Backups georedundants i monitoratge constant
- Procediments de recuperació davant desastres
- Assignació de rols clau en situacions de crisi
Auditories i millora contínua
- Auditories internes periòdiques del SGSI
- Revisió de polítiques i procediments
- Registre d’accions correctives i de millora
Gestió de dispositius i equips
- Inventari actualitzat d’equips i dispositius
- Política de bloqueig de pantalla i xifratge de disc
- Limitació de l’ús de dispositius externs (USB, etc.)
Seguretat del correu electrònic
- Filtrat de correus sospitosos (spam, phishing)
- Configuració de SPF, DKIM i DMARC
- Restriccions d’enviament i revisió de campanyes
Classificació i maneig de la informació
- Etiquetatge segons sensibilitat (confidencial, interna...)
- Restriccions de distribució segons classificació
- Destrucció segura de la informació obsoleta
Formació i sensibilització
- Sessions periòdiques de formació en seguretat
- Campanyes de conscienciació per a tot el personal
- Proves puntuals de simulació de phishing
Gestió de registres i evidències
- Conservació de registres durant el període establert per la normativa
- Control d\'accés als registres confidencials
- Integritat i disponibilitat garantida mitjançant sistemes redundants
Polítiques específiques per a projectes i clients
- Assignació de responsables de seguretat per projecte
- Controls de privacitat i compartició limitats segons contractes
- Validació de seguretat abans del desplegament de serveis a clients
Aquesta documentació és bàsica i extensible segons l’evolució del SGSI. Es recomana revisar-la com a mínim anualment o després d’incidents significatius.
Anàlisi de riscos (SGSI - ISO 27001)
Empresa: Intergrid (Opengea SCCL)
Data: 15-10-2024
Abast: Serveis de hosting (cloud, dedicat, VPS), dominis i aplicacions web.
| ⚠️ Actiu | Amenaça | Vulnerabilitat | Impacte | Probabilitat | Nivell de risc | Mesures aplicades | Risc residual | Responsable |
|---|---|---|---|---|---|---|---|---|
| Accés a servidors | Accés no autoritzat | Ports oberts / accés no controlat | Alt | Nula | Nula | Filtrat IP, clau SSH, 2FA, fail2ban | Molt baix | Tècnic sistemes |
| Bases de dades | Fuita d\'informació | SQL no parametritzades | Alt | Baixa | Baix | ORM, control d\'accés, auditoria | Molt baix | Dev backend |
| Tauler de control | Caiguda de servei | Atac DDoS | Mitjà | Mitjana | Mitjà | Cloudflare, limitació de connexions | Baix | DevOps |
| Backups | Pèrdua de dades | Còpies no replicades | Alt | Mitjana | Alt | Backups redundants en múltiples ubicacions | Baix | Tècnic sistemes |
| Servei e-commerce | Modificació fraudulenta | Logs inexistents | Alt | Mitjana | Alt | Monitoratge actiu, alertes, auditoria | Mitjà | Dev web |
| DNS i dominis | Manipulació de registres | Clau API exposada | Alt | Baixa | Mitjà | Regeneració de claus i control d\'accés | Baix | Admin domini |
| Web d\'usuari | Suplantació d\'identitat | Autenticació dèbil | Alt | Mitjana | Alt | 2FA, limitació intents, captchas | Baix | Dev frontend |
| Correu electrònic | Spam / phishing | Validació de contingut dèbil | Alt | Mitjana | Alt | SPF, DKIM, DMARC, Spamassassin, revisió de logs | Baix | Correu |
| Accés remot del personal | Accés indegut | VPN sense MFA | Mitjà | Mitjana | Mitjà | VPN amb MFA, restringit per IP | Baix | Tècnic sistemes |
| Aplicacions internes | Execució de codi no autoritzat | Absència de control de versions | Alt | Baixa | Mitjà | Control de versions, deploy supervisat | Baix | DevOps |
| Pagaments | Accés o manipulació de dades de pagament | Delegació a tercers sense control suficient | Alt | Baixa | Mitjà | Ús de Stripe com a plataforma PCI-DSS compliant; no s’emmagatzemen dades sensibles localment | Baix | Responsable legal / tècnic web |
| Programari de tercers | Execució de codi maliciós | Manca d\'actualitzacions | Alt | Mitjana | Alt | Actualitzacions periòdiques, control de vulnerabilitats (CVE) | Mitjà | DevOps |
| Errors humans | Esborrat accidental | Manca de formació / permisos incorrectes | Mitjà | Mitjana | Mitjà | Formació, revisions, permisos limitats | Baix | Tots els empleats |
| Configuracions crítiques | Injecció de configuració maliciosa | No hi ha validació automàtica | Alt | Baixa | Mitjà | Auditories de configuració, proves automàtiques | Baix | DevOps |
| Control de versions | Introducció de codi insegur | Manca de revisió de canvis o tests | Alt | Mitjana | Alt | Revisió per parells, integració contínua, tests automatitzats | Mitjà | DevOps |
| Portals d\'administració | Accés il·lícit | Interfície exposada públicament | Alt | Baixa | Mitjà | Accés IP-restringit, 2FA, logs d\'accés | Baix | Infraestructura |
| Actualitzacions del sistema | Explotació de vulnerabilitats conegudes | Endarreriment en aplicació de parches | Alt | Baixa | Mitjà | Actualitzacions periòdiques, escàners de vulnerabilitats | Baix | Tècnic sistemes |
| Desenvolupament a mida | Fuites de dades sensibles | Manca de validació d\'entrades i sanitat | Alt | Mitjana | Alt | Aplicació de guies OWASP, formació a desenvolupadors | Baix | Dev backend |
| Proveïdors externs | Dependència crítica | Manca de contractes o acords SLAs | Mitjà | Mitjana | Mitjà | Acords de nivell de servei (SLA), anàlisi de continuïtat | Mitjà | Direcció |
| Logs de seguretat | Omissió de proves en cas d’incident | Rotació o esborrat prematur | Mitjà | Mitjana | Mitjà | Retenció segura i controlada, accés restringit, SIEM | Baix | Tècnic sistemes |
| Identitats digitals | Suplantació d’usuaris | Manca de gestió del cicle de vida dels comptes | Alt | Baixa | Mitjà | Provisionament i desactivació automatitzats, revisió periòdica | Baix | Responsable SGSI |
| Contractació de personal | Incompliment de confidencialitat | Absència de NDA o formació prèvia | Mitjà | Baixa | Baix | Clàusules NDA, formació de benvinguda, control d’accés inicial | Molt baix | Direcció |
| Servidor DNS públic | Redirecció maliciosa | Configuració incorrecta de zones o registres | Alt | Baixa | Mitjà | Revisió periòdica de zones, accés restringit, registre de canvis | Baix | Admin domini |
| Sessions d’usuari | Persistència indeguda | No expiració automàtica | Mitjà | Alta | Alt | Expiració automàtica, tancament de sessió inactiva | Baix | Dev web |
| Actualitzacions de sistemes | Explotació de vulnerabilitats conegudes | Actualitzacions postposades o incomplertes | Alt | Mitjana | Alt | Gestió centralitzada d’actualitzacions, proves abans de desplegar | Mitjà | DevOps |
| Interfícies API | Accés no autoritzat a dades | Manca de control d’autenticació o quotes | Alt | Mitjana | Alt | Tokens amb expiració, limitació per IP i autenticació forta | Baix | Dev backend |
| Entorns de preproducció | Exposició de dades reals | Base de dades replicada amb dades sensibles | Alt | Baixa | Mitjà | Anònims, entorns separats, restriccions d’accés | Baix | DevOps |
| Suport tècnic remot | Filtració d’informació confidencial | Sessions no registrades ni monitoritzades | Mitjà | Baixa | Mitjà | Canals segurs, registre d’activitat, limitació d’accés temporal | Baix | Helpdesk |
| Gestió documental | Accés indegut a documents interns | Arxius compartits sense control | Mitjà | Alta | Alt | Plataforma amb permisos granulars, revisió de comparticions | Baix | Responsable SGSI |
Política de seguretat de la informació (SGSI)
Empresa: Intergrid (Opengea SCCL)
Data d\'aprovació: 15-10-2024
Aprovada per: Direcció Tècnica
- Objectiu: Garantir la confidencialitat, integritat i disponibilitat de la informació, dades de clients i sistemes.
- Abast: Tota la infraestructura de hosting i aplicacions desenvolupades o allotjades per Intergrid.
- Compromís: Aplicació del marc ISO/IEC 27001.
- Responsabilitat: Compliment per tot el personal.
- Mesures clau:
- Control d'accés per rol i 2FA
- Còpies de seguretat segregades
- Monitoratge d\'incidències
- Avaluació de riscos anual
- Formació i sensibilització
- Revisió: Anual.
Declaració d\'aplicabilitat (SoA) – ISO 27001
Data: 15-10-2024
Responsable del SGSI: Jordi Berenguer / Director tècnic
| Control (Annex A) | Títol | Aplicable? | Estat | Comentaris |
|---|---|---|---|---|
| A.5.1 | Política de seguretat | Sí | Implantat | Publicada i revisada |
| A.5.11 | Úsil de dades | Sí | Implantat | Baixes de clients |
| A.6.1 | Organització seguretat | Sí | Implantat | Rols definits |
| A.6.3 | Treball remot | Sí | Implantat | VPN i portàtils xifrats |
| A.7.1 | Còpies de seguretat | Sí | Implantat | Backups redundants |
| A.8.1 | Control d\'accés | Sí | Implantat | ACLs i autenticació forta |
| A.8.16 | Supervisió d\'activitats | Sí | Parcial | En desplegament |
| A.12.1 | Seguretat aplicacions | Sí | Implantat | OWASP, revisió de codi |
| A.14.1 | Comunicacions segures | Sí | Implantat | HTTPS, SFTP |
| A.18.2 | Auditoria interna SGSI | Sí | Planificat | Q4 2025 |
Versió: 4.8 — Última revisió: 15-10-2024
