1. SGSIren eremu
L’abast del sistema de gestió de seguretat de la informació (SGSI) cobreix tots els serveis prestats per Intergrid (Opengea SCCL), incloent:
- Cloud Hosting, Dedikatutako Hosting eta VPS.
- Registre i gestió de dominis.
- Aplicacions web al núvol.
- Infraestructura física allotjada a Centres de Dades avançats d\'Alemanya, Finlandia, Estats Units i Singapur, i gestionada íntegrament per Intergrid desde Barcelona.
2. Política de seguretat de la informació
Intergrid es compromet a protegir la confidencialitat, integritat i disponibilitat de la informació pròpia i dels seus clients, mitjançant controls tècnics i organitzatius adequats, avaluació contínua dels riscos i millora contínua del SGSI.
3. Metodologia d\'anàlisi i tractament de riscos
- Identificació d’actius, amenaces i vulnerabilitats.
- Avaluació d’impacte i probabilitat (Alt, Mitjà, Baix, Nul).
- Assignació de mesures i controls per reduir riscos.
- Documentació del risc residual i responsable.
4. Declaració d’aplicabilitat (SoA)
Aquesta declaració acredita el compromís i l\'aplicació real dels requisits de la norma ISO/IEC 27001:2022 mitjançant una declaració responsable de l\'organització.
S’han seleccionat i aplicat controls de l’annex A de la norma ISO/IEC 27001 segons l’avaluació de riscos. Incloent:
- A.5: Polítiques de seguretat
- A.6: Organització de la seguretat
- A.8: Gestió d’actius
- A.9: Control d’accés
- A.12: Seguretat operativa
- A.13: Seguretat de les comunicacions
- A.15: Relacions amb proveïdors
- A.16: Gestió d’incidents de seguretat
- A.17: Continuïtat del negoci
5. Segurtasun helburuak
- Web zerbitzuetan gertatzen diren datu ihesak saihestu
- Assegurar l’autenticació i accés legítim a sistemes
- Garantir backups íntegres i disponibles
- RGPDren betetzea ziurtatu\"
6. Gako erregistroak
- Registre d’actius i responsabilitats
- Registre de formació en seguretat
- Segurtasun gertakariak
- Auditories internes i revisions per la direcció
7. Procediments específics
Gestió d’incidents de seguretat
Tots els incidents s’han de reportar immediatament al responsable del SGSI. Es documentaran en el registre d’incidents i es realitzarà una anàlisi per identificar causes, impacte i accions correctives.
Control d’accessos
- Accés limitat segons rols i necessitats
- Autenticació forta: claus complexes i 2FA
- Revisió periòdica dels permisos
Política de còpies de seguretat
- Backups automàtics diaris i setmanals
- Replicació en múltiples Centres de Dades (ubicacions físiques independents)
- Proves de restauració regulars
Política d’ús acceptable
Els usuaris i tècnics només poden utilitzar els recursos d’Intergrid per a finalitats autoritzades. Qualsevol ús abusiu, il·legal o que comprometi la seguretat serà objecte de sanció.
Gestió de tercers i proveïdors
- Acords de confidencialitat amb col·laboradors
- Control de l’accés dels proveïdors a sistemes interns
- Revisió periòdica dels serveis subcontractats
Continuïtat del negoci
- Georedundanteen babeskopiak eta etengabeko monitorizazioa
- Procediments de recuperació davant desastres
- Assignació de rols clau en situacions de crisi
Auditories i millora contínua
- Auditories internes periòdiques del SGSI
- Revisió de polítiques i procediments
- Registre d’accions correctives i de millora
Gestió de dispositius i equips
- Inventari actualitzat d’equips i dispositius
- Política de bloqueig de pantalla i xifratge de disc
- Limitació de l’ús de dispositius externs (USB, etc.)
Seguretat del correu electrònic
- Suspekozko posta elektronikoen iragazketa (spam, phishing)
- Configuració de SPF, DKIM i DMARC
- Restriccions d’enviament i revisió de campanyes
Classificació i maneig de la informació
- Sensibilitatearen arabera etiketatzea (konfidentziala, barrutikoa...)
- Restriccions de distribució segons classificació
- Destrucció segura de la informació obsoleta
Formació i sensibilització
- Sessions periòdiques de formació en seguretat
- Campanyes de conscienciació per a tot el personal
- Proves puntuals de simulació de phishing
Gestió de registres i evidències
- Conservació de registres durant el període establert per la normativa
- Control d\'accés als registres confidencials
- Integritat i disponibilitat garantida mitjançant sistemes redundants
Polítiques específiques per a projectes i clients
- Assignació de responsables de seguretat per projecte
- Controls de privacitat i compartició limitats segons contractes
- Validació de seguretat abans del desplegament de serveis a clients
Aquesta documentació és bàsica i extensible segons l’evolució del SGSI. Es recomana revisar-la com a mínim anualment o després d’incidents significatius.
Anàlisi de riscos (SGSI - ISO 27001)
Empresa: Intergrid (Opengea SCCL)
Data: 15-10-2024
Erabilera: Serveis de hosting (cloud, dedicat, VPS), dominis i aplicacions web.
| ⚠️ Actiu | Amenaça | Vulnerabilitat | Impacte | Probabilitat | Nivell de risc | Mesures aplicades | Risc residual | Responsable |
|---|---|---|---|---|---|---|---|---|
| Accés a servidors | Accés no autoritzat | Ports oberts / accés no controlat | Alto | Baliogabea | Baliogabea | IP iragazketa, SSH gakoa, 2FA, fail2ban | Oso baxua | Tècnic sistemes |
| Datu-baseak | Fuita d\'informació | Parametrizatu gabeko SQL | Alto | Baixa | Behean | ORM, control d\'accés, auditoria | Oso baxua | Backend garatzailea |
| Kontrol Batzordea | Zerbitzuaren erorketa | DDoS eraso | Mitjà | Erdikoa | Mitjà | Cloudflare, limitació de connexions | Behean | DevOps |
| Babeskopiak | Pèrdua de dades | Còpies no replicades | Alto | Erdikoa | Alto | Backups redundants en múltiples ubicacions | Behean | Tècnic sistemes |
| E-commerce zerbitzua | Modificació fraudulenta | Ez dauden egunkariak | Alto | Erdikoa | Alto | Aktibo monitoreatzea, alertak, auditoria | Mitjà | Web garatzaile |
| DNS eta domeinuak | Manipulació de registres | API gakoa exponatuta\" | Alto | Baixa | Mitjà | Regeneració de claus i control d\'accés | Behean | Domeinu administratzailea |
| Web d\'usuari | Suplantació d\'identitat | Autenticació dèbil | Alto | Erdikoa | Alto | 2FA, limitació intents, captchas | Behean | Frontend garatzailea |
| Correu electrònic | Spam / phishing | Validació de contingut dèbil | Alto | Erdikoa | Alto | SPF, DKIM, DMARC, Spamassassin, revisió de logs | Behean | Correu |
| Accés remot del personal | Accés indegut | VPN MFA gabe\" | Mitjà | Erdikoa | Mitjà | VPN MFA-rekin, IP-rekin murriztuta\" | Behean | Tècnic sistemes |
| Barneko aplikazioak | Execució de codi no autoritzat | Absència de control de versions | Alto | Baixa | Mitjà | Bertsioen kontrola, zaintzapeko deploya | Behean | DevOps |
| Ordainketak | Accés o manipulació de dades de pagament | Delegació a tercers sense control suficient | Alto | Baixa | Mitjà | Ús de Stripe com a plataforma PCI-DSS compliant; no s’emmagatzemen dades sensibles localment | Behean | Responsable legal / tècnic web |
| Hirugarrenen softwarea | Execució de codi maliciós | Eguneratzeen falta da | Alto | Erdikoa | Alto | Actualitzacions periòdiques, control de vulnerabilitats (CVE) | Mitjà | DevOps |
| Giza akatsak | Ausazko ezabaketa | Manca de formació / permisos incorrectes | Mitjà | Erdikoa | Mitjà | Formació, revisions, permisos limitats | Behean | Langile guztiak |
| Configuracions crítiques | Injecció de configuració maliciosa | No hi ha validació automàtica | Alto | Baixa | Mitjà | Auditories de configuració, proves automàtiques | Behean | DevOps |
| Bertsioen kontrola | Introducció de codi insegur | Manca de revisió de canvis o tests | Alto | Erdikoa | Alto | Revisió per parells, integració contínua, tests automatitzats | Mitjà | DevOps |
| Portals d\'administració | Accés il·lícit | Interfície exposada públicament | Alto | Baixa | Mitjà | Accés IP-restringit, 2FA, logs d\'accés | Behean | Azpiegitura |
| Sistemaren eguneraketak | Explotació de vulnerabilitats conegudes | Endarreriment en aplicació de parches | Alto | Baixa | Mitjà | Actualitzacions periòdiques, escàners de vulnerabilitats | Behean | Tècnic sistemes |
| Neurrira garapena | Datu sentsibleen ihesak\" | Manca de validació d\'entrades i sanitat | Alto | Erdikoa | Alto | Aplicació de guies OWASP, formació a desenvolupadors | Behean | Backend garatzailea |
| Proveïdors externs | Dependència crítica | SLA kontratu edo akordioen falta\" | Mitjà | Erdikoa | Mitjà | Acords de nivell de servei (SLA), anàlisi de continuïtat | Mitjà | Direcció |
| Segurtasun erregistroak | Omissió de proves en cas d’incident | Rotació o esborrat prematur | Mitjà | Erdikoa | Mitjà | Retenció segura i controlada, accés restringit, SIEM | Behean | Tècnic sistemes |
| Identitate digitalak | Suplantació d’usuaris | Manca de gestió del cicle de vida dels comptes | Alto | Baixa | Mitjà | Provisionament i desactivació automatitzats, revisió periòdica | Behean | SGSI Arduraduna |
| Contractació de personal | Konfidentzialitatearen urratzea | Absència de NDA o formació prèvia | Mitjà | Baixa | Behean | Clàusules NDA, formació de benvinguda, control d’accés inicial | Oso baxua | Direcció |
| Servidor DNS públic | Redirecció maliciosa | Configuració incorrecta de zones o registres | Alto | Baixa | Mitjà | Revisió periòdica de zones, accés restringit, registre de canvis | Behean | Domeinu administratzailea |
| Sessions d’usuari | Persistència indeguda | No expiració automàtica | Mitjà | Alta | Alto | Expiració automàtica, tancament de sessió inactiva | Behean | Web garatzaile |
| Sistema eguneraketak | Explotació de vulnerabilitats conegudes | Atzeratutako edo bete gabeko eguneraketak | Alto | Erdikoa | Alto | Gestió centralitzada d’actualitzacions, proves abans de desplegar | Mitjà | DevOps |
| Interfícies API | Accés no autoritzat a dades | Manca de control d’autenticació o quotes | Alto | Erdikoa | Alto | Tokens amb expiració, limitació per IP i autenticació forta | Behean | Backend garatzailea |
| Entorns de preproducció | Exposició de dades reals | Datu sentikorrak dituen datu-base bikoiztua | Alto | Baixa | Mitjà | Anònims, entorns separats, restriccions d’accés | Behean | DevOps |
| Suport tècnic remot | Filtració d’informació confidencial | Erregistratu gabe eta monitorizatu gabeako saioak | Mitjà | Baixa | Mitjà | Canals segurs, registre d’activitat, limitació d’accés temporal | Behean | Laguntza-bulegoa |
| Gestió documental | Accés indegut a documents interns | Kontrolik gabe partekatutako fitxategiak | Mitjà | Alta | Alto | Plataforma amb permisos granulars, revisió de comparticions | Behean | SGSI Arduraduna |
Política de seguretat de la informació (SGSI)
Empresa: Intergrid (Opengea SCCL)
Data d\'aprovació: 15-10-2024
Onartua: Direcció Tècnica
- Helburua: Garantir la konfidentzialitatea, integritatea eta eskuragarritasuna de la informació, dades de clients i sistemes.
- Erabilera: Tota la infraestructura de hosting i aplicacions desenvolupades o allotjades per Intergrid.
- Compromís: Aplicació del marc ISO/IEC 27001.
- Arduraduna: Compliment per tot el personal.
- Gako neurriak:
- Control d'accés per rol i 2FA
- Còpies de seguretat segregades
- Monitoratge d\'incidències
- Avaluació de riscos anual
- Formació i sensibilització
- Revisió: Anual.
Declaració d\'aplicabilitat (SoA) – ISO 27001
Data: 15-10-2024
SGSI-aren arduraduna: Jordi Berenguer / Director tècnic
| Control (Annex A) | Títol | Aplicable? | Estat | Comentaris |
|---|---|---|---|---|
| A.5.1 | Política de seguretat | Sí | Txertatuta | Argitaratua eta berrikusia |
| A.5.11 | Úsil de dades | Sí | Txertatuta | Bezeroen jaitsierak |
| A.6.1 | Organització seguretat | Sí | Txertatuta | Definitutako rolak |
| A.6.3 | Urruneko lana | Sí | Txertatuta | VPN i portàtils xifrats |
| A.7.1 | Segurtasun kopiak | Sí | Txertatuta | Erredundanteak backupak |
| A.8.1 | Control d\'accés | Sí | Txertatuta | ACLs i autenticació forta |
| A.8.16 | Supervisió d\'activitats | Sí | Partzial | Despliegatzean |
| A.12.1 | Aplikazioen segurtasuna | Sí | Txertatuta | OWASP, revisió de codi |
| A.14.1 | Komunikazio seguruak | Sí | Txertatuta | HTTPS, SFTP |
| A.18.2 | Barneko Auditoria SGSI\" | Sí | Planifikatuta | Q4 2025\" |
Versió: 4.8 — Última revisió: 15-10-2024
