Documentació SGSI
Aplicació de la norma ISO/IEC 27001
Empresa: Intergrid (Opengea SCCL)
Data: 15-10-2024
Abast: Tots els serveis de hosting, dominis i aplicacions web al núvol
1. Alcance del SGSI
El alcance del sistema de gestión de seguridad de la información (SGSI) cubre todos los servicios prestados por Intergrid (Opengea SCCL), incluyendo:
- Hosting en la Nube, Hosting Dedicado y VPS.
- Registro y gestión de dominios.
- Aplicaciones web en la nube.
- Infraestructura física alojada en Centros de Datos avanzados de Alemania, Finlandia, Estados Unidos y Singapur, y gestionada íntegramente por Intergrid desde Barcelona.
2. Política de seguridad de la información
Intergrid se compromete a proteger la confidencialidad, integridad y disponibilidad de la información propia y de sus clientes, mediante controles técnicos y organizativos adecuados, evaluación continua de los riesgos y mejora continua del SGSI.
3. Metodología de análisis y tratamiento de riesgos
- Identificación de activos, amenazas y vulnerabilidades.
- Evaluación de impacto y probabilidad (Alto, Medio, Bajo, Nulo).
- Asignación de medidas y controles para reducir riesgos.
- Documentación del riesgo residual y responsable.
4. Declaración de aplicabilidad (SoA)
Esta declaración acredita el compromiso y la aplicación real de los requisitos de la norma ISO/IEC 27001:2022 mediante una declaración responsable de la organización.
Se han seleccionado y aplicado controles del anexo A de la norma ISO/IEC 27001 según la evaluación de riesgos. Incluyendo:
- A.5: Polítiques de seguretat
- A.6: Organització de la seguretat
- A.8: Gestió d'actius
- A.9: Control d'accés
- A.12: Seguretat operativa
- A.13: Seguretat de les comunicacions
- A.15: Relacions amb proveïdors
- A.16: Gestió d'incidents de seguretat
- A.17: Continuïtat del negoci
5. Objetivos de seguridad
- Evitar fugas de datos de los servicios web alojados
- Asegurar la autenticación y acceso legítimo a sistemas
- Garantizar copias de seguridad íntegras y disponibles
- Asegurar el cumplimiento del RGPD
6. Registros clave
- Registro de activos y responsabilidades
- Registro de formación en seguridad
- Incidentes de seguridad
- Auditorías internas y revisiones por la dirección
7. Procedimientos específicos
Gestión de incidentes de seguridad
Todos los incidentes deben ser reportados inmediatamente al responsable del SGSI. Se documentarán en el registro de incidentes y se realizará un análisis para identificar causas, impacto y acciones correctivas.
Control de accesos
- Acceso limitado según roles y necesidades
- Autenticación fuerte: claves complejas y 2FA
- Revisión periódica de los permisos
Política de copias de seguridad
- Copias de seguridad automáticas diarias y semanales
- Replicación en múltiples Centros de Datos (ubicaciones físicas independientes)
- Pruebas de restauración regulares
Política de uso aceptable
Los usuarios y técnicos solo pueden utilizar los recursos de Intergrid para fines autorizados. Cualquier uso abusivo, ilegal o que comprometa la seguridad será objeto de sanción.
Gestión de terceros y proveedores
- Acuerdos de confidencialidad con colaboradores
- Control del acceso de los proveedores a sistemas internos
- Revisión periódica de los servicios subcontratados
Continuidad del negocio
- Backups georredundantes y monitoreo constante
- Procedimientos de recuperación ante desastres
- Asignación de roles clave en situaciones de crisis
Auditorías y mejora continua
- Auditorías internas periódicas del SGSI
- Revisión de políticas y procedimientos
- Registro de acciones correctivas y de mejora
Gestión de dispositivos y equipos
- Inventario actualizado de equipos y dispositivos
- Política de bloqueo de pantalla y cifrado de disco
- Limitación del uso de dispositivos externos (USB, etc.)
Seguridad del correo electrónico
- Filtrado de correos sospechosos (spam, phishing)
- Configuración de SPF, DKIM y DMARC
- Restricciones de envío y revisión de campañas
Clasificación y manejo de la información
- Etiquetado según sensibilidad (confidencial, interna...)
- Restricciones de distribución según clasificación
- Destrucción segura de la información obsoleta
Formación y sensibilización
- Sesiones periódicas de formación en seguridad
- Campañas de concienciación para todo el personal
- Pruebas puntuales de simulación de phishing
Gestión de registros y evidencias
- Conservación de registros durante el período establecido por la normativa
- Control de acceso a los registros confidenciales
- Integridad y disponibilidad garantizada mediante sistemas redundantes
Políticas específicas para proyectos y clientes
- Asignación de responsables de seguridad por proyecto
- Controles de privacidad y compartición limitados según contratos
- Validación de seguridad antes del despliegue de servicios a clientes
Esta documentación es básica y extensible según la evolución del SGSI. Se recomienda revisarla al menos anualmente o después de incidentes significativos.
Medidas de seguridad (SGSI - ISO 27001)
Empresa: Intergrid (Opengea SCCL)
Fecha: 15-10-2024
Alcance: Serveis de hosting (cloud, dedicat, VPS), dominis i aplicacions web.
| ⚠️ Activo | Riesgo | Medidas aplicadas |
|---|---|---|
| Acceso a servidores | Acceso no autorizado | Filtrado IP, clave SSH, 2FA, fail2ban |
| Bases de datos | Fuga de información | ORM, control de acceso, auditoría |
| Panel de control | Caída de servicio | Cloudflare, limitación de conexiones |
| Copias de seguridad | Pérdida de datos | Copias de seguridad redundantes en múltiples ubicaciones |
| Servicio e-commerce | Modificación fraudulenta | Monitoreo activo, alertas, auditoría |
| DNS y dominios | Manipulación de registros | Regeneración de claves y control de acceso |
| Web d\'usuari | Suplantación de identidad | 2FA, limitación de intentos, captchas |
| Correo electrónico | Spam / phishing | SPF, DKIM, DMARC, Spamassassin, revisión de logs |
| Acceso remoto del personal | Acceso indebido | VPN con MFA, restringido por IP |
| Aplicaciones internas | Ejecución de código no autorizado | Control de versiones, despliegue supervisado |
| Pagos | Acceso o manipulación de datos de pago | Ús de Stripe com a plataforma PCI-DSS compliant; no s’emmagatzemen dades sensibles localment |
| Software de terceros | Ejecución de código malicioso | Actualizaciones periódicas, control de vulnerabilidades (CVE) |
| Errores humanos | Borrado accidental | Formación, revisiones, permisos limitados |
| Configuraciones críticas | Inyección de configuración maliciosa | Auditorías de configuración, pruebas automáticas |
| Control de versiones | Introducción de código inseguro | Revisión por pares, integración continua, pruebas automatizadas |
| Portales de administración | Acceso ilícito | Acceso IP-restringido, 2FA, registros de acceso |
| Actualizaciones del sistema | Explotación de vulnerabilidades conocidas | Actualizaciones periódicas, escáneres de vulnerabilidades |
| Desarrollo a medida | Fugas de datos sensibles | Aplicación de guías OWASP, formación a desarrolladores |
| Proveedores externos | Dependencia crítica | Acuerdos de nivel de servicio (SLA), análisis de continuidad |
| Registros de seguridad | Omissió de proves en cas d’incident | Retención segura y controlada, acceso restringido, SIEM |
| Identidades digitales | Suplantació d’usuaris | Abastecimiento y desactivación automatizados, revisión periódica |
| Contratación de personal | Incumplimiento de confidencialidad | Clàusules NDA, formació de benvinguda, control d’accés inicial |
| Servidor DNS público | Redirección maliciosa | Revisión periódica de zonas, acceso restringido, registro de cambios |
| Sessions d’usuari | Persistencia indebida | Expiración automática, cierre de sesión inactiva |
| Actualizaciones de sistemas | Explotación de vulnerabilidades conocidas | Gestió centralitzada d’actualitzacions, proves abans de desplegar |
| Interfaces API | Acceso no autorizado a datos | Tokens con expiración, limitación por IP y autenticación fuerte |
| Entornos de preproducción | Exposición de datos reales | Anònims, entorns separats, restriccions d’accés |
| Soporte técnico remoto | Filtració d’informació confidencial | Canals segurs, registre d’activitat, limitació d’accés temporal |
| Gestión documental | Acceso indebido a documentos internos | Plataforma con permisos granulares, revisión de comparticiones |
Política de seguridad de la información (SGSI)
Empresa: Intergrid (Opengea SCCL)
Fecha de aprobación: 15-10-2024
Aprobada por: Direcció Tècnica
- Objetivo: Garantir la confidencialidad, integridad y disponibilidad de la informació, dades de clients i sistemes.
- Alcance: Tota la infraestructura de hosting i aplicacions desenvolupades o allotjades per Intergrid.
- Compromiso: Aplicació del marc ISO/IEC 27001.
- Responsabilidad: Compliment per tot el personal.
- Medidas clave:
- Control d'accés per rol i 2FA
- Copias de seguridad segregadas
- Monitoreo de incidencias
- Evaluación de riesgos anual
- Formación y sensibilización
- Revisión: Anual.
Declaración de aplicabilidad (SoA) - ISO 27001
Fecha: 15-10-2024
Responsable del SGSI: Director tècnic
| Control (Anexo A) | Título | ¿Aplicable? |
|---|---|---|
| A.5.1 | Política de seguridad | Implantado |
| A.5.11 | Uso de datos | Implantado |
| A.6.1 | Organización seguridad | Implantado |
| A.6.3 | Trabajo remoto | Implantado |
| A.7.1 | Copias de seguridad | Implantado |
| A.8.1 | Control de acceso | Implantado |
| A.8.16 | Supervisión de actividades | Parcial |
| A.12.1 | Seguridad aplicaciones | Implantado |
| A.14.1 | Comunicaciones seguras | Implantado |
| A.18.2 | Auditoría interna SGSI | Planificado |
Versión: 4.8 — Última revisión: 15-10-2024
