PR5061 - Implementació d'un SGSI bàsic (ISO 27001)
Objectius
- Comprendre l'estructura d'un SGSI basat en ISO 27001
- Realitzar una anàlisi de riscos seguint ISO 31000
- Seleccionar i documentar controls de l'Annex A (ISO 27002)
- Elaborar la documentació obligatòria del SGSI
- Realitzar una auditoria interna bàsica
Prerequisits
| Element | Detall |
|---|---|
| Temps estimat | 5 hores |
| Eines necessàries | Editor de text (Word, LibreOffice, Google Docs) |
| Material de referència | Norma ISO 27001:2022 (resum), material del mòdul |
Introducció
En aquesta pràctica, actuaràs com a consultor de seguretat contractat per a implementar un SGSI a l'empresa fictícia TechCat S.L., una startup de Barcelona amb 25 empleats que desenvolupa una app de gestió de recursos humans basada en SaaS.
Descripció de l'Empresa TechCat S.L.
## Fitxa de l'empresa
**Nom**: TechCat S.L.
**Sector**: Software SaaS (HR Tech)
**Empleats**: 25 (10 developers, 5 vendes, 5 suport, 3 administració, 2 directius)
**Clients**: 150 empreses (gestionen dades d'uns 12.000 empleats dels seus clients)
**Infraestructura**:
- Aplicació SaaS en AWS (eu-west-1)
- Codi font en GitHub Enterprise
- Oficines a Barcelona (propietat: no, arrendada)
- Tots els empleats treballen amb MacBook Pro
- Servidor NAS intern per a backups
- VPN WireGuard per a accés remot
**Dades que gestiona**:
- Dades personals dels empleats dels clients (nom, DNI, salari, compte bancari)
- Documents laborals (contractes, nòmines)
- Credencials internes dels clients (API keys)
- Codi font propietari
Part 1: Abast del SGSI (Clàusula 4.3)
# Document SGSI-01: Abast del SGSI TechCat S.L.
**Versió**: 1.0
**Data**: ____________________
**Revisat per**: NOMCOGNOM (Consultor extern)
## 1. Abast del SGSI
### Inclòs en el SGSI
- Servei SaaS de gestió de RRHH (aplicació web + API)
- Infraestructura AWS eu-west-1 (producció i staging)
- Codi font i repositoris GitHub
- Dades de clients (dades personals dels empleats)
- Oficines de Barcelona
- Dispositius corporatius (MacBook)
### Exclòs del SGSI
- Infraestructura de testing local (portàtils personals dels devs)
- Aplicació mòbil (en desenvolupament, no en producció)
## 2. Justificació de l'abast
[Explicar per quin motiu s'inclouen/exclouen els elements anteriors]
## 3. Interfícies i dependències
- AWS (proveïdor cloud): SLA 99.99%, ISO 27001 certificat
- GitHub (gestió de codi): SOC 2 Type II
- Stripe (pagaments): PCI-DSS Nivel 1
- SendGrid (emails): [verificar certificacions]
Part 2: Anàlisi de Riscos (Clàusula 6.1.2)
Inventari d'actius
# Document SGSI-02: Inventari d'Actius - TechCat S.L.
| ID | Actiu | Categoria | Propietari | Valor C | Valor I | Valor D |
|----|-------|-----------|------------|---------|---------|---------|
| A01 | Base de dades de producció | Dades | CTO | Alt | Alt | Alt |
| A02 | Codi font de l'aplicació | Codi | CTO | Alt | Alt | Mig |
| A03 | Dades de nòmines dels clients | Dades | CEO | Molt alt | Alt | Mig |
| A04 | Credencials AWS | Credencials | DevOps | Molt alt | Alt | Alt |
| A05 | Portàtils corporatius | Hardware | IT Manager | Mig | Alt | Mig |
| A06 | Servidor NAS (backups) | Hardware | IT Manager | Alt | Alt | Mig |
| A07 | Repositoris GitHub | Serveis TI | CTO | Alt | Alt | Mig |
# Llegenda valors: Molt alt / Alt / Mig / Baix
# C = Confidencialitat, I = Integritat, D = Disponibilitat
Identificació d'amenaces i vulnerabilitats
# Document SGSI-03: Anàlisi de Riscos - TechCat S.L.
## Metodologia: MAGERIT v3 simplificada
| ID | Actiu | Amenaça | Vulnerabilitat | Probabilitat | Impacte | Risc |
|----|-------|---------|----------------|-------------|---------|------|
| R01 | A04 (Credencials AWS) | Robatori de credencials | Claus AWS en codi font (GitHub) | Alta | Molt alt | CRÍTIC |
| R02 | A03 (Nòmines) | Accés no autoritzat | Falta de MFA en l'aplicació | Mitja | Molt alt | ALT |
| R03 | A01 (BD producció) | SQL Injection | Falta de validació d'entrades | Mitja | Alt | ALT |
| R04 | A06 (NAS backups) | Ransomware | Backups en xarxa accessible | Alta | Alt | ALT |
| R05 | A05 (MacBooks) | Pèrdua/robatori | Disc dur no xifrat | Mitja | Alt | ALT |
| R06 | A02 (Codi font) | Empleat maliciós | Absència de revisió de commits | Baixa | Molt alt | MIG |
| R07 | Tota l'empresa | DDoS | Absència de protecció DDoS | Baixa | Alt | MIG |
## Tractament de riscos
| Risc | Decisió | Control ISO 27002 | Risc residual |
|------|---------|-------------------|---------------|
| R01 | Mitigar | A.8.7 Credential management / GitLeaks | Baix |
| R02 | Mitigar | A.8.3 MFA | Baix |
| R03 | Mitigar | A.8.28 Secure coding | Baix |
| R04 | Mitigar | A.8.13 Backup / segmentació | Mig |
| R05 | Mitigar | A.8.1 FileVault (BitLocker) | Baix |
| R06 | Acceptar (risc baix) | A.6.2 Background checks | Baix |
| R07 | Transferir | Contracte amb proveïdor CDN (Cloudflare) | Baix |
Reflexió 1
Per al risc R07 (DDoS), es proposa "transferir" el risc contractant Cloudflare. Quina diferència hi ha entre mitigar, transferir, acceptar i evitar un risc? Posa un exemple de cada opció per a TechCat S.L.
Part 3: Política de Seguretat (Clàusula 5.2)
# Document SGSI-04: Política de Seguretat de la Informació
# TechCat S.L.
**Aprovada per**: CEO
**Data d'aprovació**: ____________________
**Propera revisió**: Anualment
## 1. Declaració de compromís
TechCat S.L. es compromet a protegir la confidencialitat, integritat i
disponibilitat de la informació que gestiona, en especial les dades
personals dels empleats dels nostres clients.
## 2. Principis
- Accés basat en mínims privilegis ("need to know")
- Tota informació sensible ha d'estar xifrada en trànsit i en repòs
- Tot accés als sistemes de producció requereix MFA
- Els incidents de seguretat s'han de reportar en 24 hores
- Cap credencial s'emmagatzema en repositoris de codi
## 3. Responsabilitats
| Rol | Responsabilitat |
|-----|----------------|
| CEO | Aprovació de la política, pressupost de seguretat |
| CTO | Implementació de controls tècnics |
| IT Manager | Gestió de l'accés, hardening de sistemes |
| Tots els empleats | Seguir la política, reportar incidents |
| Consultor extern | Auditories, assessorament (NOMCOGNOM) |
## 4. Abast
Aplicable a tots els empleats, contractors i proveïdors que accedeixen
als sistemes de TechCat S.L.
## 5. Incompliment
L'incompliment d'aquesta política pot resultar en mesures disciplinàries
fins a l'acomiadament o accions legals, en funció de la gravetat.
## 6. Revisions
Aquesta política es revisarà anualment o davant de canvis significatius
en l'organització, la tecnologia o el marc legal.
Part 4: Selecció de Controls (Annex A ISO 27002)
# Document SGSI-05: Declaració d'Aplicabilitat (SoA)
# TechCat S.L.
## Controls tecnològics seleccionats (extracte)
| Control | Descripció | Aplicable? | Implementat? | Justificació |
|---------|-----------|------------|-------------|--------------|
| A.8.2 | Identitats privilegiades | Sí | Parcial | AWS IAM roles, cal completar |
| A.8.3 | MFA | Sí | No | Risc R02 - Prioritat alta |
| A.8.7 | Protecció malware | Sí | Sí | CrowdStrike als MacBooks |
| A.8.9 | Gestió configuració | Sí | No | Cal implementar CIS Benchmark |
| A.8.12 | DLP | Sí | No | A valorar per al proper any |
| A.8.16 | Monitoratge | Sí | Parcial | CloudTrail actiu, cal SIEM |
| A.8.24 | Criptografia | Sí | Sí | TLS 1.3, LUKS en NAS |
| A.8.28 | Programació segura | Sí | Parcial | Cal SAST en pipeline |
## Controls no aplicables (extracte)
| Control | Descripció | Justificació |
|---------|-----------|--------------|
| A.7.6 | Seguretat en treballs fora de les instal·lacions | Tots treballen en remot/oficina, no hi ha treball de camp |
Part 5: Auditoria Interna (Clàusula 9.2)
# Document SGSI-06: Informe d'Auditoria Interna
**Auditor**: NOMCOGNOM (Consultor)
**Data**: ____________________
**Abast**: Revisió de controls tecnològics crítics
## Metodologia
1. Revisió documental (polítiques, configuracions)
2. Entrevistes (CTO, DevOps)
3. Proves tècniques (accés a entorns de test)
## Troballes
| ID | Control | Evidència | Conformitat | Observació |
|----|---------|-----------|------------|------------|
| F01 | A.8.3 MFA | Accés a la consola AWS sense MFA verificat | NO CONFORME | Prioritat crítica |
| F02 | A.8.28 SAST | Pipeline CI/CD sense escaneig de codi | NO CONFORME | Prioritat alta |
| F03 | A.8.16 Monitoratge | CloudTrail actiu però logs no s'analitzen | PARCIAL | Manquen alertes |
| F04 | A.8.9 Configuració | Hardening CIS Benchmark no implementat | NO CONFORME | Prioritat alta |
| F05 | A.8.24 Criptografia | TLS 1.3 en producció, LUKS en NAS | CONFORME | - |
## Pla d'Accions Correctives
| Trobada | Acció | Responsable | Termini |
|---------|-------|-------------|---------|
| F01 | Activar MFA obligatori a AWS i GitHub | DevOps | 1 setmana |
| F02 | Integrar Semgrep al pipeline CI | DevOps | 2 setmanes |
| F03 | Configurar alertes a CloudWatch | DevOps | 3 setmanes |
| F04 | Aplicar CIS Benchmark als MacBooks | IT Manager | 1 mes |
Reflexió 2
L'auditoria ha trobat que l'accés a la consola AWS no requereix MFA (F01). Quines podrien ser les conseqüències si un atacant obtingués les credencials IAM d'un administrador sense MFA? Descriu un escenari d'atac realista.
Informe final
Crea el document sgsi_NOMCOGNOM.zip amb tots els documents SGSI creats:
sgsi-NOMCOGNOM/
├── SGSI-01-Abast.md
├── SGSI-02-Inventari-Actius.md
├── SGSI-03-Analisi-Riscos.md
├── SGSI-04-Politica-Seguretat.md
├── SGSI-05-SoA.md
└── SGSI-06-Auditoria-Interna.md
Rúbrica
Vegeu Rúbrica PR5061.