1. Scope of the ISMS
L’abast del sistema de gestió de seguretat de la informació (SGSI) cobreix tots els serveis prestats per Intergrid (Opengea SCCL), incloent:
- Cloud Hosting, Dedicated Hosting and VPS.
- Registre i gestió de dominis.
- Aplicacions web al núvol.
- Infraestructura física allotjada a Centres de Dades avançats d\'Alemanya, Finlandia, Estats Units i Singapur, i gestionada íntegrament per Intergrid desde Barcelona.
2. Política de seguretat de la informació
Intergrid es compromet a protegir la confidencialitat, integritat i disponibilitat de la informació pròpia i dels seus clients, mitjançant controls tècnics i organitzatius adequats, avaluació contínua dels riscos i millora contínua del SGSI.
3. Metodologia d\'anàlisi i tractament de riscos
- Identificació d’actius, amenaces i vulnerabilitats.
- Avaluació d’impacte i probabilitat (Alt, Mitjà, Baix, Nul).
- Assignació de mesures i controls per reduir riscos.
- Documentació del risc residual i responsable.
4. Declaració d’aplicabilitat (SoA)
Aquesta declaració acredita el compromís i l\'aplicació real dels requisits de la norma ISO/IEC 27001:2022 mitjançant una declaració responsable de l\'organització.
S’han seleccionat i aplicat controls de l’annex A de la norma ISO/IEC 27001 segons l’avaluació de riscos. Incloent:
- A.5: Polítiques de seguretat
- A.6: Organització de la seguretat
- A.8: Gestió d’actius
- A.9: Control d’accés
- A.12: Seguretat operativa
- A.13: Seguretat de les comunicacions
- A.15: Relacions amb proveïdors
- A.16: Gestió d’incidents de seguretat
- A.17: Continuïtat del negoci
5. Security Objectives
- Prevent data leaks from hosted web services
- Assegurar l’autenticació i accés legítim a sistemes
- Garantir backups íntegres i disponibles
- Ensure compliance with the GDPR
6. Key Records
- Registre d’actius i responsabilitats
- Registre de formació en seguretat
- Security incidents
- Auditories internes i revisions per la direcció
7. Procediments específics
Gestió d’incidents de seguretat
Tots els incidents s’han de reportar immediatament al responsable del SGSI. Es documentaran en el registre d’incidents i es realitzarà una anàlisi per identificar causes, impacte i accions correctives.
Control d’accessos
- Accés limitat segons rols i necessitats
- Autenticació forta: claus complexes i 2FA
- Revisió periòdica dels permisos
Política de còpies de seguretat
- Backups automàtics diaris i setmanals
- Replicació en múltiples Centres de Dades (ubicacions físiques independents)
- Proves de restauració regulars
Política d’ús acceptable
Els usuaris i tècnics només poden utilitzar els recursos d’Intergrid per a finalitats autoritzades. Qualsevol ús abusiu, il·legal o que comprometi la seguretat serà objecte de sanció.
Gestió de tercers i proveïdors
- Acords de confidencialitat amb col·laboradors
- Control de l’accés dels proveïdors a sistemes interns
- Revisió periòdica dels serveis subcontractats
Continuïtat del negoci
- Georedundant backups and constant monitoring
- Procediments de recuperació davant desastres
- Assignació de rols clau en situacions de crisi
Auditories i millora contínua
- Auditories internes periòdiques del SGSI
- Revisió de polítiques i procediments
- Registre d’accions correctives i de millora
Gestió de dispositius i equips
- Inventari actualitzat d’equips i dispositius
- Política de bloqueig de pantalla i xifratge de disc
- Limitació de l’ús de dispositius externs (USB, etc.)
Seguretat del correu electrònic
- Filtering of suspicious emails (spam, phishing)
- Configuració de SPF, DKIM i DMARC
- Restriccions d’enviament i revisió de campanyes
Classificació i maneig de la informació
- Labeling according to sensitivity (confidential, internal...)
- Restriccions de distribució segons classificació
- Destrucció segura de la informació obsoleta
Formació i sensibilització
- Sessions periòdiques de formació en seguretat
- Campanyes de conscienciació per a tot el personal
- Proves puntuals de simulació de phishing
Gestió de registres i evidències
- Conservació de registres durant el període establert per la normativa
- Control d\'accés als registres confidencials
- Integritat i disponibilitat garantida mitjançant sistemes redundants
Polítiques específiques per a projectes i clients
- Assignació de responsables de seguretat per projecte
- Controls de privacitat i compartició limitats segons contractes
- Validació de seguretat abans del desplegament de serveis a clients
Aquesta documentació és bàsica i extensible segons l’evolució del SGSI. Es recomana revisar-la com a mínim anualment o després d’incidents significatius.
Anàlisi de riscos (SGSI - ISO 27001)
Empresa: Intergrid (Opengea SCCL)
Translation: \"Date:\" 15-10-2024
Scope: Serveis de hosting (cloud, dedicat, VPS), dominis i aplicacions web.
| ⚠️ Actiu | Amenaça | Vulnerabilitat | Impacte | Probabilitat | Nivell de risc | Mesures aplicades | Risc residual | Responsable |
|---|---|---|---|---|---|---|---|---|
| Accés a servidors | Accés no autoritzat | Ports oberts / accés no controlat | High | Null | Null | IP filtering, SSH key, 2FA, fail2ban | Very low | Tècnic sistemes |
| Databases | Fuita d\'informació | Unparameterized SQL | High | Baixa | Low | ORM, control d\'accés, auditoria | Very low | Backend Developer |
| Control Panel | Service outage | DDoS Attack | Mitjà | Average | Mitjà | Cloudflare, limitació de connexions | Low | DevOps |
| Backups | Pèrdua de dades | Còpies no replicades | High | Average | High | Backups redundants en múltiples ubicacions | Low | Tècnic sistemes |
| E-commerce service | Modificació fraudulenta | Nonexistent logs | High | Average | High | Active monitoring, alerts, auditing | Mitjà | Web development |
| DNS and domains | Manipulació de registres | Exposed API Key | High | Baixa | Mitjà | Regeneració de claus i control d\'accés | Low | Domain Admin |
| Web d\'usuari | Suplantació d\'identitat | Autenticació dèbil | High | Average | High | 2FA, limitació intents, captchas | Low | Frontend Developer |
| Correu electrònic | Spam / phishing | Validació de contingut dèbil | High | Average | High | SPF, DKIM, DMARC, Spamassassin, revisió de logs | Low | Correu |
| Accés remot del personal | Accés indegut | VPN without MFA | Mitjà | Average | Mitjà | VPN with MFA, restricted by IP | Low | Tècnic sistemes |
| Internal Applications | Execució de codi no autoritzat | Absència de control de versions | High | Baixa | Mitjà | Version control, supervised deployment | Low | DevOps |
| Payments | Accés o manipulació de dades de pagament | Delegació a tercers sense control suficient | High | Baixa | Mitjà | Ús de Stripe com a plataforma PCI-DSS compliant; no s’emmagatzemen dades sensibles localment | Low | Responsable legal / tècnic web |
| Third-party software | Execució de codi maliciós | Lack of updates | High | Average | High | Actualitzacions periòdiques, control de vulnerabilitats (CVE) | Mitjà | DevOps |
| Human errors | Accidental deletion | Manca de formació / permisos incorrectes | Mitjà | Average | Mitjà | Formació, revisions, permisos limitats | Low | All employees |
| Configuracions crítiques | Injecció de configuració maliciosa | No hi ha validació automàtica | High | Baixa | Mitjà | Auditories de configuració, proves automàtiques | Low | DevOps |
| Version control | Introducció de codi insegur | Manca de revisió de canvis o tests | High | Average | High | Revisió per parells, integració contínua, tests automatitzats | Mitjà | DevOps |
| Portals d\'administració | Accés il·lícit | Interfície exposada públicament | High | Baixa | Mitjà | Accés IP-restringit, 2FA, logs d\'accés | Low | Infrastructure |
| System updates | Explotació de vulnerabilitats conegudes | Endarreriment en aplicació de parches | High | Baixa | Mitjà | Actualitzacions periòdiques, escàners de vulnerabilitats | Low | Tècnic sistemes |
| Custom Development | Leaks of sensitive data | Manca de validació d\'entrades i sanitat | High | Average | High | Aplicació de guies OWASP, formació a desenvolupadors | Low | Backend Developer |
| Proveïdors externs | Dependència crítica | Lack of SLA contracts or agreements | Mitjà | Average | Mitjà | Acords de nivell de servei (SLA), anàlisi de continuïtat | Mitjà | Direcció |
| Security logs | Omissió de proves en cas d’incident | Rotació o esborrat prematur | Mitjà | Average | Mitjà | Retenció segura i controlada, accés restringit, SIEM | Low | Tècnic sistemes |
| Digital identities | Suplantació d’usuaris | Manca de gestió del cicle de vida dels comptes | High | Baixa | Mitjà | Provisionament i desactivació automatitzats, revisió periòdica | Low | ISMS Manager |
| Contractació de personal | Breach of confidentiality | Absència de NDA o formació prèvia | Mitjà | Baixa | Low | Clàusules NDA, formació de benvinguda, control d’accés inicial | Very low | Direcció |
| Servidor DNS públic | Redirecció maliciosa | Configuració incorrecta de zones o registres | High | Baixa | Mitjà | Revisió periòdica de zones, accés restringit, registre de canvis | Low | Domain Admin |
| Sessions d’usuari | Persistència indeguda | No expiració automàtica | Mitjà | Alta | High | Expiració automàtica, tancament de sessió inactiva | Low | Web development |
| System updates | Explotació de vulnerabilitats conegudes | Postponed or incomplete updates | High | Average | High | Gestió centralitzada d’actualitzacions, proves abans de desplegar | Mitjà | DevOps |
| Interfícies API | Accés no autoritzat a dades | Manca de control d’autenticació o quotes | High | Average | High | Tokens amb expiració, limitació per IP i autenticació forta | Low | Backend Developer |
| Entorns de preproducció | Exposició de dades reals | Replicated database with sensitive data | High | Baixa | Mitjà | Anònims, entorns separats, restriccions d’accés | Low | DevOps |
| Suport tècnic remot | Filtració d’informació confidencial | Sessions not registered or monitored | Mitjà | Baixa | Mitjà | Canals segurs, registre d’activitat, limitació d’accés temporal | Low | Helpdesk |
| Gestió documental | Accés indegut a documents interns | Uncontrolled shared files | Mitjà | Alta | High | Plataforma amb permisos granulars, revisió de comparticions | Low | ISMS Manager |
Política de seguretat de la informació (SGSI)
Empresa: Intergrid (Opengea SCCL)
Data d\'aprovació: 15-10-2024
Approved by: Direcció Tècnica
- Objective: Garantir la Confidentiality, integrity and availability de la informació, dades de clients i sistemes.
- Scope: Tota la infraestructura de hosting i aplicacions desenvolupades o allotjades per Intergrid.
- Compromís: Aplicació del marc ISO/IEC 27001.
- Responsibility: Compliment per tot el personal.
- Key measures:
- Control d'accés per rol i 2FA
- Còpies de seguretat segregades
- Monitoratge d\'incidències
- Avaluació de riscos anual
- Formació i sensibilització
- Revisió: Anual.
Declaració d\'aplicabilitat (SoA) – ISO 27001
Translation: \"Date:\" 15-10-2024
Responsible for the ISMS: Jordi Berenguer / Director tècnic
| Control (Annex A) | Títol | Aplicable? | Estat | Comentaris |
|---|---|---|---|---|
| A.5.1 | Política de seguretat | Sí | Implanted | Published and reviewed |
| A.5.11 | Úsil de dades | Sí | Implanted | Client dropouts |
| A.6.1 | Organització seguretat | Sí | Implanted | Defined roles |
| A.6.3 | Remote work | Sí | Implanted | VPN i portàtils xifrats |
| A.7.1 | Scheduled backups | Sí | Implanted | Redundant backups |
| A.8.1 | Control d\'accés | Sí | Implanted | ACLs i autenticació forta |
| A.8.16 | Supervisió d\'activitats | Sí | Partial | In deployment |
| A.12.1 | Security applications | Sí | Implanted | OWASP, revisió de codi |
| A.14.1 | Secure communications | Sí | Implanted | HTTPS, SFTP |
| A.18.2 | Internal Audit ISMS | Sí | Planned | Q4 2025 |
Versió: 4.8 — Última revisió: 15-10-2024
