1. Alcance del SGSI
L’abast del sistema de gestió de seguretat de la informació (SGSI) cobreix tots els serveis prestats per Intergrid (Opengea SCCL), incloent:
- Hosting en la Nube, Hosting Dedicado y VPS.
- Registro y gestión de dominios.
- Aplicaciones web en la nube.
- Infraestructura física alojada en Centros de Datos avanzados de Alemania, Finlandia, Estados Unidos y Singapur, y gestionada íntegramente por Intergrid desde Barcelona.
2. Política de seguridad de la información
Intergrid se compromete a proteger la confidencialidad, integridad y disponibilidad de la información propia y de sus clientes, mediante controles técnicos y organizativos adecuados, evaluación continua de los riesgos y mejora continua del SGSI.
3. Metodología de análisis y tratamiento de riesgos
- Identificació d’actius, amenaces i vulnerabilitats.
- Avaluació d’impacte i probabilitat (Alt, Mitjà, Baix, Nul).
- Asignación de medidas y controles para reducir riesgos.
- Documentación del riesgo residual y responsable.
4. Declaració d’aplicabilitat (SoA)
Esta declaración acredita el compromiso y la aplicación real de los requisitos de la norma ISO/IEC 27001:2022 mediante una declaración responsable de la organización.
S’han seleccionat i aplicat controls de l’annex A de la norma ISO/IEC 27001 segons l’avaluació de riscos. Incloent:
- A.5: Polítiques de seguretat
- A.6: Organització de la seguretat
- A.8: Gestió d’actius
- A.9: Control d’accés
- A.12: Seguretat operativa
- A.13: Seguretat de les comunicacions
- A.15: Relacions amb proveïdors
- A.16: Gestió d’incidents de seguretat
- A.17: Continuïtat del negoci
5. Objetivos de seguridad
- Evitar fugas de datos de los servicios web alojados
- Assegurar l’autenticació i accés legítim a sistemes
- Garantizar copias de seguridad íntegras y disponibles
- Asegurar el cumplimiento del RGPD
6. Registros clave
- Registre d’actius i responsabilitats
- Registro de formación en seguridad
- Incidentes de seguridad
- Auditorías internas y revisiones por la dirección
7. Procedimientos específicos
Gestió d’incidents de seguretat
Tots els incidents s’han de reportar immediatament al responsable del SGSI. Es documentaran en el registre d’incidents i es realitzarà una anàlisi per identificar causes, impacte i accions correctives.
Control d’accessos
- Acceso limitado según roles y necesidades
- Autenticación fuerte: claves complejas y 2FA
- Revisión periódica de los permisos
Política de copias de seguridad
- Copias de seguridad automáticas diarias y semanales
- Replicación en múltiples Centros de Datos (ubicaciones físicas independientes)
- Pruebas de restauración regulares
Política d’ús acceptable
Els usuaris i tècnics només poden utilitzar els recursos d’Intergrid per a finalitats autoritzades. Qualsevol ús abusiu, il·legal o que comprometi la seguretat serà objecte de sanció.
Gestión de terceros y proveedores
- Acuerdos de confidencialidad con colaboradores
- Control de l’accés dels proveïdors a sistemes interns
- Revisión periódica de los servicios subcontratados
Continuidad del negocio
- Backups georredundantes y monitoreo constante
- Procedimientos de recuperación ante desastres
- Asignación de roles clave en situaciones de crisis
Auditorías y mejora continua
- Auditorías internas periódicas del SGSI
- Revisión de políticas y procedimientos
- Registre d’accions correctives i de millora
Gestión de dispositivos y equipos
- Inventari actualitzat d’equips i dispositius
- Política de bloqueo de pantalla y cifrado de disco
- Limitació de l’ús de dispositius externs (USB, etc.)
Seguridad del correo electrónico
- Filtrado de correos sospechosos (spam, phishing)
- Configuración de SPF, DKIM y DMARC
- Restriccions d’enviament i revisió de campanyes
Clasificación y manejo de la información
- Etiquetado según sensibilidad (confidencial, interna...)
- Restricciones de distribución según clasificación
- Destrucción segura de la información obsoleta
Formación y sensibilización
- Sesiones periódicas de formación en seguridad
- Campañas de concienciación para todo el personal
- Pruebas puntuales de simulación de phishing
Gestión de registros y evidencias
- Conservación de registros durante el período establecido por la normativa
- Control de acceso a los registros confidenciales
- Integridad y disponibilidad garantizada mediante sistemas redundantes
Políticas específicas para proyectos y clientes
- Asignación de responsables de seguridad por proyecto
- Controles de privacidad y compartición limitados según contratos
- Validación de seguridad antes del despliegue de servicios a clientes
Aquesta documentació és bàsica i extensible segons l’evolució del SGSI. Es recomana revisar-la com a mínim anualment o després d’incidents significatius.
Análisis de riesgos (SGSI - ISO 27001)
Empresa: Intergrid (Opengea SCCL)
Fecha: 15-10-2024
Alcance: Serveis de hosting (cloud, dedicat, VPS), dominis i aplicacions web.
| ⚠️ Actiu | Amenaça | Vulnerabilitat | Impacte | Probabilitat | Nivell de risc | Mesures aplicades | Risc residual | Responsable |
|---|---|---|---|---|---|---|---|---|
| Acceso a servidores | Acceso no autorizado | Puertos abiertos / acceso no controlado | Alto | Nula | Nula | Filtrado IP, clave SSH, 2FA, fail2ban | Muy bajo | Técnico sistemas |
| Bases de datos | Fuga de información | SQL no parametrizadas | Alto | Baixa | Bajo | ORM, control de acceso, auditoría | Muy bajo | Desarrollador backend |
| Panel de control | Caída de servicio | Ataque DDoS | Medio | Media | Medio | Cloudflare, limitación de conexiones | Bajo | DevOps |
| Copias de seguridad | Pérdida de datos | Copias no replicadas | Alto | Media | Alto | Copias de seguridad redundantes en múltiples ubicaciones | Bajo | Técnico sistemas |
| Servicio e-commerce | Modificación fraudulenta | Registros inexistentes | Alto | Media | Alto | Monitoreo activo, alertas, auditoría | Medio | Desarrollador web |
| DNS y dominios | Manipulación de registros | Clave API expuesta | Alto | Baixa | Medio | Regeneración de claves y control de acceso | Bajo | Admin dominio |
| Web d\'usuari | Suplantación de identidad | Autenticación débil | Alto | Media | Alto | 2FA, limitación de intentos, captchas | Bajo | Desarrollador frontend |
| Correo electrónico | Spam / phishing | Validación de contenido débil | Alto | Media | Alto | SPF, DKIM, DMARC, Spamassassin, revisión de logs | Bajo | Correu |
| Acceso remoto del personal | Acceso indebido | VPN sin MFA | Medio | Media | Medio | VPN con MFA, restringido por IP | Bajo | Técnico sistemas |
| Aplicaciones internas | Ejecución de código no autorizado | Ausencia de control de versiones | Alto | Baixa | Medio | Control de versiones, despliegue supervisado | Bajo | DevOps |
| Pagos | Acceso o manipulación de datos de pago | Delegación a terceros sin control suficiente | Alto | Baixa | Medio | Ús de Stripe com a plataforma PCI-DSS compliant; no s’emmagatzemen dades sensibles localment | Bajo | Responsable legal / técnico web |
| Software de terceros | Ejecución de código malicioso | Falta de actualizaciones | Alto | Media | Alto | Actualizaciones periódicas, control de vulnerabilidades (CVE) | Medio | DevOps |
| Errores humanos | Borrado accidental | Falta de formación / permisos incorrectos | Medio | Media | Medio | Formación, revisiones, permisos limitados | Bajo | Todos los empleados |
| Configuraciones críticas | Inyección de configuración maliciosa | No hay validación automática | Alto | Baixa | Medio | Auditorías de configuración, pruebas automáticas | Bajo | DevOps |
| Control de versiones | Introducción de código inseguro | Falta de revisión de cambios o pruebas | Alto | Media | Alto | Revisión por pares, integración continua, pruebas automatizadas | Medio | DevOps |
| Portales de administración | Acceso ilícito | Interfaz expuesta públicamente | Alto | Baixa | Medio | Acceso IP-restringido, 2FA, registros de acceso | Bajo | Infraestructura |
| Actualizaciones del sistema | Explotación de vulnerabilidades conocidas | Retraso en la aplicación de parches | Alto | Baixa | Medio | Actualizaciones periódicas, escáneres de vulnerabilidades | Bajo | Técnico sistemas |
| Desarrollo a medida | Fugas de datos sensibles | Falta de validación de entradas y sanidad | Alto | Media | Alto | Aplicación de guías OWASP, formación a desarrolladores | Bajo | Desarrollador backend |
| Proveedores externos | Dependencia crítica | Falta de contratos o acuerdos SLAs | Medio | Media | Medio | Acuerdos de nivel de servicio (SLA), análisis de continuidad | Medio | Dirección |
| Registros de seguridad | Omissió de proves en cas d’incident | Rotación o borrado prematuro | Medio | Media | Medio | Retención segura y controlada, acceso restringido, SIEM | Bajo | Técnico sistemas |
| Identidades digitales | Suplantació d’usuaris | Falta de gestión del ciclo de vida de las cuentas | Alto | Baixa | Medio | Abastecimiento y desactivación automatizados, revisión periódica | Bajo | Responsable SGSI |
| Contratación de personal | Incumplimiento de confidencialidad | Ausencia de NDA o formación previa | Medio | Baixa | Bajo | Clàusules NDA, formació de benvinguda, control d’accés inicial | Muy bajo | Dirección |
| Servidor DNS público | Redirección maliciosa | Configuración incorrecta de zonas o registros | Alto | Baixa | Medio | Revisión periódica de zonas, acceso restringido, registro de cambios | Bajo | Admin dominio |
| Sessions d’usuari | Persistencia indebida | No expiración automática | Medio | Alta | Alto | Expiración automática, cierre de sesión inactiva | Bajo | Desarrollador web |
| Actualizaciones de sistemas | Explotación de vulnerabilidades conocidas | Actualizaciones pospuestas o incompletas | Alto | Media | Alto | Gestió centralitzada d’actualitzacions, proves abans de desplegar | Medio | DevOps |
| Interfaces API | Acceso no autorizado a datos | Manca de control d’autenticació o quotes | Alto | Media | Alto | Tokens con expiración, limitación por IP y autenticación fuerte | Bajo | Desarrollador backend |
| Entornos de preproducción | Exposición de datos reales | Base de datos replicada con datos sensibles | Alto | Baixa | Medio | Anònims, entorns separats, restriccions d’accés | Bajo | DevOps |
| Soporte técnico remoto | Filtració d’informació confidencial | Sesiones no registradas ni monitorizadas | Medio | Baixa | Medio | Canals segurs, registre d’activitat, limitació d’accés temporal | Bajo | Servicio de asistencia |
| Gestión documental | Acceso indebido a documentos internos | Archivos compartidos sin control | Medio | Alta | Alto | Plataforma con permisos granulares, revisión de comparticiones | Bajo | Responsable SGSI |
Política de seguridad de la información (SGSI)
Empresa: Intergrid (Opengea SCCL)
Fecha de aprobación: 15-10-2024
Aprobada por: Direcció Tècnica
- Objetivo: Garantir la confidencialidad, integridad y disponibilidad de la informació, dades de clients i sistemes.
- Alcance: Tota la infraestructura de hosting i aplicacions desenvolupades o allotjades per Intergrid.
- Compromiso: Aplicació del marc ISO/IEC 27001.
- Responsabilidad: Compliment per tot el personal.
- Medidas clave:
- Control d'accés per rol i 2FA
- Copias de seguridad segregadas
- Monitoreo de incidencias
- Evaluación de riesgos anual
- Formación y sensibilización
- Revisión: Anual.
Declaración de aplicabilidad (SoA) - ISO 27001
Fecha: 15-10-2024
Responsable del SGSI: Jordi Berenguer / Director tècnic
| Control (Annex A) | Títol | Aplicable? | Estat | Comentaris |
|---|---|---|---|---|
| A.5.1 | Política de seguridad | Sí | Implantado | Publicada y revisada |
| A.5.11 | Uso de datos | Sí | Implantado | Bajas de clientes |
| A.6.1 | Organización seguridad | Sí | Implantado | Roles definidos |
| A.6.3 | Trabajo remoto | Sí | Implantado | VPN y portátiles cifrados |
| A.7.1 | Copias de seguridad | Sí | Implantado | Copias de seguridad redundantes |
| A.8.1 | Control de acceso | Sí | Implantado | ACLs y autenticación fuerte |
| A.8.16 | Supervisión de actividades | Sí | Parcial | En despliegue |
| A.12.1 | Seguridad aplicaciones | Sí | Implantado | OWASP, revisión de código |
| A.14.1 | Comunicaciones seguras | Sí | Implantado | HTTPS, SFTP |
| A.18.2 | Auditoría interna SGSI | Sí | Planificado | Q4 2025 |
Versión: 4.8 — Última revisión: 15-10-2024
