[UNIVERSIDAD AUTONOMA JUAN MISAEL SARACHO

F.C.I.G.CH.]

POLITICAS DE SEGURIDAD

INTRODUCCION L a empresa petrolera Petrosur es una empresa comprometida con el desarrollo energtico de Bolivia, para lo cual tiene como actividades principales la exploracin y produccin de Hidrocarburos. La superficie operada directamente por Chaco tiene una extensin total de 144.425 hectreas, que incluyen un bloque de exploracin, 21 reas de explotacin de las cuales 14 estn en produccin, 7 en reserva, en cuatro departamentos de Bolivia. Adicionalmente Chaco participa como socio no operador en dos reas de explotacin. Como industrializadora del gas natural, la compaa tambin es propietaria de dos empresas afiliadas: la Compaa Elctrica Central Bulo Bulo S.A., en la provincia Carrasco, departamento de Cochabamba, y la planta engarrafadora de Gas Licuado de Petrleo (GLP), en Santa Cruz de la Sierra.

OBJETIVO.- Asegurar y proteger la confidencialidad de los datos en el rea Financiera de la Empresa

DIRECTRICES
El encargado de realizar este seguimiento acerca de todo este procedimiento ser el Ing. en Sistemas Oscar Quispe Vargas el cual pertenece al rea financiera de la empresa . La funcin que cumple en esta parte de la poltica de seguridad es encargarse de la seguridad de los datos de un grupo de maquinas pertenecientes al rea financiera. Estar encabezado por el Ing. Oscar Quispe Vargas ms un grupo de apoyo el cual asistir en la colaboracin de seguridad de los datos en caso de que el trabajo a realizar sea elevado y moroso. De alguna manera tambin este grupo de apoyo tendr la funcin de realizar este trabajo siempre y cuando est autorizado por el encargado Ing. Oscar Quispe Vargas De tal forma de mantener el orden del trabajo fcilmente. Los das que se van a ser los anlisis de los datos ser dos veces al mes : Cada 10 y 31 de cada mes En caso de existir algn percance o haber algn acontecimiento que impida llevar a cabo este anlisis de datos. La actividad ser recorrida automticamente para el da siguiente.

EMPRESA PETROLERA PETROSUR

[UNIVERSIDAD AUTONOMA JUAN MISAEL SARACHO

F.C.I.G.CH.]

POLITICAS DE SEGURIDAD

En caso de que el inconveniente se prolongue (por ejemplo un paro indefinido con puertas cerradas de la empresa) la actividad ser realizada el primer da hbil despus de concluido el inconveniente

El equipo de apoyo para la actividad ser mencionado a continuacin Ing. Josu Moiss Huanca Laura Ing. Veimar Mamani Ing. Alex Romero

NORMAS
Poltica para usuarios finales que pertenecen al departamento Financiero y que tienen acceso a informacin de proveedores/clientes. De acuerdo a una previa reunin con todo el "Equipo Multidisciplinario" y la mesa directiva de la empresa se tomo las siguiente normas a tomar en cuenta una vez sea implementado la poltica de seguridad: 1.- El usuario final con acceso a informacin de clientes/proveedores de la empresa tendr los siguientes privilegios: * El usuario tiene derecho a solicitar los permisos necesarios para acceder a la informacin de los sistemas que requiera a fin de consulta para realizar sus labores diarias dentro de la empresa. 2.- El usuario final con accesos a los sistemas informticos de la empresa en donde se presente informacin sensible por parte de clientes, deber entender su responsabilidad por el uso de la informacin bajo los siguientes puntos. * El usuario tendr acceso nicamente a los datos que as requiera para realizar sus labores dentro de la empresa. * El usuario slo podr utilizar la informacin para consulta y est bajo ningn termino deber ser reproducida, copiada o archivada en dispositivos que pudiesen dar cabida a que la informacin utilizada salga de la empresa. * El usuario deber informar cualquier inconsistencia respecto a los puntos anteriormente mencionados. * El usuario est obligado a guardar confidencialidad sobre la informacin a la que accede y esta solo podr ser compartida con su jefe inmediato o personal del mismo parlamento el cual tambin tenga acceso a dicha informacin va email para guardar evidencia de cada solicitud requerida.

EMPRESA PETROLERA PETROSUR

[UNIVERSIDAD AUTONOMA JUAN MISAEL SARACHO

F.C.I.G.CH.]

POLITICAS DE SEGURIDAD

3.- Existen una serie de sanciones para aquellos usuarios que infrinjan cualquiera de los puntos mencionados en el punto 2. * El compartir informacin con personal externo al departamento sin el consentimiento escrito (va correo electrnico) del jefe de ambos departamentos ser sancionado con 2 das de suspensin de labores. * El compartir informacin con personal externo se considerar como un robo a la misma y ser sancionado con Despido y sin goce de las prestaciones establecidas por la Ley General del Trabajo. * El sustraer informacin por cualquier medio de la empresa ya sea de manera electrnica o fsica se considera como robo por parte de la empresa y ser sancionado con Despido sin goce de las prestaciones establecidas por la empresa y por la Ley General del Trabajo.

PROCEDIMIENTOS
El procedimiento de la poltica de seguridad mencionada se la realizara de la siguiente manera: El ente directriz Ing. Oscar Quispe realizara un control dos veces al mes, de todos aquellos flujos de datos que circularon en la red. El cual lo realizara parlamente con el grupo de apoyo descrito anteriormente en el captulo de la directrices . Tambin se llevara a cabo una conferencia acerca de lo gran importancia de los datos en la empresa y el rol importante que cumple cada usuario del rea Financiera de la Empresa Petrosur La herramienta a utilizar ser el Wireshark . Los detalles acerca de la herramienta y la conferencia se detallan a continuacin: Herramienta Wireshark Es una herramienta interactiva para analizar el trfico de red. Permite ver el contenido de todos los paquetes que entran y salen por una interfaz de red, lo cual es muy til para monitorear el trfico de una red (por ejemplo ver qu protocolos se estn utilizando, que hosts estn distribuyendo malware, etc.) Antes que nada, tras arrancar Wireshark, el menu Capture > Interfaces. nos muestra la siguiente pantalla:

EMPRESA PETROLERA PETROSUR

[UNIVERSIDAD AUTONOMA JUAN MISAEL SARACHO

F.C.I.G.CH.]

POLITICAS DE SEGURIDAD

Solo tendremos que pulsar en Start para capturar a travs de la interface que nos interese. Inmediatamente Wireshark comienza a capturar. El problema es que nos lo captura todo, todos los protocolos, etc:

Igual no nos interesa capturarlo todo. Queremos filtrar. Para filtrar podemos hacer uso de la ya aprendido en los filtros TCPDump / Windump, ya que usa la misma libreria libpcap. Podemos filtrar a travs de Capture Filter o usar el campo correspondiente:

EMPRESA PETROLERA PETROSUR

[UNIVERSIDAD AUTONOMA JUAN MISAEL SARACHO

F.C.I.G.CH.]

POLITICAS DE SEGURIDAD

Capturamos los paquetesde segmento TCP cuyo destino sea el puerto 34. Pero como ya hemos aprendido a usar filtros ms avanzados, introducimos directamente el filtro de esta forma: icmp[0:1] == 08 (en windump es sufciciente con un solo signo =) Con lo que capturaramos los icmp de tipo echo request. O cualquiera de estos: ip[9] == 1 tcp dst port 110 http contains frame contains @miempresa.es

Con este ltimo filtro capturamos todos los correos con origen y destivo al dominio miempresa.es, incluyendo usuarios, pass, etc. En suma podemos usar cualquier tipo de filtro de los que usamos con Windump o TCPDump y alguno ms propio de Wireshark. En otra ocasin nos centraremos en estos filtros y todas las nuevas posibilidades que nos ofrece wireshark. Ahora vamos a estudiar un poco la intrerpretacin de los datos. Tras una captura nos encontramos con esta salida:

EMPRESA PETROLERA PETROSUR

[UNIVERSIDAD AUTONOMA JUAN MISAEL SARACHO Acerca de la conferencia

F.C.I.G.CH.]

POLITICAS DE SEGURIDAD

Tema principal:Cmo proteger los datos de mi empresa? La seguridad no es slo una responsabilidad de los departamentos de informtica y de seguridad. Los usuarios finales tenemos un papel muy importante que cumplir, ya que somos los que creamos y manipulamos los documentos importantes. Averige cmo hacerlo de un modo seguro.

La seguridad de la informacin es una responsabilidad que debe asumir el usuario final, ya que es quien crea y manipula los documentos importantes. Debe hacerlo de un modo seguro. Habitualmente, las personas a las que se les ha encargado la custodia de un objeto perteneciente a la empresa tienen cuidado de no deteriorar el mismo y que se mantenga en las mejores condiciones operativas. Pero, cul es el valor real que tiene este objeto para la empresa? Si, por ejemplo, estuviramos hablando de un camin entregado a un chofer para transportar piezas entre una fbrica y el punto de venta, el valor real para la empresa viene dado por la cantidad de kilmetros que puede realizar ste ininterrumpidamente, maximizando as el nmero de piezas transportadas. De esta manera, habr que cuidar el mantenimiento del vehculo para evitar averas prolongadas que pongan en peligro el abastecimiento a la red comercial. En el caso de un trabajador de nuestros das, que vivimos y trabajamos en lo que comnmente se denomina Sociedad de la Informacin, el instrumento ms importante que la empresa nos confiere es el ordenador. Siguiendo la misma analoga que hemos hecho anteriormente, podramos pensar que el coste de reposicin del ordenador no es el nico coste que la empresa (y el trabajador) tiene que considerar. La informacin almacenada en l es el activo que realmente posibilita la creacin de valor aadido y es lo que realmente necesita ser protegido para garantizar su disponibilidad en todo momento. Hoy en da, reemplazar un ordenador tpico cuesta del orden de 500 a 2.000 euros, sin embargo, volver a generar la informacin contenida en un ordenador puede costar de 10 a 100 veces ms o incluso llegar a ser imposible hacerlo. Es esta informacin, el verdadero activo que la compaa est interesada en proteger y el trabajador debe tomar conciencia de los instrumentos que tiene a su disposicin para ello. Establezcamos un escenario factible: En un viaje de negocios el ordenador porttil con el que estamos viajando es robado. La empresa reemplazar el ordenador comprando un nuevo equipo y cargar los programas utilizando los discos originales. Pero los documentos de trabajo y los correos electrnicos no podrn ser cargados de nuevo a no ser que se hayan tomado las medidas oportunas y los datos hayan sido guardados en un lugar seguro.

EMPRESA PETROLERA PETROSUR

[UNIVERSIDAD AUTONOMA JUAN MISAEL SARACHO

F.C.I.G.CH.]

POLITICAS DE SEGURIDAD

El coste del incidente no solo se limita al coste de reemplazo del equipo informtico. Dicho coste es despreciable en comparacin con el de mantener un empleado improductivo mientras se intenta recuperar la informacin que necesitamos para llevar a cabo nuestra labor. Todo el prrafo anterior solo es el resumen de la dinmica y el evento a realizarse mientras se elabora la poltica de seguridad diseada

OBJETIVO.- Proveer el acceso de internet a sitios confiables relacionados estrictamente con los objetivos
de la Empresa Petrolera Petrosur

DIRECTRICES
El encargado de realizar el seguimiento acerca de todo este procedimiento ser el Ing. Mario Vega , realizara un seguimiento estricto de la poltica de seguridad a implementar. La funcin que cumple en esta parte de la poltica de seguridad es proveer el acceso de internet a sitios confiables relacionados estrictamente con los objetivos de la Empresa Petrolera Petrosur Estar encabezado por el Ing. Mario Vega , ms un grupo de apoyo el cual ayudara de que con el fin el trabajo a realizar no sea elevado para el encargado. De alguna manera tambin este grupo de apoyo tendr la funcin de realizar este trabajo siempre y cuando est autorizado por el encargado Ing. Mario Vega El trabajo de implementacin de la poltica ser realizada durante un lapso de 7 das hbiles. Con el fin de poder realizar un estudio acerca de los sitios a los que puedan acceder los usuarios y en base a ello, implementar la poltica de seguridad para la red El mantenimiento se efectuara dos veces por semana con el fin de que los datos de nuestro servidor proxy permanezca y que la red con caiga. El equipo de apoyo para la actividad ser mencionado a continuacin: Tec. Mauricio Cabrera Ing. Javier Teran Ing. Wilson Guevara

EMPRESA PETROLERA PETROSUR

[UNIVERSIDAD AUTONOMA JUAN MISAEL SARACHO

F.C.I.G.CH.]

POLITICAS DE SEGURIDAD

NORMAS
Poltica para usuarios finales que tienen acceso una estacin de trabajo (host) y que tienen acceso a internet en la empresa. De acuerdo a una previa reunin con todo el "Equipo Multidisciplinario" y la mesa directiva de la empresa se tomo las siguiente normas a tomar en cuenta una vez sea implementado la poltica de seguridad: 1. El usuario solo podr acceder a los sitios mencionados a continuacin: * Pagina Web oficial de la Empresa Petrosur *Sitio de Tipos de cambio de dinero, con el fin de poder informarse acerca de valor del dlar, peso argentino y euros. *Podr utilizar el servicio de Outlook asignado por el encargado de la empresa y no as accediendo como un usuario distinto de la empresa 2. El usuario no podr acceder a paginas de videojuegos, redes sociales, paginas de descargas, y paginas de videos u otros medio que pueda causa distraccin. 3. Los usuarios son responsables de todas las actividades llevadas a cabo con su cdigo de identificacin de usuario y sus claves personales. Y en caso de cometer alguna infraccin a esta norma sern sancionados. 4. En caso de tratar de ingresar a las paginas restringidas mencionadas anteriormente, con diversos software como el ultra sur, etc. De igual manera ser tomado como un atentado a la poltica de seguridad de la red de la empresa. 5. Si el usuario por algn motivo quisiera acceder a paginas no sugeridas o autorizadas por el directorio deber solicitar un permiso para el acceso, que de otra manera si se logra sorprender cometiendo el acto de igual manera ser sancionado 6. Existen una serie de sanciones para aquellos usuarios que infrinjan cualquiera de los puntos mencionados anteriormente * El intento de ingresar por cualquier medio o de otra manera tratando vulnerar el ACL configurado ser sancionado con un memorndum emitido por el directorio de la empresa Petrosur *En caso de llegar a los 3 memorndum , ser sancionado con Despido y sin goce de las prestaciones establecidas por la Ley General del Trabajo. *No se aceptaran reclamos o justificaciones, por la realizacin de actos que fueron en contra de la normas establecidas, por lo cual tambin los usuarios firmaron en el contrato de ingreso a la empresa la aceptacin a las polticas de seguridad de la empresa.

EMPRESA PETROLERA PETROSUR

[UNIVERSIDAD AUTONOMA JUAN MISAEL SARACHO

F.C.I.G.CH.]

POLITICAS DE SEGURIDAD

PROCEDIMIENTOS
El procedimiento de la poltica de seguridad mencionada se la realizara de la siguiente manera: El ente directriz Ing. Mario Vega realizara dos veces por semana para realizar un seguimiento de la red, para evitar la prdida de datos y que caiga la red. El cual lo realizara parlamente con el grupo de apoyo descrito anteriormente en el captulo de la directrices Las herramientas a utilizar para la implementacin de la poltica de seguridad ser el Servidor Proxy Squid con complemento Sarg para emitir los reportes.

Squid
Denegar el acceso a ciertos Sitios de Red permite hacer un uso ms racional del ancho de banda con el que se dispone. El funcionamiento es verdaderamente simple y consiste en denegar el acceso a nombres de dominio o direcciones de Internet que contengan patrones en comn. Este documento detalla en su totalidad la manera de restringir ciertos sitios no recomendados de acuerdo a la poltica de seguridad de la empresa. Restriccin por expresiones regulares. Para restringir el acceso por dominios, se crea un archivo con lista con dominios. vim /etc/squid/listas/dominios-denegados Los nombres pueden ser nombres de dominio especficos: www.facebook.com www.twitter.com plus.google.com O bien puede definirse todo el dominio completo, incluyendo sub-dominios: .facebook.com .twitter.com Nota. Si define .dominio.com, es innecesario definir www.dominio.com o mail.dominio.com o ftp.dominio.com, etc., pues todos son subdominios de .dominio.com:

EMPRESA PETROLERA PETROSUR

[UNIVERSIDAD AUTONOMA JUAN MISAEL SARACHO

F.C.I.G.CH.]

POLITICAS DE SEGURIDAD

O bien se pueden definir dominios de nivel superior genricos o geogrficos. .co.jp .com.cn .im .tv .xxx O bien una combinacin de todo lo anterior. .co.jp .com.cn .facebook.com plus.gogle.com .tv .twitter.com.im .xxx Edite el archivo /etc/squid/squid.conf. vim /etc/squid/squid.conf Aada una lista de control, denominada dominios-denegados, de acceso tipo dstdomain (dominios de destino), que defina al la lista en el archivo /etc/squid/listas/dominios-denegados. acl dominios-denegados dstdomain "/etc/squid/listas/dominios-denegados" Aada una regla de control de acceso que deniegue el acceso a sitios que estn incluidos en la lista de dominios. http_access allow localnet !expreg-denegadas !dominios-denegados

Sarg
SARG es una herramienta de analisis de logs de Squid, tiene soporte para generar reportes en diferentes idiomas, mediante los reportes de uso web usted podra obtener la siguiente informacin:

Top Ten de sitios ms visitados Reportes diarios, semanales y mensuales Grficas semanales y mensuales del consumo por usuario/host Detalles de todos los sitios a los que entro un usuario/host Descargas

EMPRESA PETROLERA PETROSUR

10

[UNIVERSIDAD AUTONOMA JUAN MISAEL SARACHO

F.C.I.G.CH.]

POLITICAS DE SEGURIDAD

Sarg ser configurado para generar reportes web de los accesos a Internet de forma peridica, adems de poder ejecutarlo manualmente para generar reportes de fechas, usuarios o dominios en especifico.

Reporte Manual Estos reportes son aquellos creados por el administrador del sistema y ejecutados manualmente, pueden ser personalizados en base a diferentes criterios, son almacenados en el directorio /var/www/squid-reports/Manual, cada reporte bajo su propio directorio.

Reporte Diario Estos reportes son generados automticamente por un trabajo de CRON diario a las 6:25 am y genera un reporte del da anterior, son almacenados en el directorio /var/www/squid-reports/Diario, cada reporte bajo su propio directorio.

Reporte Semanal Estos reportes son generados automticamente por un trabajo de CRON cada semana a las 6:47 am y genera un reporte del da anterior, son almacenados en el directorio /var/www/squidreports/Semanal, cada reporte bajo su propio directorio.

Reporte Mensual Estos reportes son generados automticamente por un trabajo de CRON cada mes a las 6:52 am y genera un reporte del da anterior. Estos reportes son almacenados en el directorio /var/www/squidreports/Mensual, cada reporte bajo su propio directorio.

OBJETIVO.- Asegurar el intercambio correcto de informacin adecuado ,de acuerdo al rol del personal de
los datos en el Departamento de Recursos Humanos (RRHH) de la Empresa Petrolera Petrosur

DIRECTRICES
La persona de realizar este seguimiento acerca de todo este procedimiento ser el Ing. Juan Prez que pertenece al Departamento de Recursos Humanos . La funcin que cumple en esta parte de la poltica de seguridad intercambio de informacin adecuado de acuerdo al rol del personal de los datos en el Departamento de Recursos Humanos (RRHH) de la Empresa Petrolera Petrosur Estar encabezado por el Ing. Ing. Juan Prez ms un grupo de apoyo el cual asistir en la colaboracin de seguridad de los datos en caso de que el trabajo a realizar sea elevado y se tengan

EMPRESA PETROLERA PETROSUR

11

[UNIVERSIDAD AUTONOMA JUAN MISAEL SARACHO

F.C.I.G.CH.]

POLITICAS DE SEGURIDAD

que instalar algunos software complementarios para eliminar algunos inconvenientes con el intercambio de informacin de acuerdo al rol del usuario. De alguna manera tambin este grupo de apoyo tendr la funcin de realizar este trabajo siempre y cuando est autorizado por el encargado Ing. Ing. Juan Prez De tal forma de mantener el orden del trabajo fcilmente. Se realizara una vez al mes una prueba general del flujo de datos. El equipo de apoyo para la actividad ser mencionado a continuacin Ing. Juan Carlos Navarro Ing. Jos Cabrera Cortez Ing. Marcos Lpez vila

NORMAS
Poltica para usuarios finales que pertenecen al Departamento de Recursos Humanos y que tienen acceso a informacin de proveedores/clientes. De acuerdo a una previa reunin con todo el "Equipo Multidisciplinario" y la mesa directiva de la empresa se tomo las siguiente normas a tomar en cuenta una vez sea implementado la poltica de seguridad: 1. El sistema de correo electrnico, grupos de charla y utilidades asociadas de la entidad debe ser usado nicamente para el ejercicio de las funciones de competencia de cada funcionario y de las actividades contratadas en el caso de los clientes y proveedores 2. La entidad se reserva el derecho de acceder y de velar todos los mensajes enviados por medio del sistema de correo electrnico para cualquier propsito. Para este efecto, el funcionario o proveedor autorizar a la entidad para realizar las revisiones y/o auditorias respectivas directamente o a travs de terceros. 3. Los funcionarios pblicos, no deben utilizar versiones escaneadas de Firmas hechas a mano para dar la impresin de que un mensaje de correo electrnico cualquier otro tipo de comunicacin electrnica haya sido firmado por la persona que la enva. Dependiendo del rol que tenga. 4. La propiedad intelectual desarrollada o concebida mientras el trabajador se encuentre en sitios de trabajo alternos, es propiedad exclusiva de la entidad. Esta poltica incluye patentes, derechos de reproduccin, marca registrada y otros derechos de propiedad intelectual segn lo manifestado en memos, planes, estrategias, productos, programas de computacin, cdigos fuentes, documentacin y otros materiales. 5. Los funcionarios pblicos que hayan recibido aprobacin para tener acceso a Internet a travs de las facilidades de la entidad, debern aceptar, respetar y aplicar las polticas y prcticas de uso de Internet.

EMPRESA PETROLERA PETROSUR

12

[UNIVERSIDAD AUTONOMA JUAN MISAEL SARACHO

F.C.I.G.CH.]

POLITICAS DE SEGURIDAD

6. En cualquier momento que un trabajador publique un mensaje en un grupo de discusin de Internet, en un boletn electrnico, o cualquier otro sistema de informacin pblico, este mensaje debe ir acompaado de palabras que indiquen claramente que su contenido no representa la posicin de la entidad. 7. Si los usuarios sospechan que hay infeccin por un virus, deben inmediatamente llamar a la oficina de informtica, no utilizar el computador y desconectarlo de la red. 8. Rol de Usuario: Los sistemas operacionales, bases de datos y aplicativos debern contar controles predefinidos o con un mdulo que permita definir roles, definiendo las acciones permitidas por cada uno de estos. Debern permitir la asignacin a cada usuario de posibles y diferentes roles. Tambin deben permitir que un rol de usuario administre el Administracin de usuarios. 9. Los usuarios tendrn acceso a los Recursos Informticos, que sean estrictamente necesarios para el cumplimiento de su funcin, servicios que deben ser aprobados por quien ser el Jefe inmediato o coordinador. En todo caso debern firmar el acuerdo de buen uso de los Recursos Informticos. 10. Existen una serie de sanciones para aquellos usuarios que infrinjan cualquiera de los puntos mencionados * El dar una mal uso a los servicios de internet, correo, documentos, ser sancionado con una llamada de atencin ,por infringir la norma, y la acumulacin de 3 llamadas de atencin es la emisin de un memorndum dirigida hacia el infractor. * El compartir informacin o documentos falsos o modificados se considerar como un engao a la institucin y ser sancionado con Despido y sin goce de las prestaciones establecidas por la Ley General del Trabajo. Por que dicha infraccin deja una mala imagen de la empresa. *El simple hecho de hacerse pasar como otro usuario con el objetivo de escalar privilegios ser sancionado con la suspensin fija de la institucin .

PROCEDIMIENTOS
El procedimiento de la poltica de seguridad mencionada se la realizara de la siguiente manera: El ente directriz Ing. Juan Prez realizara un control una vez al mes, de las comunicacin correcta entre los usuarios de la empresa. El cual lo realizara parlamente con el grupo de apoyo descrito anteriormente en el captulo de la directrices De la misma manera tambin se llevara una charla al personal de Departamento de Recursos Humanos , acerca de la importancia del Rol que cumplen como usuarios en la Empresa Petrosur y la forma de acceder de una manera ms estratgica a los clientes. La charla estar dada por un miembro del equipo multidisciplinario, el Ing. Comercial Elas Garca Pearanda El cual se lo llevara a cabo en el saln de eventos de la empresa Petrosur

EMPRESA PETROLERA PETROSUR

13