1. Alcance del SGSI
El alcance del sistema de gestión de seguridad de la información (SGSI) cubre todos los servicios prestados por Intergrid (Opengea SCCL), incluyendo:
- Hosting en la Nube, Hosting Dedicado y VPS.
- Registro y gestión de dominios.
- Aplicaciones web en la nube.
- Infraestructura física alojada en Centros de Datos avanzados de Alemania, Finlandia, Estados Unidos y Singapur, y gestionada íntegramente por Intergrid desde Barcelona.
2. Política de seguridad de la información
Intergrid se compromete a proteger la confidencialidad, integridad y disponibilidad de la información propia y de sus clientes, mediante controles técnicos y organizativos adecuados, evaluación continua de los riesgos y mejora continua del SGSI.
3. Metodología de análisis y tratamiento de riesgos
- Identificación de activos, amenazas y vulnerabilidades.
- Evaluación de impacto y probabilidad (Alto, Medio, Bajo, Nulo).
- Asignación de medidas y controles para reducir riesgos.
- Documentación del riesgo residual y responsable.
4. Declaración de aplicabilidad (SoA)
Esta declaración acredita el compromiso y la aplicación real de los requisitos de la norma ISO/IEC 27001:2022 mediante una declaración responsable de la organización.
Se han seleccionado y aplicado controles del anexo A de la norma ISO/IEC 27001 según la evaluación de riesgos. Incluyendo:
- A.5: Polítiques de seguretat
- A.6: Organització de la seguretat
- A.8: Gestió d’actius
- A.9: Control d’accés
- A.12: Seguretat operativa
- A.13: Seguretat de les comunicacions
- A.15: Relacions amb proveïdors
- A.16: Gestió d’incidents de seguretat
- A.17: Continuïtat del negoci
5. Objetivos de seguridad
- Evitar fugas de datos de los servicios web alojados
- Asegurar la autenticación y acceso legítimo a sistemas
- Garantizar copias de seguridad íntegras y disponibles
- Asegurar el cumplimiento del RGPD
6. Registros clave
- Registro de activos y responsabilidades
- Registro de formación en seguridad
- Incidentes de seguridad
- Auditorías internas y revisiones por la dirección
7. Procedimientos específicos
Gestión de incidentes de seguridad
Todos los incidentes deben ser reportados inmediatamente al responsable del SGSI. Se documentarán en el registro de incidentes y se realizará un análisis para identificar causas, impacto y acciones correctivas.
Control de accesos
- Acceso limitado según roles y necesidades
- Autenticación fuerte: claves complejas y 2FA
- Revisión periódica de los permisos
Política de copias de seguridad
- Copias de seguridad automáticas diarias y semanales
- Replicación en múltiples Centros de Datos (ubicaciones físicas independientes)
- Pruebas de restauración regulares
Política de uso aceptable
Los usuarios y técnicos solo pueden utilizar los recursos de Intergrid para fines autorizados. Cualquier uso abusivo, ilegal o que comprometa la seguridad será objeto de sanción.
Gestión de terceros y proveedores
- Acuerdos de confidencialidad con colaboradores
- Control del acceso de los proveedores a sistemas internos
- Revisión periódica de los servicios subcontratados
Continuidad del negocio
- Backups georredundantes y monitoreo constante
- Procedimientos de recuperación ante desastres
- Asignación de roles clave en situaciones de crisis
Auditorías y mejora continua
- Auditorías internas periódicas del SGSI
- Revisión de políticas y procedimientos
- Registro de acciones correctivas y de mejora
Gestión de dispositivos y equipos
- Inventario actualizado de equipos y dispositivos
- Política de bloqueo de pantalla y cifrado de disco
- Limitación del uso de dispositivos externos (USB, etc.)
Seguridad del correo electrónico
- Filtrado de correos sospechosos (spam, phishing)
- Configuración de SPF, DKIM y DMARC
- Restricciones de envío y revisión de campañas
Clasificación y manejo de la información
- Etiquetado según sensibilidad (confidencial, interna...)
- Restricciones de distribución según clasificación
- Destrucción segura de la información obsoleta
Formación y sensibilización
- Sesiones periódicas de formación en seguridad
- Campañas de concienciación para todo el personal
- Pruebas puntuales de simulación de phishing
Gestión de registros y evidencias
- Conservación de registros durante el período establecido por la normativa
- Control de acceso a los registros confidenciales
- Integridad y disponibilidad garantizada mediante sistemas redundantes
Políticas específicas para proyectos y clientes
- Asignación de responsables de seguridad por proyecto
- Controles de privacidad y compartición limitados según contratos
- Validación de seguridad antes del despliegue de servicios a clientes
Esta documentación es básica y extensible según la evolución del SGSI. Se recomienda revisarla al menos anualmente o después de incidentes significativos.
Análisis de riesgos (SGSI - ISO 27001)
Empresa: Intergrid (Opengea SCCL)
Fecha: 15-10-2024
Alcance: Serveis de hosting (cloud, dedicat, VPS), dominis i aplicacions web.
| ⚠️ Actiu | Amenaça | Vulnerabilitat | Impacte | Probabilitat | Nivell de risc | Mesures aplicades | Risc residual | Responsable |
|---|---|---|---|---|---|---|---|---|
| Acceso a servidores | Acceso no autorizado | Puertos abiertos / acceso no controlado | Alto | Nula | Nula | Filtrado IP, clave SSH, 2FA, fail2ban | Muy bajo | Técnico sistemas |
| Bases de datos | Fuga de información | SQL no parametrizadas | Alto | Baixa | Bajo | ORM, control de acceso, auditoría | Muy bajo | Desarrollador backend |
| Panel de control | Caída de servicio | Ataque DDoS | Medio | Media | Medio | Cloudflare, limitación de conexiones | Bajo | DevOps |
| Copias de seguridad | Pérdida de datos | Copias no replicadas | Alto | Media | Alto | Copias de seguridad redundantes en múltiples ubicaciones | Bajo | Técnico sistemas |
| Servicio e-commerce | Modificación fraudulenta | Registros inexistentes | Alto | Media | Alto | Monitoreo activo, alertas, auditoría | Medio | Desarrollador web |
| DNS y dominios | Manipulación de registros | Clave API expuesta | Alto | Baixa | Medio | Regeneración de claves y control de acceso | Bajo | Admin dominio |
| Web de usuario | Suplantación de identidad | Autenticación débil | Alto | Media | Alto | 2FA, limitación de intentos, captchas | Bajo | Desarrollador frontend |
| Correo electrónico | Spam / phishing | Validación de contenido débil | Alto | Media | Alto | SPF, DKIM, DMARC, Spamassassin, revisión de logs | Bajo | Correu |
| Acceso remoto del personal | Acceso indebido | VPN sin MFA | Medio | Media | Medio | VPN con MFA, restringido por IP | Bajo | Técnico sistemas |
| Aplicaciones internas | Ejecución de código no autorizado | Ausencia de control de versiones | Alto | Baixa | Medio | Control de versiones, despliegue supervisado | Bajo | DevOps |
| Pagos | Acceso o manipulación de datos de pago | Delegación a terceros sin control suficiente | Alto | Baixa | Medio | Uso de Stripe como plataforma cumplidora de PCI-DSS; no se almacenan datos sensibles localmente. | Bajo | Responsable legal / técnico web |
| Software de terceros | Ejecución de código malicioso | Falta de actualizaciones | Alto | Media | Alto | Actualizaciones periódicas, control de vulnerabilidades (CVE) | Medio | DevOps |
| Errores humanos | Borrado accidental | Falta de formación / permisos incorrectos | Medio | Media | Medio | Formación, revisiones, permisos limitados | Bajo | Todos los empleados |
| Configuraciones críticas | Inyección de configuración maliciosa | No hay validación automática | Alto | Baixa | Medio | Auditorías de configuración, pruebas automáticas | Bajo | DevOps |
| Control de versiones | Introducción de código inseguro | Falta de revisión de cambios o pruebas | Alto | Media | Alto | Revisión por pares, integración continua, pruebas automatizadas | Medio | DevOps |
| Portales de administración | Acceso ilícito | Interfaz expuesta públicamente | Alto | Baixa | Medio | Acceso IP-restringido, 2FA, registros de acceso | Bajo | Infraestructura |
| Actualizaciones del sistema | Explotación de vulnerabilidades conocidas | Retraso en la aplicación de parches | Alto | Baixa | Medio | Actualizaciones periódicas, escáneres de vulnerabilidades | Bajo | Técnico sistemas |
| Desarrollo a medida | Fugas de datos sensibles | Falta de validación de entradas y sanidad | Alto | Media | Alto | Aplicación de guías OWASP, formación a desarrolladores | Bajo | Desarrollador backend |
| Proveedores externos | Dependencia crítica | Falta de contratos o acuerdos SLAs | Medio | Media | Medio | Acuerdos de nivel de servicio (SLA), análisis de continuidad | Medio | Dirección |
| Registros de seguridad | Omisión de pruebas en caso de incidente | Rotación o borrado prematuro | Medio | Media | Medio | Retención segura y controlada, acceso restringido, SIEM | Bajo | Técnico sistemas |
| Identidades digitales | Suplantación de usuarios | Falta de gestión del ciclo de vida de las cuentas | Alto | Baixa | Medio | Abastecimiento y desactivación automatizados, revisión periódica | Bajo | Responsable SGSI |
| Contratación de personal | Incumplimiento de confidencialidad | Ausencia de NDA o formación previa | Medio | Baixa | Bajo | Cláusulas NDA, formación de bienvenida, control de acceso inicial | Muy bajo | Dirección |
| Servidor DNS público | Redirección maliciosa | Configuración incorrecta de zonas o registros | Alto | Baixa | Medio | Revisión periódica de zonas, acceso restringido, registro de cambios | Bajo | Admin dominio |
| Sesiones de usuario | Persistencia indebida | No expiración automática | Medio | Alta | Alto | Expiración automática, cierre de sesión inactiva | Bajo | Desarrollador web |
| Actualizaciones de sistemas | Explotación de vulnerabilidades conocidas | Actualizaciones pospuestas o incompletas | Alto | Media | Alto | Gestión centralizada de actualizaciones, pruebas antes de desplegar | Medio | DevOps |
| Interfaces API | Acceso no autorizado a datos | Falta de control de autenticación o cuotas | Alto | Media | Alto | Tokens con expiración, limitación por IP y autenticación fuerte | Bajo | Desarrollador backend |
| Entornos de preproducción | Exposición de datos reales | Base de datos replicada con datos sensibles | Alto | Baixa | Medio | Anónimos, entornos separados, restricciones de acceso | Bajo | DevOps |
| Soporte técnico remoto | Filtración de información confidencial | Sesiones no registradas ni monitorizadas | Medio | Baixa | Medio | Canales seguros, registro de actividad, limitación de acceso temporal | Bajo | Servicio de asistencia |
| Gestión documental | Acceso indebido a documentos internos | Archivos compartidos sin control | Medio | Alta | Alto | Plataforma con permisos granulares, revisión de comparticiones | Bajo | Responsable SGSI |
Política de seguridad de la información (SGSI)
Empresa: Intergrid (Opengea SCCL)
Fecha de aprobación: 15-10-2024
Aprobada por: Direcció Tècnica
- Objetivo: Garantir la confidencialidad, integridad y disponibilidad de la informació, dades de clients i sistemes.
- Alcance: Tota la infraestructura de hosting i aplicacions desenvolupades o allotjades per Intergrid.
- Compromiso: Aplicació del marc ISO/IEC 27001.
- Responsabilidad: Compliment per tot el personal.
- Medidas clave:
- Control d'accés per rol i 2FA
- Copias de seguridad segregadas
- Monitoreo de incidencias
- Evaluación de riesgos anual
- Formación y sensibilización
- Revisión: Anual.
Declaración de aplicabilidad (SoA) - ISO 27001
Fecha: 15-10-2024
Responsable del SGSI: Jordi Berenguer / Director tècnic
| Control (Annex A) | Títol | Aplicable? | Estat | Comentaris |
|---|---|---|---|---|
| A.5.1 | Política de seguridad | Sí | Implantado | Publicada y revisada |
| A.5.11 | Uso de datos | Sí | Implantado | Bajas de clientes |
| A.6.1 | Organización seguridad | Sí | Implantado | Roles definidos |
| A.6.3 | Trabajo remoto | Sí | Implantado | VPN y portátiles cifrados |
| A.7.1 | Copias de seguridad | Sí | Implantado | Copias de seguridad redundantes |
| A.8.1 | Control de acceso | Sí | Implantado | ACLs y autenticación fuerte |
| A.8.16 | Supervisión de actividades | Sí | Parcial | En despliegue |
| A.12.1 | Seguridad aplicaciones | Sí | Implantado | OWASP, revisión de código |
| A.14.1 | Comunicaciones seguras | Sí | Implantado | HTTPS, SFTP |
| A.18.2 | Auditoría interna SGSI | Sí | Planificado | Q4 2025 |
Versión: 4.8 — Última revisión: 15-10-2024
