Documentació SGSI
Aplicació de la norma ISO/IEC 27001
Empresa: Intergrid (Opengea SCCL)
Data: 15-10-2024
Abast: Tots els serveis de hosting, dominis i aplicacions web al núvol
1. Abast del SGSI
L'abast del sistema de gestió de seguretat de la informació (SGSI) cobreix tots els serveis prestats per Intergrid (Opengea SCCL), incloent:
- Hosting Cloud, Hosting Dedicat i VPS.
- Registre i gestió de dominis.
- Aplicacions web al núvol.
- Infraestructura física allotjada a Centres de Dades avançats d\'Alemanya, Finlandia, Estats Units i Singapur, i gestionada íntegrament per Intergrid desde Barcelona.
2. Política de seguretat de la informació
Intergrid es compromet a protegir la confidencialitat, integritat i disponibilitat de la informació pròpia i dels seus clients, mitjançant controls tècnics i organitzatius adequats, avaluació contínua dels riscos i millora contínua del SGSI.
3. Metodologia d\'anàlisi i tractament de riscos
- Identificació d'actius, amenaces i vulnerabilitats.
- Avaluació d'impacte i probabilitat (Alt, Mitjà, Baix, Nul).
- Assignació de mesures i controls per reduir riscos.
- Documentació del risc residual i responsable.
4. Declaració d'aplicabilitat (SoA)
Aquesta declaració acredita el compromís i l\'aplicació real dels requisits de la norma ISO/IEC 27001:2022 mitjançant una declaració responsable de l\'organització.
S'han seleccionat i aplicat controls de l'annex A de la norma ISO/IEC 27001 segons l'avaluació de riscos. Incloent:
- A.5: Polítiques de seguretat
- A.6: Organització de la seguretat
- A.8: Gestió d'actius
- A.9: Control d'accés
- A.12: Seguretat operativa
- A.13: Seguretat de les comunicacions
- A.15: Relacions amb proveïdors
- A.16: Gestió d'incidents de seguretat
- A.17: Continuïtat del negoci
5. Objectius de seguretat
- Evitar fuites de dades dels serveis web allotjats
- Assegurar l'autenticació i accés legítim a sistemes
- Garantir backups íntegres i disponibles
- Assegurar el compliment del RGPD
6. Registres clau
- Registre d'actius i responsabilitats
- Registre de formació en seguretat
- Incidents de seguretat
- Auditories internes i revisions per la direcció
7. Procediments específics
Gestió d'incidents de seguretat
Tots els incidents s'han de reportar immediatament al responsable del SGSI. Es documentaran en el registre d'incidents i es realitzarà una anàlisi per identificar causes, impacte i accions correctives.
Control d'accessos
- Accés limitat segons rols i necessitats
- Autenticació forta: claus complexes i 2FA
- Revisió periòdica dels permisos
Política de còpies de seguretat
- Backups automàtics diaris i setmanals
- Replicació en múltiples Centres de Dades (ubicacions físiques independents)
- Proves de restauració regulars
Política d'ús acceptable
Els usuaris i tècnics només poden utilitzar els recursos d'Intergrid per a finalitats autoritzades. Qualsevol ús abusiu, il·legal o que comprometi la seguretat serà objecte de sanció.
Gestió de tercers i proveïdors
- Acords de confidencialitat amb col·laboradors
- Control de l'accés dels proveïdors a sistemes interns
- Revisió periòdica dels serveis subcontractats
Continuïtat del negoci
- Backups georedundants i monitoratge constant
- Procediments de recuperació davant desastres
- Assignació de rols clau en situacions de crisi
Auditories i millora contínua
- Auditories internes periòdiques del SGSI
- Revisió de polítiques i procediments
- Registre d'accions correctives i de millora
Gestió de dispositius i equips
- Inventari actualitzat d'equips i dispositius
- Política de bloqueig de pantalla i xifratge de disc
- Limitació de l'ús de dispositius externs (USB, etc.)
Seguretat del correu electrònic
- Filtrat de correus sospitosos (spam, phishing)
- Configuració de SPF, DKIM i DMARC
- Restriccions d'enviament i revisió de campanyes
Classificació i maneig de la informació
- Etiquetatge segons sensibilitat (confidencial, interna...)
- Restriccions de distribució segons classificació
- Destrucció segura de la informació obsoleta
Formació i sensibilització
- Sessions periòdiques de formació en seguretat
- Campanyes de conscienciació per a tot el personal
- Proves puntuals de simulació de phishing
Gestió de registres i evidències
- Conservació de registres durant el període establert per la normativa
- Control d\'accés als registres confidencials
- Integritat i disponibilitat garantida mitjançant sistemes redundants
Polítiques específiques per a projectes i clients
- Assignació de responsables de seguretat per projecte
- Controls de privacitat i compartició limitats segons contractes
- Validació de seguretat abans del desplegament de serveis a clients
Aquesta documentació és bàsica i extensible segons l'evolució del SGSI. Es recomana revisar-la com a mínim anualment o després d'incidents significatius.
Mesures de seguretat (SGSI - ISO 27001)
Empresa: Intergrid (Opengea SCCL)
Data: 15-10-2024
Abast: Serveis de hosting (cloud, dedicat, VPS), dominis i aplicacions web.
| ⚠️ Actiu | Risc | Mesures aplicades |
|---|---|---|
| Accés a servidors | Accés no autoritzat | Filtrat IP, clau SSH, 2FA, fail2ban |
| Bases de dades | Fuita d\'informació | ORM, control d\'accés, auditoria |
| Tauler de control | Caiguda de servei | Cloudflare, limitació de connexions |
| Backups | Pèrdua de dades | Backups redundants en múltiples ubicacions |
| Servei e-commerce | Modificació fraudulenta | Monitoratge actiu, alertes, auditoria |
| DNS i dominis | Manipulació de registres | Regeneració de claus i control d\'accés |
| Web d\'usuari | Suplantació d\'identitat | 2FA, limitació intents, captchas |
| Correu electrònic | Spam / phishing | SPF, DKIM, DMARC, Spamassassin, revisió de logs |
| Accés remot del personal | Accés indegut | VPN amb MFA, restringit per IP |
| Aplicacions internes | Execució de codi no autoritzat | Control de versions, deploy supervisat |
| Pagaments | Accés o manipulació de dades de pagament | Ús de Stripe com a plataforma PCI-DSS compliant; no s’emmagatzemen dades sensibles localment |
| Programari de tercers | Execució de codi maliciós | Actualitzacions periòdiques, control de vulnerabilitats (CVE) |
| Errors humans | Esborrat accidental | Formació, revisions, permisos limitats |
| Configuracions crítiques | Injecció de configuració maliciosa | Auditories de configuració, proves automàtiques |
| Control de versions | Introducció de codi insegur | Revisió per parells, integració contínua, tests automatitzats |
| Portals d\'administració | Accés il·lícit | Accés IP-restringit, 2FA, logs d\'accés |
| Actualitzacions del sistema | Explotació de vulnerabilitats conegudes | Actualitzacions periòdiques, escàners de vulnerabilitats |
| Desenvolupament a mida | Fuites de dades sensibles | Aplicació de guies OWASP, formació a desenvolupadors |
| Proveïdors externs | Dependència crítica | Acords de nivell de servei (SLA), anàlisi de continuïtat |
| Logs de seguretat | Omissió de proves en cas d’incident | Retenció segura i controlada, accés restringit, SIEM |
| Identitats digitals | Suplantació d’usuaris | Provisionament i desactivació automatitzats, revisió periòdica |
| Contractació de personal | Incompliment de confidencialitat | Clàusules NDA, formació de benvinguda, control d’accés inicial |
| Servidor DNS públic | Redirecció maliciosa | Revisió periòdica de zones, accés restringit, registre de canvis |
| Sessions d’usuari | Persistència indeguda | Expiració automàtica, tancament de sessió inactiva |
| Actualitzacions de sistemes | Explotació de vulnerabilitats conegudes | Gestió centralitzada d’actualitzacions, proves abans de desplegar |
| Interfícies API | Accés no autoritzat a dades | Tokens amb expiració, limitació per IP i autenticació forta |
| Entorns de preproducció | Exposició de dades reals | Anònims, entorns separats, restriccions d’accés |
| Suport tècnic remot | Filtració d’informació confidencial | Canals segurs, registre d’activitat, limitació d’accés temporal |
| Gestió documental | Accés indegut a documents interns | Plataforma amb permisos granulars, revisió de comparticions |
Política de seguretat de la informació (SGSI)
Empresa: Intergrid (Opengea SCCL)
Data d\'aprovació: 15-10-2024
Aprovada per: Direcció Tècnica
- Objectiu: Garantir la confidencialitat, integritat i disponibilitat de la informació, dades de clients i sistemes.
- Abast: Tota la infraestructura de hosting i aplicacions desenvolupades o allotjades per Intergrid.
- Compromís: Aplicació del marc ISO/IEC 27001.
- Responsabilitat: Compliment per tot el personal.
- Mesures clau:
- Control d'accés per rol i 2FA
- Còpies de seguretat segregades
- Monitoratge d\'incidències
- Avaluació de riscos anual
- Formació i sensibilització
- Revisió: Anual.
Declaració d\'aplicabilitat (SoA) – ISO 27001
Data: 15-10-2024
Responsable del SGSI: Director tècnic
| Control (Annex A) | Títol | Aplicable? |
|---|---|---|
| A.5.1 | Política de seguretat | Implantat |
| A.5.11 | Úsil de dades | Implantat |
| A.6.1 | Organització seguretat | Implantat |
| A.6.3 | Treball remot | Implantat |
| A.7.1 | Còpies de seguretat | Implantat |
| A.8.1 | Control d\'accés | Implantat |
| A.8.16 | Supervisió d\'activitats | Parcial |
| A.12.1 | Seguretat aplicacions | Implantat |
| A.14.1 | Comunicacions segures | Implantat |
| A.18.2 | Auditoria interna SGSI | Planificat |
Versió: 4.8 — Última revisió: 15-10-2024
