[UNIVERSIDAD AUTONOMA JUAN MISAEL SARACHO

F.C.I.G.CH.]

POLITICAS DE SEGURIDAD

INTRODUCCION L a empresa petrolera Petrosur es una empresa comprometida con el desarrollo energético de Bolivia, para lo cual tiene como actividades principales la exploración y producción de Hidrocarburos. La superficie operada directamente por Chaco tiene una extensión total de 144.425 hectáreas, que incluyen un bloque de exploración, 21 áreas de explotación de las cuales 14 están en producción, 7 en reserva, en cuatro departamentos de Bolivia. Adicionalmente Chaco participa como socio no operador en dos áreas de explotación. Como industrializadora del gas natural, la compañía también es propietaria de dos empresas afiliadas: la Compañía Eléctrica Central Bulo Bulo S.A., en la provincia Carrasco, departamento de Cochabamba, y la planta engarrafadora de Gas Licuado de Petróleo (GLP), en Santa Cruz de la Sierra.

OBJETIVO.- Asegurar y proteger la confidencialidad de los datos en el Área Financiera de la Empresa
Petrolera Petrosur

DIRECTRICES
 El encargado de realizar este seguimiento acerca de todo este procedimiento será el Ing. en Sistemas Oscar Quispe Vargas el cual pertenece al área financiera de la empresa .  La función que cumple en esta parte de la política de seguridad es encargarse de la seguridad de los datos de un grupo de maquinas pertenecientes al área financiera.  Estará encabezado por el Ing. Oscar Quispe Vargas más un grupo de apoyo el cual asistirá en la colaboración de seguridad de los datos en caso de que el trabajo a realizar sea elevado y moroso.  De alguna manera también este grupo de apoyo tendrá la función de realizar este trabajo siempre y cuando esté autorizado por el encargado Ing. Oscar Quispe Vargas  De tal forma de mantener el orden del trabajo fácilmente.  Los días que se van a ser los análisis de los datos será dos veces al mes :  Cada 10 y 31 de cada mes  En caso de existir algún percance o haber algún acontecimiento que impida llevar a cabo este análisis de datos. La actividad será recorrida automáticamente para el día siguiente.

EMPRESA PETROLERA PETROSUR

.

1

G. 2.. * El usuario está obligado a guardar confidencialidad sobre la información a la que accede y esta solo podrá ser compartida con su jefe inmediato o personal del mismo parlamento el cual también tenga acceso a dicha información vía email para guardar evidencia de cada solicitud requerida. 2 . deberá entender su responsabilidad por el uso de la información bajo los siguientes puntos. De acuerdo a una previa reunión con todo el "Equipo Multidisciplinario" y la mesa directiva de la empresa se tomo las siguiente normas a tomar en cuenta una vez sea implementado la política de seguridad: 1.. * El usuario sólo podrá utilizar la información para consulta y está bajo ningún termino deberá ser reproducida. Veimar Mamani  Ing.El usuario final con acceso a información de clientes/proveedores de la empresa tendrá los siguientes privilegios: * El usuario tiene derecho a solicitar los permisos necesarios para acceder a la información de los sistemas que requiera a fin de consulta para realizar sus labores diarias dentro de la empresa. EMPRESA PETROLERA PETROSUR .CH.C. * El usuario deberá informar cualquier inconsistencia respecto a los puntos anteriormente mencionados.I.] POLITICAS DE SEGURIDAD En caso de que el inconveniente se prolongue (por ejemplo un paro indefinido con puertas cerradas de la empresa) la actividad será realizada el primer día hábil después de concluido el inconveniente  El equipo de apoyo para la actividad será mencionado a continuación  Ing. copiada o archivada en dispositivos que pudiesen dar cabida a que la información utilizada salga de la empresa.El usuario final con accesos a los sistemas informáticos de la empresa en donde se presente información sensible por parte de clientes. * El usuario tendrá acceso únicamente a los datos que así requiera para realizar sus labores dentro de la empresa.[UNIVERSIDAD AUTONOMA JUAN MISAEL SARACHO  F. Josué Moisés Huanca Laura  Ing. Alex Romero NORMAS Política para usuarios finales que pertenecen al departamento Financiero y que tienen acceso a información de proveedores/clientes.

 El cual lo realizara parlamente con el grupo de apoyo descrito anteriormente en el capítulo de la directrices .  Los detalles acerca de la herramienta y la conferencia se detallan a continuación: Herramienta Wireshark Es una herramienta interactiva para analizar el tráfico de red.CH. nos muestra la siguiente pantalla: EMPRESA PETROLERA PETROSUR .Existen una serie de sanciones para aquellos usuarios que infrinjan cualquiera de los puntos mencionados en el punto 2. lo cual es muy útil para monitorear el tráfico de una red (por ejemplo ver qué protocolos se están utilizando. etc. el menu Capture > Interfaces…. que hosts están distribuyendo malware.)  Antes que nada.G.. de todos aquellos flujos de datos que circularon en la red.  También se llevara a cabo una conferencia acerca de lo gran importancia de los datos en la empresa y el rol importante que cumple cada usuario del Área Financiera de la Empresa Petrosur  La herramienta a utilizar será el Wireshark . * El compartir información con personal externo al departamento sin el consentimiento escrito (vía correo electrónico) del jefe de ambos departamentos será sancionado con 2 días de suspensión de labores.] POLITICAS DE SEGURIDAD 3. PROCEDIMIENTOS El procedimiento de la política de seguridad mencionada se la realizara de la siguiente manera:  El ente directriz Ing. Oscar Quispe realizara un control dos veces al mes.I. * El compartir información con personal externo se considerará como un robo a la misma y será sancionado con Despido y sin goce de las prestaciones establecidas por la Ley General del Trabajo.C.[UNIVERSIDAD AUTONOMA JUAN MISAEL SARACHO F. 3 . * El sustraer información por cualquier medio de la empresa ya sea de manera electrónica o física se considera como robo por parte de la empresa y será sancionado con Despido sin goce de las prestaciones establecidas por la empresa y por la Ley General del Trabajo. Permite ver el contenido de todos los paquetes que entran y salen por una interfaz de red. tras arrancar Wireshark.

ya que usa la misma libreria libpcap. etc:   Igual no nos interesa capturarlo todo. Para filtrar podemos hacer uso de la ya aprendido en los filtros TCPDump / Windump.CH. todos los protocolos. 4 . Podemos filtrar a través de Capture Filter o usar el campo correspondiente: EMPRESA PETROLERA PETROSUR . Inmediatamente Wireshark comienza a capturar.G.[UNIVERSIDAD AUTONOMA JUAN MISAEL SARACHO   F. El problema es que nos lo captura todo.] POLITICAS DE SEGURIDAD Solo tendremos que pulsar en Start para capturar a través de la interface que nos interese.C.I. Queremos filtrar.

5 . O cualquiera de estos: ip[9] == 1 tcp dst port 110 http contains frame contains “@miempresa. En otra ocasión nos centraremos en estos filtros y todas las nuevas posibilidades que nos ofrece wireshark. introducimos directamente el filtro de esta forma: icmp[0:1] == 08 (en windump es sufciciente con un solo signo =) Con lo que capturaríamos los icmp de tipo echo request.G. Pero como ya hemos aprendido a usar filtros más avanzados.I.es.] POLITICAS DE SEGURIDAD  Capturamos los paquetesde segmento TCP cuyo destino sea el puerto 34. Ahora vamos a estudiar un poco la intrerpretación de los datos. etc. incluyendo usuarios.[UNIVERSIDAD AUTONOMA JUAN MISAEL SARACHO F. En suma podemos usar cualquier tipo de filtro de los que usamos con Windump o TCPDump y alguno más propio de Wireshark. Tras una captura nos encontramos con esta salida: EMPRESA PETROLERA PETROSUR .CH. pass.C.es”    Con este último filtro capturamos todos los correos con origen y destivo al dominio miempresa.

ya que somos los que creamos y manipulamos los documentos importantes. el valor real para la empresa viene dado por la cantidad de kilómetros que puede realizar éste ininterrumpidamente. Pero los documentos de trabajo y los correos electrónicos no podrán ser cargados de nuevo a no ser que se hayan tomado las medidas oportunas y los datos hayan sido guardados en un lugar seguro. En el caso de un trabajador de nuestros días. el instrumento más importante que la empresa nos confiere es el ordenador. habrá que cuidar el mantenimiento del vehículo para evitar averías prolongadas que pongan en peligro el abastecimiento a la red comercial.C. Establezcamos un escenario factible: En un viaje de negocios el ordenador portátil con el que estamos viajando es robado. sin embargo. Pero.G. La empresa reemplazará el ordenador comprando un nuevo equipo y cargará los programas utilizando los discos originales. 6 . el verdadero activo que la compañía está interesada en proteger y el trabajador debe tomar conciencia de los instrumentos que tiene a su disposición para ello. Es esta información. las personas a las que se les ha encargado la custodia de un objeto perteneciente a la empresa tienen cuidado de no deteriorar el mismo y que se mantenga en las mejores condiciones operativas. Siguiendo la misma analogía que hemos hecho anteriormente. volver a generar la información contenida en un ordenador puede costar de 10 a 100 veces más o incluso llegar a ser imposible hacerlo.[UNIVERSIDAD AUTONOMA JUAN MISAEL SARACHO Acerca de la conferencia F. ¿cuál es el valor real que tiene este objeto para la empresa? Si. Debe hacerlo de un modo seguro. ya que es quien crea y manipula los documentos importantes. reemplazar un ordenador típico cuesta del orden de 500 a 2. que vivimos y trabajamos en lo que comúnmente se denomina Sociedad de la Información. De esta manera. EMPRESA PETROLERA PETROSUR . Hoy en día. maximizando así el número de piezas transportadas. Averigüe cómo hacerlo de un modo seguro. estuviéramos hablando de un camión entregado a un chofer para transportar piezas entre una fábrica y el punto de venta. Los usuarios finales tenemos un papel muy importante que cumplir. Habitualmente. por ejemplo.I.CH. La información almacenada en él es el activo que realmente posibilita la creación de valor añadido y es lo que realmente necesita ser protegido para garantizar su disponibilidad en todo momento. podríamos pensar que el coste de reposición del ordenador no es el único coste que la empresa (y el trabajador) tiene que considerar.000 euros. La seguridad de la información es una responsabilidad que debe asumir el usuario final.] POLITICAS DE SEGURIDAD Tema principal:¿Cómo proteger los datos de mi empresa? La seguridad no es sólo una responsabilidad de los departamentos de informática y de seguridad.

más un grupo de apoyo el cual ayudara de que con el fin el trabajo a realizar no sea elevado para el encargado.  El equipo de apoyo para la actividad será mencionado a continuación:  Tec.  De alguna manera también este grupo de apoyo tendrá la función de realizar este trabajo siempre y cuando esté autorizado por el encargado Ing. 7 .Proveer el acceso de internet a sitios confiables relacionados estrictamente con los objetivos de la Empresa Petrolera Petrosur DIRECTRICES  El encargado de realizar el seguimiento acerca de todo este procedimiento será el Ing. Todo el párrafo anterior solo es el resumen de la dinámica y el evento a realizarse mientras se elabora la política de seguridad diseñada OBJETIVO.G. realizara un seguimiento estricto de la política de seguridad a implementar.C.I. Mario Vega . Mauricio Cabrera  Ing. implementar la política de seguridad para la red  El mantenimiento se efectuara dos veces por semana con el fin de que los datos de nuestro servidor proxy permanezca y que la red con caiga.CH.. Mario Vega . Mario Vega  El trabajo de implementación de la política será realizada durante un lapso de 7 días hábiles.] POLITICAS DE SEGURIDAD El coste del incidente no solo se limita al coste de reemplazo del equipo informático.  La función que cumple en esta parte de la política de seguridad es proveer el acceso de internet a sitios confiables relacionados estrictamente con los objetivos de la Empresa Petrolera Petrosur  Estará encabezado por el Ing. Wilson Guevara EMPRESA PETROLERA PETROSUR . Con el fin de poder realizar un estudio acerca de los sitios a los que puedan acceder los usuarios y en base a ello. Dicho coste es despreciable en comparación con el de mantener un empleado improductivo mientras se intenta recuperar la información que necesitamos para llevar a cabo nuestra labor.[UNIVERSIDAD AUTONOMA JUAN MISAEL SARACHO F. Javier Teran  Ing.

peso argentino y euros. etc.] POLITICAS DE SEGURIDAD NORMAS Política para usuarios finales que tienen acceso una estación de trabajo (host) y que tienen acceso a internet en la empresa. con diversos software como el ultra sur. 5. Y en caso de cometer alguna infracción a esta norma serán sancionados. El usuario solo podrá acceder a los sitios mencionados a continuación: * Pagina Web oficial de la Empresa Petrosur *Sitio de Tipos de cambio de dinero.G. Si el usuario por algún motivo quisiera acceder a paginas no sugeridas o autorizadas por el directorio deberá solicitar un permiso para el acceso. paginas de descargas. que de otra manera si se logra sorprender cometiendo el acto de igual manera será sancionado 6. Los usuarios son responsables de todas las actividades llevadas a cabo con su código de identificación de usuario y sus claves personales. y paginas de videos u otros medio que pueda causa distracción. De acuerdo a una previa reunión con todo el "Equipo Multidisciplinario" y la mesa directiva de la empresa se tomo las siguiente normas a tomar en cuenta una vez sea implementado la política de seguridad: 1. 3.CH. con el fin de poder informarse acerca de valor del dólar. En caso de tratar de ingresar a las paginas restringidas mencionadas anteriormente. *Podrá utilizar el servicio de Outlook asignado por el encargado de la empresa y no así accediendo como un usuario distinto de la empresa 2. Existen una serie de sanciones para aquellos usuarios que infrinjan cualquiera de los puntos mencionados anteriormente * El intento de ingresar por cualquier medio o de otra manera tratando vulnerar el ACL configurado será sancionado con un memorándum emitido por el directorio de la empresa Petrosur *En caso de llegar a los 3 memorándum .C.I. será sancionado con Despido y sin goce de las prestaciones establecidas por la Ley General del Trabajo. 4. De igual manera será tomado como un atentado a la política de seguridad de la red de la empresa. por la realización de actos que fueron en contra de la normas establecidas. EMPRESA PETROLERA PETROSUR . por lo cual también los usuarios firmaron en el contrato de ingreso a la empresa la aceptación a las políticas de seguridad de la empresa. El usuario no podrá acceder a paginas de videojuegos. 8 .[UNIVERSIDAD AUTONOMA JUAN MISAEL SARACHO F. redes sociales. *No se aceptaran reclamos o justificaciones.

9 . Mario Vega realizara dos veces por semana para realizar un seguimiento de la red. Si define .] POLITICAS DE SEGURIDAD PROCEDIMIENTOS El procedimiento de la política de seguridad mencionada se la realizara de la siguiente manera:  El ente directriz Ing.CH.dominio.com o ftp.twitter.com: EMPRESA PETROLERA PETROSUR . se crea un archivo con lista con dominios. Para restringir el acceso por dominios.dominio. El funcionamiento es verdaderamente simple y consiste en denegar el acceso a nombres de dominio o direcciones de Internet que contengan patrones en común.C.I.dominio.com www.  El cual lo realizara parlamente con el grupo de apoyo descrito anteriormente en el capítulo de la directrices  Las herramientas a utilizar para la implementación de la política de seguridad será el Servidor Proxy Squid con complemento Sarg para emitir los reportes.facebook.G. pues todos son subdominios de . para evitar la pérdida de datos y que caiga la red.com o mail.dominio.facebook. es innecesario definir www. Restricción por expresiones regulares. incluyendo sub-dominios: .google.dominio. etc. Este documento detalla en su totalidad la manera de restringir ciertos sitios no recomendados de acuerdo a la política de seguridad de la empresa. Squid Denegar el acceso a ciertos Sitios de Red permite hacer un uso más racional del ancho de banda con el que se dispone.com.com .com Nota.com O bien puede definirse todo el dominio completo.twitter.[UNIVERSIDAD AUTONOMA JUAN MISAEL SARACHO F.com plus. vim /etc/squid/listas/dominios-denegados Los nombres pueden ser nombres de dominio específicos: www..com.

mediante los reportes de uso web usted podra obtener la siguiente información:      Top Ten de sitios más visitados Reportes diarios.com .com.C.G.cn .tv .tv .[UNIVERSIDAD AUTONOMA JUAN MISAEL SARACHO F. de acceso tipo dstdomain (dominios de destino).co.conf Añada una lista de control.CH.gogle. vim /etc/squid/squid.com. http_access allow localnet !expreg-denegadas !dominios-denegados Sarg SARG es una herramienta de analisis de logs de Squid.I.com. 10 . .] POLITICAS DE SEGURIDAD O bien se pueden definir dominios de nivel superior genéricos o geográficos.xxx O bien una combinación de todo lo anterior.twitter.cn .conf.im . que defina al la lista en el archivo /etc/squid/listas/dominios-denegados. denominada dominios-denegados.jp .im .co. semanales y mensuales Gráficas semanales y mensuales del consumo por usuario/host Detalles de todos los sitios a los que entro un usuario/host Descargas EMPRESA PETROLERA PETROSUR .jp .xxx Edite el archivo /etc/squid/squid.com plus. .facebook. tiene soporte para generar reportes en diferentes idiomas. acl dominios-denegados dstdomain "/etc/squid/listas/dominios-denegados" Añada una regla de control de acceso que deniegue el acceso a sitios que estén incluidos en la lista de dominios.

cada reporte bajo su propio directorio. son almacenados en el directorio /var/www/squid-reports/Diario. son almacenados en el directorio /var/www/squid-reports/Manual. pueden ser personalizados en base a diferentes criterios.] POLITICAS DE SEGURIDAD Sarg será configurado para generar reportes web de los accesos a Internet de forma periódica. cada reporte bajo su propio directorio. Juan Pérez que pertenece al Departamento de Recursos Humanos . Estos reportes son almacenados en el directorio /var/www/squidreports/Mensual. cada reporte bajo su propio directorio.  La función que cumple en esta parte de la política de seguridad intercambio de información adecuado de acuerdo al rol del personal de los datos en el Departamento de Recursos Humanos (RRHH) de la Empresa Petrolera Petrosur  Estará encabezado por el Ing. Ing. usuarios o dominios en especifico. Juan Pérez más un grupo de apoyo el cual asistirá en la colaboración de seguridad de los datos en caso de que el trabajo a realizar sea elevado y se tengan EMPRESA PETROLERA PETROSUR .CH. son almacenados en el directorio /var/www/squidreports/Semanal..  Reporte Manual Estos reportes son aquellos creados por el administrador del sistema y ejecutados manualmente.I. 11 .  Reporte Semanal Estos reportes son generados automáticamente por un trabajo de CRON cada semana a las 6:47 am y genera un reporte del día anterior.  Reporte Diario Estos reportes son generados automáticamente por un trabajo de CRON diario a las 6:25 am y genera un reporte del día anterior.G. OBJETIVO.Asegurar el intercambio correcto de información adecuado . cada reporte bajo su propio directorio.  Reporte Mensual Estos reportes son generados automáticamente por un trabajo de CRON cada mes a las 6:52 am y genera un reporte del día anterior. además de poder ejecutarlo manualmente para generar reportes de fechas.de acuerdo al rol del personal de los datos en el Departamento de Recursos Humanos (RRHH) de la Empresa Petrolera Petrosur DIRECTRICES  La persona de realizar este seguimiento acerca de todo este procedimiento será el Ing.C.[UNIVERSIDAD AUTONOMA JUAN MISAEL SARACHO F.

planes. De alguna manera también este grupo de apoyo tendrá la función de realizar este trabajo siempre y cuando esté autorizado por el encargado Ing. Para este efecto. derechos de reproducción. José Cabrera Cortez  Ing. 4. productos. códigos fuentes.[UNIVERSIDAD AUTONOMA JUAN MISAEL SARACHO F. Dependiendo del rol que tenga. Se realizara una vez al mes una prueba general del flujo de datos. El equipo de apoyo para la actividad será mencionado a continuación  Ing. estrategias. marca registrada y otros derechos de propiedad intelectual según lo manifestado en memos. el funcionario o proveedor autorizará a la entidad para realizar las revisiones y/o auditorias respectivas directamente o a través de terceros. De acuerdo a una previa reunión con todo el "Equipo Multidisciplinario" y la mesa directiva de la empresa se tomo las siguiente normas a tomar en cuenta una vez sea implementado la política de seguridad: 1. La entidad se reserva el derecho de acceder y de velar todos los mensajes enviados por medio del sistema de correo electrónico para cualquier propósito. El sistema de correo electrónico. EMPRESA PETROLERA PETROSUR . Juan Carlos Navarro  Ing.CH. Los funcionarios públicos. Marcos López Ávila NORMAS Política para usuarios finales que pertenecen al Departamento de Recursos Humanos y que tienen acceso a información de proveedores/clientes. La propiedad intelectual desarrollada o concebida mientras el trabajador se encuentre en sitios de trabajo alternos.I. 3.] POLITICAS DE SEGURIDAD     que instalar algunos software complementarios para eliminar algunos inconvenientes con el intercambio de información de acuerdo al rol del usuario. grupos de charla y utilidades asociadas de la entidad debe ser usado únicamente para el ejercicio de las funciones de competencia de cada funcionario y de las actividades contratadas en el caso de los clientes y proveedores 2. Juan Pérez De tal forma de mantener el orden del trabajo fácilmente. es propiedad exclusiva de la entidad. deberán aceptar. respetar y aplicar las políticas y prácticas de uso de Internet. documentación y otros materiales. Esta política incluye patentes. Ing. Los funcionarios públicos que hayan recibido aprobación para tener acceso a Internet a través de las facilidades de la entidad. programas de computación.C. 12 . no deben utilizar versiones escaneadas de Firmas hechas a mano para dar la impresión de que un mensaje de correo electrónico ó cualquier otro tipo de comunicación electrónica haya sido firmado por la persona que la envía.G. 5.

En todo caso deberán firmar el acuerdo de buen uso de los Recursos Informáticos. 9. También deben permitir que un rol de usuario administre el Administración de usuarios. Deberán permitir la asignación a cada usuario de posibles y diferentes roles. y la acumulación de 3 llamadas de atención es la emisión de un memorándum dirigida hacia el infractor.CH. documentos. Juan Pérez realizara un control una vez al mes. acerca de la importancia del Rol que cumplen como usuarios en la Empresa Petrosur y la forma de acceder de una manera más estratégica a los clientes. no utilizar el computador y desconectarlo de la red. 13 .[UNIVERSIDAD AUTONOMA JUAN MISAEL SARACHO F. o cualquier otro sistema de información público.por infringir la norma. 10. que sean estrictamente necesarios para el cumplimiento de su función. 8. de las comunicación correcta entre los usuarios de la empresa.G. * El compartir información o documentos falsos o modificados se considerará como un engaño a la institución y será sancionado con Despido y sin goce de las prestaciones establecidas por la Ley General del Trabajo. será sancionado con una llamada de atención . *El simple hecho de hacerse pasar como otro usuario con el objetivo de escalar privilegios será sancionado con la suspensión fija de la institución . definiendo las acciones permitidas por cada uno de estos. Los usuarios tendrán acceso a los Recursos Informáticos. correo. servicios que deben ser aprobados por quien será el Jefe inmediato o coordinador. En cualquier momento que un trabajador publique un mensaje en un grupo de discusión de Internet. Rol de Usuario: Los sistemas operacionales. Por que dicha infracción deja una mala imagen de la empresa.  El cual lo realizara parlamente con el grupo de apoyo descrito anteriormente en el capítulo de la directrices  De la misma manera también se llevara una charla al personal de Departamento de Recursos Humanos .C. PROCEDIMIENTOS El procedimiento de la política de seguridad mencionada se la realizara de la siguiente manera:  El ente directriz Ing. Si los usuarios sospechan que hay infección por un virus. 7. bases de datos y aplicativos deberán contar controles predefinidos o con un módulo que permita definir roles. deben inmediatamente llamar a la oficina de informática.I. en un boletín electrónico.  La charla estará dada por un miembro del equipo multidisciplinario. Existen una serie de sanciones para aquellos usuarios que infrinjan cualquiera de los puntos mencionados * El dar una mal uso a los servicios de internet.] POLITICAS DE SEGURIDAD 6. el Ing. Comercial Elías García Peñaranda  El cual se lo llevara a cabo en el salón de eventos de la empresa Petrosur EMPRESA PETROLERA PETROSUR . este mensaje debe ir acompañado de palabras que indiquen claramente que su contenido no representa la posición de la entidad.