Seguridad de La Informacion en Auditorias Clase2

7/24/2019 Seguridad de La Informacion en Auditorias Clase2

1/20

I S C

C

S I P A

SEGURIDAD DE LA

INFORMACINEN AUDITORAS


2/20

Se permite la reproduccin, parcial o total, de esta publicacin, sin alteracin del contenido, siempre y cuando se citela fuente y no se ulice con nes comerciales.

Copyright 2014, Tribunal de Cuentas de la Unin

Est matal fuc cca. La lma actualzac ocu abl 2014. Las amacos y

oos so sosabla xclusa l auto y u o xsa la osc ocal l Tbual

Cutas la U.

Atencin!

RESPONSABILIDAD POR EL CONTENIDO

Tribunal de Cuentas de la Unin

Secretara General de la Presidencia

Asesora de la Seguridad de la Informacin y Gobernanza de TI

REDACCIN

Rodrigo Melo do Nascimento

REVISIN TCNICA

Gelson HeinricksonGeraldo Magela Lopes de Freitas

Helton Fabiano Garcia

Juliana Belmok Bordin

Luisa Helena Santos Franco

Marisa Alho Maos de Carvalho

Mnica Gomes Ramos Bimbato

ASESORAMIENTO PEDAGGICO

Arthur Colao Pires de Andrade

RESPONSABILIDAD EDITORIAL

Tribunal de Cuentas de la Unin

Secretara General de la PresidenciaInstuto Serzedello Corra

Centro de Documentacin

Editorial del TCU

PROYECTO GRFICO

Ismael Soares Miguel

Paulo Prudncio Soares Brando Filho

Vivian Campelo Fernandes

DIAGRAMACIN

Vanessa Vieira Ferreira da Silva
http://%3Cwww.tcu.gov.br%3E/http://%3Cwww.tcu.gov.br%3E/


3/20[ 3 ]Clase 2 - Seguridad de la Informacin en la Planicacin de Auditoras

CLASE 2 - Seguridad de la Informacin en la

Planicacin de Auditoras

Introduccin

Vimos en la Clase 1 algunos conceptos bsicos de seguridad de lainormacin que nos permitirn, a partir de ahora y hasta el final del curso,abordar las buenas prcticas de seguridad aplicables a auditoras bajo unenoque eminentemente prctico.

En esta Clase 2, veremos cmo la seguridad de la inormacin nospuede ayudar en la etapa de planificacin de la auditora. En ese contexto,

se destaca la importancia de la proteccin de las inormaciones relativas ala etapa de planificacin y se abordan los procedimientos necesarios a lapreparacin de equipos y de dispositivos mviles, con el fin de protegerlas inormaciones que sern producidas o recibidas durante la etapa deejecucin.

Para acilitar el estudio, esta clase est organizada de la siguienteorma:

1. La seguridad de la informacin en auditoras................................................. 5

1.1 - Insuficiencia de los controles tecnolgicos................................................ 5

1.2 - Importancia de las buenas prcticas en el contexto de las auditoras .......6

1.3 Clasificacin de las informaciones producidas o recibidas en auditoras 8

2. Etapa de planificacin de la auditora............................................................ 10

2.1 Proteccin de las informaciones de la etapa de planificacin ................10

2.2 - Conocimiento de la Poltica de Seguridad de la Informacin de la orga-

nizacin auditada................................................................................................ 11

3. Procedimientos previos a la etapa de ejecucin ............................................. 12

3.1 - Preparacin de computadoras porttiles .................................................. 12

3.1.1 - Porttiles corporativos........................................................................... 13

3.1.2 - Notebooks particulares............................................................................ 14

3.1.3 - Programas de seguridad para apoyo a la auditora .............................. 15

3.1.4 Conexin a Internet................................................................................. 16

3.2 - Preparacin del pen drive(memoria USB) .................................................. 17

3.3 - Acceso a sistemas de la organizacin auditada ......................................... 17


4/20[ 4 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS

Al final de esta clase, esperamos que sea capaz de:

y comprenderla importancia de la seguridad de la inormacinen el contexto de las auditoras.

y comprender la importancia de proteger las inormacionesrelativas a la etapa de planificacin de la auditora.

y concienciarse acerca de la necesidad de proteger las

inormaciones que sern producidas o recibidas al realizarse lasauditoras.

y describir los procedimientos de preparacin de los equipos ydispositivos mviles que sern utilizados en campo.

4. Sntesis............................................................................................................. 19

5. Referencias bibliogrficas.............................................................................. 20



1. La seguridad de la informacin en auditoras

Es necesaria la seguridad de la informacin en las auditoras?

1.1 - Insuciencia de los controles tecnolgicos

Al hablar de seguridad de la inormacin es muy comn acordarnos delas tecnologas de la inormacin (TI), aunque hayamos visto en la primeraclase del curso que tal asociacin no es obligatoria, pues la inormacindebe ser protegida independientemente de su medio de soporte ser el sico(papel) o el electrnico.

Instrumentos tecnolgicos como antivirus yfirewallsson importantes,pero insuficientes, en el caso de que se quiera otorgar a la inormacin unaproteccin eectiva. Considere la siguiente situacin hipottica:

Fulano, auditor en determinada EFS, tiene en su computadora

corporativa un excelente antivirus, con todas las actualizaciones del sistema

operativo instaladas y una conexin a Internet lo suficientemente segura.

Tales aspectos tecnolgicos tienen la autorizacin del rea de TI. Fulano,

sin embargo, en el mismo ordenador corporativo suele compartir su clave de

acceso a la red de la EFS con otras personas, guarda inormes de auditora e

instrucciones no pblicas en su memoria USB sin ninguna proteccin, guarda

archivos localmente sin realizar copia de seguridad y suele hacer clic en links

sospechosos contenidos en correos electrnicos y redes sociales.

Este ejemplo demuestra que la uerte inversin en avanzados controlestecnolgicos puede no ser eectiva por la no observancia de buenasprcticas comportamentales en seguridad de la inormacin. En la situacindescripta, el uncionario Fulano puede comprometer la confidencialidad

de las inormaciones de la EFS al guardar documentos no pblicos en sumemoria USB sin utilizar procedimientos de seguridad adecuados, pueseste podra ser perdido o hurtado y, en ese caso, terceros tendran accesoa las inormaciones indebidamente. Adems, Fulano coloca en riesgola disponibilidad de las inormaciones al guardar apenas localmente susarchivos, sin realizar copia de seguridad (lo ideal sera guardar los archivosen dispositivos de almacenamiento corporativos, como la red de la EFS,por ejemplo), pues es posible que la computadora presente problemastcnicos y no se pueda acceder a los documentos. Adems, al hacer clic enlinks sospechosos de orma indiscriminada en correos electrnicos y redessociales, Fulano puede someter la organizacin a programas maliciosos oa personas mal intencionadas, que podran acceder indebidamente a lasinormaciones o incluso corromperlas. Por ltimo, al compartir su clave de



acceso a la red, abre la posibilidad de que personas no autorizadas haganoperaciones en la red en nombre de Fulano o accedan a datos sigilosos,comprometiendo la autenticidad o la confidencialidad de las inormaciones.

De este modo, los riesgos a los que la inormacin est sujeta solosern debidamente reducidos conjugando controles tecnolgicos a buenasprcticas, o sea, el actor comportamental es crucial para resguardar laconfidencialidad, la integridad, la disponibilidad y la autenticidad de lainormacin.

Esto vale para cualquier actividad desempeada por las EFSs, enlas que la inormacin es tanto insumo como producto en el desempeode sus competencias constitucionales y, bajo tal perspectiva, la adecuada

proteccin de las inormaciones es un actor esencial para el cumplimientode su misin institucional.

1.2 - Importancia de las buenas prcticas en el contexto de

las auditoras

La observancia de buenas prcticas de seguridad de la inormacin esencialmente relacionadas con el comportamiento en las actividadesfiscalizadoras de las EFSs impacta directamente en la calidad de lasauditoras y el resultado de los trabajos.

De esta manera, por ejemplo, una auditora basada en pruebas cuyaintegridad sea susceptible de ser cuestionada por la organizacin auditadapodr tener su objetivo comprometido. Aunque el equipo undamente muybien sus alegaciones en el inorme de auditora, gestores de la organizacinpueden colocar en duda la integridad de esas pruebas, alegando, porhiptesis, que ciertas hojas de Excel, aportadas durante la etapa de laejecucin, no corresponden exactamente a aquellas que ueron insertadas

en el proceso. Adems, es muy probable que la instancia decisoria de la EFSno se sienta segura para determinar las medidas apropiadas en caso de quela auditora se base en pruebas de integridad dudosa.

Del mismo modo, si inormaciones protegidas por sigilo fiscal sonsuministradas por determinada organizacin al equipo de auditora y,por descuido, se filtran esas inormaciones en virtud, por ejemplo,de la prdida de una computadora porttil (notebook) en la que talesinormaciones estaban almacenadas se podr manchar la honra de losgestores de la organizacin auditada. En esa hiptesis, es probable que, enuturas fiscalizaciones, la organizacin en cuestin no sea tan cooperativacon los auditores por causa de la filtracin previa de inormaciones, lo quecoloca en riesgo uturos trabajos de fiscalizacin.



Los ejemplos presentados evidencian lo importante que es asociarinstrumentos tecnolgicos a comportamientos ms seguros, adoptandocontroles que traigan ms seguridad a la inormacin que se est tratando.En el primer caso, el equipo de auditora podra haber solicitado lafirma con certificado digital de las hojas de Excel o, alternativamente, enel caso de que los gestores de la organizacin auditada no tuviesen eserecurso tecnolgico, el equipo podra haber usado un sofware de hashpara resguardar la integridad de la inormacin. En el segundo caso, lasinormaciones protegidas por sigilo guardadas en la computadora porttilpodran haber sido protegidas con criptograa, lo que evitara el accesoindebido por terceros y la consecuente filtracin de esas inormaciones.

Por lo tanto, en las fiscalizaciones en general, el equipo de auditora

recibe y produce inormaciones que precisan ser protegidas por intermediotanto de controles tecnolgicos como de buenas prcticas de carctercomportamental.

Por medio de la adopcin de buenas prcticas comportamentalesde seguridad de la inormacin aliadas a instrumentos tecnolgicos, seminimizan los riesgos de filtracin de inormaciones, de comprometimientode integridad de las pruebas y evidencias e, incluso, de la nulidad del proceso.

En Brasil, documentos

electrnicos rmados

digitalmente con certicados

digitales emitidos por

organizacin legalmente

competente tienen la

misma validad jurdica

que documentos en papel

con rma reconocida ante

escribano.

Proteccin de las informaciones en auditoras

Para la adecuada proteccin de las inormaciones recibidas o producidasen auditoras, es undamental combinar:

a) Buenas prcticas de seguridad de la inormacin (actor

comportamental); e

b) Instrumentos tecnolgicos apropiados (actor tecnolgico).

Sintetizando esquemticamente:

FACTOR RELACIONADO CON EL COMPORTAMIENTO+ FACTOR TECNOLGICO = PROTECCIN DE LA

INFORMACIN

Acurdese: proteger las inormaciones en fiscalizaciones esresponsabilidad de todos los componentes del equipo de auditora.



1.3 Clasicacin de las informaciones producidas o

recibidas en auditoras

Como vimos al final de la clase anterior, en general, las inormacionesrelativas a auditoras en Brasil no son pblicas hasta que la EFS manifiestesu decisin en el respectivo proceso de control externo.

Para acilitar la comprensin, transcribimos a continuacindispositivos de la Ley de Acceso a la Inormacin (correspondiente a lo quese denomina Ley da Transparencia en algunos pases) y de la Resolucin-TCU n 249/2012, verbis (subrayados nuestros):

BRASIL Ley n 12.527/2011 (Ley de Acceso a la Inormacin -LAI)

Art. 7oEl acceso a la inormacin del que trata esta Ley comprende,entre otros, los derechos de obtener:

[...]

VII - inormacin relativa:

[...]

b) al resultado de inspecciones, auditoras, rendiciones y revisiones

de cuentas realizadas por los rganos de control interno y externo,incluyendo rendiciones de cuentas relativas a ejercicios anteriores.

[...]

3o El derecho de acceso a los documentos, o a las inormacionesque los mismos contienen, utilizados como undamento de larevisin de decisin y del acto administrativo ser asegurado conla edicin del acto decisorio respectivo.

[...]

Art. 23. Se consideran imprescindibles a la seguridad de lasociedad o del Estado y, por lo tanto, pasibles de clasificacin lasinormaciones cuya divulgacin o acceso irrestricto pueda:

[...]

VIII - comprometer actividades de inteligencia, as como deinvestigacin o fiscalizacin en curso, relacionadas con laprevencin o represin de inracciones.



BRASIL Tribunal de Cuentas de la Unin Resolucin-TCU n249/2012:

Art. 4 Es derecho de cualquier interesado obtener junto al TCU:

[...]

VII - inormacin relativa:

[...]

b) al resultado de inspecciones, auditoras, rendiciones y revisionesde cuentas realizadas por el Tribunal, incluyendo rendiciones decuentas relativas a ejercicios anteriores.

[...]

1 El derecho de acceso a los documentos o a las inormacionesque ellos contienen utilizados como undamento de la revisin dedecisin y del acto administrativo ser asegurado con la edicindel acto decisorio respectivo, que, en el caso de proceso de controlexterno, ser el allo del TCU o despacho del relator con decisinde mrito.

Por lo tanto, en Brasil, en los trminos del art. 23, VIII, de la LAI, lasinormaciones relativas a auditoras no concluidas son imprescindibles a laseguridad de la sociedad o del Estado, pues se refieren a una fiscalizacinen curso y su acceso tiene que estar debidamente protegido mientras lafiscalizacin no est concluida.

Clasificacin de las informaciones en auditoras

No es raro que, en el mbito de un trabajo de fiscalizacin, el auditorproduzca documentos a partir de inormaciones no pblicas,recibidas de la organizacin auditada. En ese caso, los documentos

producidos deben ser clasificados por el agente pblico legalmentecompetente, sea de la organizacin auditada o de la EFS en gradono pblico.

En el TCU, las inormaciones producidas solo pueden ser clasificadaspor algunas autoridades. Ya las inormaciones recibidas deben serclasificadas por la organizacin auditada, sujeto a la consecuencia deque se las presuma como pblicas.

Para ms detalles sobre la clasificacin de las inormaciones en la EFSbrasilea, consulte la Resolucin-TCU n 254/2013. Para detallessobre la Ley de Acceso a la Inormacin brasilea, consulte la Ley n12.527/2011.
http://www.tcu.gov.br/Consultas/Juris/Docs/judoc/Resol/20130418/RES2013-254.dochttp://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htmhttp://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htmhttp://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htmhttp://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htmhttp://www.tcu.gov.br/Consultas/Juris/Docs/judoc/Resol/20130418/RES2013-254.doc



2. Etapa de planicacin de la auditora

2.1 Proteccin de las informaciones de la etapa de

planicacin

No podemos olvidar que el equipo de auditora comienza a producirinormaciones concernientes a la fiscalizacin antes de la etapa de ejecucin,o sea, an en la etapa de planificacin. Considerando que muchas deesas inormaciones se refieren al objeto de la auditora, su divulgacininadvertida puede comprometer los propios objetivos de la fiscalizacin,de orma que se deben proteger tales inormaciones.

De este modo, por ejemplo, al designarse ormalmente el equipo deauditora, el objetivo constante en el instrumento de designacin no debeser explicitado o descripto de orma que evidencie o identifique aspectosque todava no ueron comprobados por el equipo de fiscalizacin, sujetoa la consecuencia de que se rustre la finalidad de la auditora, en raznde la natural tendencia de la organizacin auditada de ocultar evidenciaspreviamente a la etapa de la ejecucin, para que el equipo de auditora noencuentre pruebas de irregularidades.

Varias inormaciones constantes en las matrices de planificacinconcernientes a la fiscalizacin deben ser protegidas por las mismasrazones. En ese sentido, vale resaltar lo dispuesto en el tem 66 de lasNormas de Auditora del TCU, en el sentido de que inormaciones sobre la

planificacin general solamente podrn ser divulgadas para dar publicidada la accin de fiscalizacin del Tribunal, si no comprometen el sigilo de lostrabajos a realizarse.

Eso se debe al hecho de que la planificacin debe ser calcada en lapriorizacin de acciones de control undadas en criterios de relevancia,

materialidad, riesgo y oportunidad, razn por la cual la divulgacininadecuada de las inormaciones relativas a la planificacin de la auditorapuede reducir la eficacia y la eectividad esperadas en las acciones de controlexterno.
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/fiscalizacao_controle/normas_auditoria/BTCU-ESPECIAL-12-de-05-07-2011%20Normas%20de%20Auditoria_0.pdfhttp://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/fiscalizacao_controle/normas_auditoria/BTCU-ESPECIAL-12-de-05-07-2011%20Normas%20de%20Auditoria_0.pdf



2.2 - Conocimiento de la Poltica de Seguridad de la

Informacin de la organizacin auditada

La existencia o ausencia de un documento ormal elaborado porel auditado, que contemple una poltica de seguridad de la inormacin,o de normativos especficos sobre el asunto son indicadores importantespara evaluarse el grado de madurez de la organizacin en relacin con laseguridad de la inormacin. La importancia que la organizacin auditadale otorga a la seguridad de la inormacin es un buen indicio de los riesgosasociados al objeto de la auditora y a la integridad de los datos recibidos delauditado y deben ser tenidos en cuenta en la elaboracin de los programasy procedimientos de la auditora.

Por un lado, la ausencia de una poltica ormal de seguridad de lainormacin sugiere que los controles en seguridad de la inormacin de laorganizacin auditada, si existen, pueden tener baja eficacia. Tal situacinindica mayor riesgo, por ejemplo, de que las inormaciones consultadas oextradas de bases de datos estn comprometidas y no sean confiables.

Por otro lado, la existencia de una Poltica de Seguridad de laInormacin, adems de indicar un mayor grado de madurez de laorganizacin auditada en trminos de gobernanza corporativa, debe sertenida en cuenta en la planificacin de la auditora, pues las normas ypolticas de la organizacin influenciarn en la definicin de las tcnicas y delos procedimientos necesarios para la obtencin de datos e inormacionesesenciales para el alcanzar plenamente el objetivo de la auditora.

Adems, el equipo de auditora debe tomar cuidado para no transgredirlas normas de seguridad vigentes en la organizacin auditada, siempre quetales normas no obstaculicen el ejercicio de las atribuciones de fiscalizacinde la EFS.



3. Procedimientos previos a la etapa de ejecucin

Es muy importante, al trmino de la etapa de planificacin, que losmiembros del equipo de auditora adopten procedimientos que otorguenmayor nivel de seguridad en lo que se refiere a los trabajos atinentes a laetapa de ejecucin. Esto incluye, por ejemplo, la preparacin de los equiposy/o dispositivos mviles que sern utilizados en campo. Tal preparacinpermitir un mayor grado de seguridad durante la etapa de ejecucin,minimizando riesgos y, por lo tanto, reduciendo la probabilidad de queocurran incidentes de seguridad de la inormacin.

Preparacin de equipos y dispositivos mviles

La preparacin de los equipos que sern utilizados en campo esespecialmente importante cuando se considera lo dispuesto en lanorma ISO/IEC 27002:2013:

11.2.6 Seguridad de equipos y activos fuera de las dependencias de

la organizacin

Control

Es conveniente que se tomen medidas de seguridad para activos que

se operen fuera de las dependencias de la organizacin, teniendo

en cuenta los diferentes riesgos provenientes del hecho de trabajar

afuera.

3.1 - Preparacin de computadoras porttiles

Es muy comn la utilizacin de computadoras porttiles (notebook)por el equipo de auditora en los trabajos de campo. Por lo tanto, se haceundamental preparar esos equipos para evitar riesgos desnecesarios y, enconsecuencia, comprometer las inormaciones producidas o recibidas porel equipo de auditora.

Es posible utilizar, en la etapa de ejecucin, tanto porttiles corporativos(pertenecientes a la EFS) como porttiles particulares (pertenecientes a lospropios integrantes del equipo de auditora), habiendo algunas variacionesen lo que se refiere a la preparacin de unos y otros.



3.1.1 - Porttiles corporativos

En Brasil, los porttiles corporativos presentan particularidades enrelacin con las computadoras comnmente utilizadas en las dependenciasdel TCU: no quedan siempre enchuados, son de uso compartido y seutilizan con recuencia uera de las dependencias de la EFS.

Por lo tanto, conviene adoptar algunos procedimientos antes dellevarlos a campo, con el fin de aumentar su nivel de seguridad:

Observacin

Los procedimientos detallados a continuacin se aplican a la realidaddel TCU. A los uncionarios de otras EFSs, se les recomienda contactar

el rea de TI de su organizacin , en el caso de haber dudas en su

uncionalidad.

Los procedimientos pueden

variar de EFS para EFS, pero

los objetivos a alcanzarse son:

- instalar actualizaciones de

seguridad en el porttil;

- mantener cuentas de usuario

comn, que permitan la

autenticacin de cada auditor

de forma separada;

- instalar software deseguridad en la notebook.

a. Antes de encender la computadora porttil, conctela ala red corporativa, conectando un cable de red al equipo.Alternativamente, encienda el equipo y conctelo a la redinalmbrica de la EFS, si hay;

b. Inicie sesin en la red con perfil de usuario comn (nombrede usuario y clave idnticos a aquellos utilizados en lascomputadoras de la EFS);

c. Aguarde las actualizaciones de sofwarey reinicie el porttil sindesconectarlo de la red, para permitir la completa instalacin detodos los programas y actualizaciones.

d. Instale los 3 (tres) programas de seguridad para apoyo a laauditora (criptograa, hash y remocin de orma segura),conorme el tem 3.1.3 de esta clase.

Adoptados los procedimientos descriptos arriba, el sofware del equiposer automticamente actualizado. Adems de los programas de seguridadpropiamente dichos (ej.: antivirus), se actualizan otros, como el propiosistema operacional de la mquina (ej.: Windows) y sus actualizacionesperidicas de seguridad (patches), haciendo el ambiente virtual de trabajo,por causa de la etapa de ejecucin de la auditora, ms seguro.

El procedimiento descripto en el tem b debe ser realizado por todoslos componentes del equipo de auditora que utilizarn la computadora



porttil durante la fiscalizacin, para que las inormaciones de autenticacin(nombre de usuario y clave) de todos los integrantes del equipo se actualicen.

Eso permitir que, durante la etapa de ejecucin, la computadoraporttil sea utilizada con perfil de usuario comn en lugar de perfil deadministrador .

3.1.2 - Notebooks particulares

Es posible que los integrantes del equipo de auditora utilicen suspropias computadora porttiles particulares en los trabajos de campo, yasea por una cuestin de conveniencia o porque la EFS no les provee esos

equipos para utilizacin en fiscalizaciones.

Si se utiliza una computadora porttil particular en la etapa deejecucin de la auditora, es importante tener en cuenta que tales equipos al contrario de aquellos eventualmente provistos por la EFS noestn equipados con sofware de seguridad que puedan ser actualizadosautomticamente por medio de la conexin a la red, ni tampoco contarncon el apoyo tcnico del rea organizacional de TI.

La computadora porttil particular es tpicamente de uso personal yno exclusivo del trabajo. Normalmente, su propietario tiene acceso total alequipo (perfil de administrador) e instala varios productos de su propiointers, adems, eventualmente otras personas pueden usar el equipo(ej.: personas de la amilia). La actualizacin de los productos instaladosy de los sofwaresde seguridad depende totalmente del propietario de lacomputadora porttil. Por eso, tal equipo suele presentar mayores riesgosen trminos de seguridad de la inormacin que la computadora porttilcorporativa.

Consciente de estos aspectos, si usted decide utilizar su notebookparticular, no deje de hacer lo siguiente :

a) Utilice sofware originales y mantngalos actualizados. Se ledebe prestar especial atencin al sistema operacional, cuyaactualizacin corrige peridicamente allas de seguridad en elproducto que aectan todos los otros programas ejecutados enel notebook;

b) Mantenga sofware de seguridad. Usted debe instalar, comomnimo, un buen antivirus, pero es muy recomendable tenertambin un firewall personal, anti-spyware y anti-adware.Recuerde que es necesario actualizar regularmente estos

La utilizacin del perl de

administrador no es lo ms

indicado. Es mucho ms

seguro usar la computadora

porttil con perl de usuario

comn. Veremos ese punto en

futuras clases.

Cada EFS puede tener una

poltica especca para el

uso de equipos personales,

que incluya la instalacin de

software especco.



productos para que sean eectivos, ya que nuevos cdigosmaliciosos surgen diariamente y solo son reconocidos por lossofwarede seguridad mediante actualizacin;

c) Cree una cuenta de usuario comn (sin perfil de administrador)con clave de acceso, para minimizar el impacto en el caso deeventuales contaminaciones con virus. Si el sistema operativo desu notebookes Windows, siga el camino Iniciar > Configuraciones> Panel de Control > Cuentas de Usuario.

d) Instale los 3 (tres) programas de seguridad para apoyo a laauditora (criptograa, hash y remocin de orma segura),conorme se indica en el tem 3.1.3 de esta clase.

3.1.3 - Programas de seguridad para apoyo a la auditora

Es muy importante, antes del inicio de la etapa de ejecucin, que seinstalen en los notebooks que sern utilizados en campo programas deseguridad para apoyo a la auditora. Se sugiere los siguientes sofwares:

i) Sofwarede criptograa (TrueCrypt):

El sofware de criptograa protege la confidencialidad de lasinormaciones, de tal orma que solo se podr acceder a las mismasmediante el uso de una clave especfica. Se debe tener especial cuidado,pues la prdida de esta clave implicar la imposibilidad de acceder a lasinormaciones.

Por medio del sofware TrueCrypt, el auditor puede definir un rea enel disco de la computadora porttil en la cual sern almacenados archivoscriptografiados, cuyo acceso depende del conocimiento de una clave

previamente definida.

ii) Sofwarede hash(HashCalc):

Hash o cdigo hash es un conjunto de datos, generado por unalgoritmo matemtico, que identifica de orma inequvoca otro conjuntode datos (generalmente un archivo). Si el contenido del archivo es alterado,el nuevo cdigo generado ser completamente dierente al anterior.

El sofware de hash permite la verificacin de la integridad de lasinormaciones con el objetivo de evitar alteraciones indebidas. Si dosarchivos poseen el mismo cdigo de hashse concluye que ellos son iguales.

Los software que se

indican aqu son libres,

o sea, totalmente

gratuitos, y fueron

homologados por el rea

de TI para uso en el TCU.

Existen otros programas

con las mismas

funcionalidades. Para la

instalacin en equipos

corporativos, contacte al

rea de TI de su rgano.

Para instalacin en

equipos particulares,

consulte los archivos

de orientacin para

la instalacin de los

programas, disponibles en

la biblioteca del curso.

Las funcionalidades

de cada uno de esos

programas sern tratadas

en clases especcas.



iii) Sofwarede remocin de orma segura (File Shredder):

Cuando se excluye cualquier archivo de la computadora de ormaconvencional, tal archivo se transfiere para la Papelera del sistemaoperacional. Aunque se vace la Papelera, es posible que una persona conalgn conocimiento tcnico en TI recupere las inormaciones contenidas enaquel archivo, con el apoyo de programas especficos para la recuperacinde archivos excluidos.

Un sofwarede remocin o exclusin de orma segura, como el FileShredder, garantiza que los archivos por l excluidos no sean posteriormenterecuperados.

3.1.4 Conexin a Internet

Abordaremos, en la prxima clase, las diversas ormas de conexin aInternet en lo que respecta al nivel de seguridad por ellas proporcionado a partir de notebooks durante la etapa de ejecucin de la auditora. Eneste momento, corresponde solamente registrar que la orma ms segurade conexin durante la fiscalizacin es la que se hace por medio de modems3G.

Si la EFS en la que usted trabaja le provee modems3G para conexina Internet durante las auditoras, no dude en utilizarlos, pues son muyseguros. Si la EFS no los suministra y usted tiene condiciones de llevar supropio modem3G, no hay contraindicaciones en trminos de seguridad,pero usted debe prestar atencin para no exceder el lmite de ranquicia desu plan.

Una alternativa bastante segura es conectar su telono celular(smartphone) directamente a la computadora porttil, como si uese un

modem 3G/4G . De esa orma, es posible que la computadora porttilacceda a Internet, por medio de la red de datos del celular (tome cuidadopara no exceder el lmite de ranquicia de su plan). Sin embargo, puede queno sea posible el uso de esa alternativa, si el smartphoneno soporta ese tipode configuracin o si la operadora de teleona mvil restringe ese tipo deuso.

En lo que se refiere a conexin a Internet, si hay posibilidad de usaruna conexin 3G o 4G, opte por ello. Pruebe la conexin antes de salir alcampo y separe previamente todos los accesorios necesarios, utilizndolosen el ambiente del auditado durante la etapa de ejecucin.

Tal prctica se denomina

tethering.

Sepa ms detalles en el

glosario del curso!



3.2 - Preparacin delpen drive(memoria USB)

Elpen drivees un dispositivo porttil muy prctico para el transportede inormaciones, pues posee buena capacidad de almacenamiento ypueden ser conectados en diversos tipos de equipos, razn por la cual esmuy comn su utilizacin en auditoras.

Su versatilidad, sin embargo, es tambin uente de riesgos. En lasprximas clases veremos cmo minimizarlos durante la etapa de ejecucin.

Por ahora, antes de los trabajos de campo, vale la pena preparar supendrivehaciendo lo siguiente:

a. Haga la copia de seguridad de los archivos eventualmenteguardados en elpen drive;

b. Borre todos los archivos del pen drive de orma segura, usandoel sofware File Shredder, cuyo tutorial est disponible en laBiblioteca del curso (la simple remocin de orma convencionalpuede permitir la posterior recuperacin de los archivos, si eldispositivo se perdiera o uese robado). Tal procedimientoevita el acceso indebido a las inormaciones que el dispositivocontiene;

c. Instale en el propiopen drivelos 3 (tres) programas de seguridadpara apoyo a la auditora mencionados en el tem 3.1.3 de estaclase. Al instalarlos, elija como lugar de destino el propio pendrive. De esta orma, durante la etapa de ejecucin de la auditora,usted podr hacer uncionar los programas a partir delpen driveen cualquier equipo.

3.3 - Acceso a sistemas de la organizacin auditada

De acuerdo con la planificacin de la auditora, si usted precisa obtenerinormaciones almacenadas en sistema inormatizado de la organizacinauditada, puede ser conveniente solicitar por escrito al auditado un perfilde acceso a ese sistema, de preerencia antes de la etapa de ejecucin. Eseperfil debe ser definido por el equipo de auditora, teniendo en cuentalos objetivos, el alcance y el objeto de la auditora, as como los recursosdisponibles en el auditado.

Se recomiendan los siguientes cuidados en lo que se refiere a losperfiles de acceso a sistemas inormatizados de la organizacin auditada:



a. Prefiera perfiles de acceso ms generales, aunque exista elobjetivo de obtener cierta inormacin especfica, para evitarque el auditado sepa elementos de la planificacin de la auditoray, de esa orma, comprometer la eectividad de la accin decontrol;

b. Solicite un perfil exclusivo para consulta, que no permita alequipo alterar los datos pertenecientes al auditado en el propiosistema inormatizado, para que el auditado no pueda alegar laquiebra de integridad de las inormaciones que sern utilizadascomo evidencias de la auditora;

c. Solicite que sea generado el registro de las operaciones realizadas

por el equipo, para que quede registrado todo lo que el mismoejecut. Tal cuidado se hace especialmente importante en el casode no ser posible el uso de un perfil exclusivo para consulta (enese caso, tericamente, hay posibilidades de que el equipo puedaalterar indebidamente los datos y es importante que todas lasoperaciones que se ejecuten queden registradas en el sistema).



4. Sntesis

En esta clase vimos aspectos de seguridad de la inormacin enel contexto de las auditoras y como es imprescindible la adopcin debuenas prcticas de carcter comportamental, que deben ser utilizadasparalelamente a los controles tecnolgicos.

Vimos tambin que las inormaciones producidas o recibidas enauditoras, en general, no son pblicas y que inormaciones concernientesa la etapa de planificacin deben ser protegidas para que la fiscalizacinalcance plenamente sus objetivos.

Abordamos, asimismo, los procedimientos preparatorios que sedeben adoptar al finalizar la etapa de planificacin y antes de la etapa deejecucin de la auditora, con el objetivo de mitigar los riesgos en seguridadde la inormacin en los trabajos de campo.

En este contexto, describimos en etapas cmo se deben preparar lascomputadoras porttiles (notebooks) y pen drives, con especial nasis enla instalacin de los programas de seguridad para apoyo a la auditora(criptograa, hashy remocin segura).


20/20

5. Referencias bibliogrcas

BRASIL. Ley n 12.527, del 18 de noviembre de 2011. Regula el acceso ainormaciones previsto en el inciso XXXIII del art. 5o, en el inciso II del 3 del art. 37 y en el 2 del art. 216 de la Constitucin Federal; altera laLey n 8.112, del 11 de diciembre de 1990; revoca la Ley n 11.111, del 5 demayo de 2005, y dispositivos de la Ley n 8.159, del 8 de enero de 1991; y daotras providencias. Disponible en: . Consultado el 1 ago. 2013.

______. Tribunal de Cuentas de la Unin. Resolucin-TCU n 249, del 2de mayo de 2012. Dispone sobre el acceso a la inormacin y la aplicacin

de la Ley 12.527, del 18 de noviembre de 2011, en el mbito del Tribunalde Cuentas de la Unin. Brasilia, 2012. Disponible en: .Consultado el 1 ago. 2013.

______. Tribunal de Cuentas de la Unin. Resolucin-TCU n 254, del10 de abril de 2013. Dispone sobre la clasificacin de la inormacin enrelacin a la confidencialidad en el mbito del Tribunal de Cuentas de laUnin. Brasilia, 2013. Disponible en: . Consultado el 1ago. 2013.

______. Tribunal de Cuentas de la Unin. Normas de Auditora delTribunal de Cuentas de la Unin. Anexo a la Portara-TCU n 280/2010,con redaccin dada por la Portara-TCU n 168, del 30 de junio de 2011.Disponible en: . Consultado el 12ago. 2013.

______. Tribunal de Cuentas de la Unin. Buenas prcticas de seguridadde la informacin en auditoras. Brasilia: TCU, Asesora de Seguridad dela Inormacin y Gobernanza de Tecnologa de la Inormacin (Assig),2012.

Seguridad de La Informacion en Auditorias Clase2

Documents

Transcript of Seguridad de La Informacion en Auditorias Clase2