Seguridad de La Informacion en Auditorias Clase4

Instituto Serzedello Corrêa

Clase 4Seguridad de la Información en Dispositivos Móviles y Computación en Nube

SEGURIDAD DE LA INFORMACIÓNEN AUDITORÍAS

RESPONSABILIDAD POR EL CONTENIDOTribunal de Cuentas de la UniónSecretaría General de la PresidenciaAsesoría de la Seguridad de la Información y Gobernanza de TI

REDACCIÓNRodrigo Melo do Nascimento

REVISIÓN TÉCNICAGelson Heinrickson Geraldo Magela Lopes de FreitasHelton Fabiano GarciaJuliana Belmok BordinLuisa Helena Santos FrancoMarisa Alho Mattos de CarvalhoMônica Gomes Ramos Bimbato

ASESORAMIENTO PEDAGÓGICOArthur Colaço Pires de Andrade

RESPONSABILIDAD EDITORIALTribunal de Cuentas de la UniónSecretaría General de la PresidenciaInstituto Serzedello CorrêaCentro de DocumentaciónEditorial del TCU

PROYECTO GRÁFICOIsmael Soares MiguelPaulo Prudêncio Soares Brandão FilhoVivian Campelo Fernandes

DIAGRAMACIÓNVanessa Vieira Ferreira da Silva

Se permite la reproducción, parcial o total, de esta publicación, sin alteración del contenido, siempre y cuando se cite la fuente y no se utilice con fines comerciales.

© Copyright 2014, Tribunal de Cuentas de la Unión

<www.tcu.gov.br>

Este material tiene función didáctica. La última actualización ocurrió en abril de 2014. Las afirmaciones y opiniones son de responsabilidad exclusiva del autor y pueden no expresar la posición oficial del Tribunal de Cuentas de la Unión.

¡Atención!

[ 3 ]Clase 4 - Seguridad de la Información en Dispositivos Móviles y Computación en Nube

CLASE 4 - Seguridad de la Información en Dispositivos Móviles y Computación en Nube

Introducción

Vimos en la última clase los aspectos de seguridad de la información directamente aplicables a la etapa de ejecución de las auditorías, con miras a la protección de la información producida o recibida en el transcurso de los trabajos en campo.

Continuando con nuestro curso, vamos a ver en esta clase, cuestiones de seguridad de la información en relación con el uso de dispositivos móviles y una tendencia reciente de las organizaciones: la computación en nube. Tales cuestiones, como de costumbre, se abordarán de forma aplicada a las auditorías desarrolladas por EFSs.

Para facilitar el estudio, esta clase se organiza de la siguiente forma:

1. Dispositivos móviles .......................................................................................... 5

1.1 - Notebooks ...................................................................................................... 6

1.1.1 - Perfil del usuario........................................................................................ 6

1.1.2 - Contraseñas ................................................................................................ 8

1.2 - Pendrives ........................................................................................................ 9

1.3 - Smartphones y tablets ................................................................................. 10

2. Computación en nube (cloud computing) ....................................................... 12

2.1 - Modelos de cloud computing ...................................................................... 12

2.2 - El uso del cloud computing en auditorías.................................................. 13

3. Síntesis ............................................................................................................. 17

4. Referencias bibliográficas .............................................................................. 18

[ 4 ] SEGURIDAD DE LA INFORMACIÓN EN AUDITORÍAS

Al final de esta clase, esperamos que sea capaz de:

yy describir los cuidados principales que se adoptarán en el uso de notebooks.

yy describir los cuidados principales recomendados para el uso de pendrives.

yy identificar las buenas prácticas de seguridad recomendadas en el uso de smartphones y tablets.

yy comprender el concepto de computación en nube y si puede ser utilizada en auditorías.


1. Dispositivos móviles

En el transcurso de las auditorías, principalmente durante la etapa de ejecución, es muy común hacer uso de los dispositivos móviles, como notebooks, pendrives, smartphones y tablets, entre otros.

Estos dispositivos, que proporcionan practicidad, traen algunos riesgos en términos de la seguridad, que necesitan ser reducidos al mínimo para la protección adecuada de la información producida o recibida en auditorías.

Vamos a ver las principales precauciones que se adoptarán en el uso de dispositivos móviles.

Computación móvil

Dispositivos móviles, como notebooks, smartphones y tablets, son verdaderas computadoras portables. Sobre computación móvil, vea lo que establece la norma ISO/IEC 27002:2013:

6.2 Dispositivos móviles y trabajo remoto

Objetivo: Garantizar la seguridad de la información en el trabajo remoto y en el uso de dispositivos móviles.

Conviene que, cuando se utilicen los dispositivos móviles, se deben tomar cuidados especiales para asegurar que la información del negocio no sea comprometida. Conviene que la política de dispositivos móviles tome en cuenta los riesgos de trabajarse con estos dispositivos móviles en ambientes desprotegidos.


1.1 - Notebooks

Desde la Clase 2 de este curso, hemos visto los procedimientos de seguridad aplicables a notebooks, desde su preparación (aún en la etapa de planificación), pasando por la conexión a Internet y la utilización de softwares de seguridad para apoyo a la auditoría (durante la etapa de ejecución), hasta la realización periódica de copias de seguridad y el desecho seguro de la información almacenada en él.

Sin perjuicio de las buenas prácticas citadas anteriormente, veamos a continuación algunos aspectos importantes en lo que se refiere al acceso a la información almacenada en notebooks y/o accedidas a la Internet con el uso de estos equipos.

1.1.1 - Perfil del usuario

En primer lugar, es importante tener en cuenta que el uso de cualquier computadora debe darse con el uso del perfil adecuado a las necesidades del usuario. En Windows, hay tres tipos de perfil definidos previamente en el sistema operativo:

a. Administrador;

b. Usuario Estándar; o

c. Invitado.

Microsoft - empresa que desarrolla el sistema operativo Windows - recomienda el tipo de cuenta “Usuario Estándar” para el uso diario de la computadora. La cuenta “Invitado” se destina a las personas con necesidad de acceso temporal a la computadora. Ya la cuenta «Administrador” se debe utilizar, según la empresa, solamente cuando necesario y en carácter excepcional.

En caso del TCU, las

cuentas administrativas

locales de las estaciones

de trabajo son, por

estándar, inhabilitadas.

Para sistemas operativos

diferentes de Windows

(ej.: sistemas operativos

de dispositivos de Apple;

Linux), el principio es

exactamente igual: utilice

perfil del usuario común,

sin los permisos propios de

un usuario administrador.

Vamos a ver algunos de

estos softwares en las

clases siguientes.

Uso indistinto del perfil de administrador

El uso indistinto de perfil de administrador es contraindicado por la norma ISO/IEC 27002:2013, en los términos siguientes:

11.2.2 Gestión de derechos de accesos privilegiados

Control

Conviene que la concesión y el uso de derechos de acceso privilegiado son restrictos y controlados.

[...]


Creación de cuenta de usuario común

Según lo visto en la Clase 2, se debe preparar la notebook de la auditoría adoptándose una serie de procedimientos aun en la etapa de planificación de la fiscalización. Entre estos procedimientos, está la creación de la cuenta de usuario común, de acuerdo con las orientaciones técnicas del área de TI de EFS.

La preparación adecuada de la notebook debe hacer posible el acceso al equipo con perfil de “Usuario Estándar” (sistema operativo Windows) durante la etapa de ejecución, lo que proporcionará el desarrollo de los trabajos de fiscalización con más seguridad.

Información adicional

El uso inapropiado de privilegios de administrador de sistemas […] puede ser un gran factor de contribución a las imperfecciones o violación de sistemas.

Hay razones de orden técnica que justifique la recomendación de Microsoft en sentido de utilizar la cuenta “Administrador” solamente cuando necesario. No se recomienda el acceso como administrador para las necesidades cotidianas, porque:

yy se da total acceso a la máquina (carpetas, configuraciones etc.) sin que esto sea necesario;

yy puede accidentalmente comprometer las configuraciones de software;

yy potencializa los efectos dañosos en caso de una infección por virus u otro software malicioso.

De esta forma, por ejemplo, si usted conecta un pendrive infectado en la notebook de la auditoría, es posible que un archivo malicioso intente instalar el virus en el equipo. Si usted, en ese momento, tiene acceso a la notebook con perfil de administrador, es posible que la infección se extienda por la máquina sin que perciba. Por otra parte, si usted está utilizando un perfil de usuario común, el software malicioso tendrá pequeñas posibilidades de instalación, porque la instalación de cualquier programa sólo se permite con perfil de administrador.


1.1.2 - Contraseñas

En la utilización de notebooks, será necesaria una contraseña para el desarrollo de los trabajos – aquella para el acceso al perfil de usuario común. Esta contraseña debe haber sido previamente definida en la conclusión de la etapa de planificación.

Además de la propia contraseña de acceso a la notebook, es importante reconocer el problema representado por la gran cantidad de contraseñas que todos necesitan manejar en nuestro día a día. Actualmente, tenemos registros innumerables en sitios con nombre de usuario y contraseñas diferentes y puede ser difícil de recordar todos estos datos.

La mayoría de los navegadores (ej.: Internet Explorer) ofrece a sus usuarios una comodidad cuyo el uso no se recomienda. Se trata de la opción de “recordar contraseña” o “almacenar identificación”, por medio de la cual el programa almacena sus datos de autenticación (nombre de usuario y contraseña) para determinado sitio. Así, en los accesos siguientes al mismo sitio, no será necesario escribir sus datos otra vez.

Aunque ese procedimiento es muy práctico para equipos de uso personal, eso representa un riesgo significativo: sus datos de autenticación se almacenan en el propio equipo, haciendo más fácil para que terceras partes no autorizadas accedan a los sitios donde está registrado, pasándose por usted indebidamente.

En particular, una notebook usada en auditoría es típicamente un equipo compartido, para el uso en trabajo y con la información que, en Brasil, no es pública hasta la pronunciación del acto decisorio por el TCU. En este caso, el riesgo se hace crítico y los contratiempos como la pérdida o el robo del equipo pueden tener su impacto incrementado.

Por lo tanto, cuando acceda determinado sitio durante la auditoría, si el navegador pregunta al usuario si desea almacenar la contraseña respectiva, lo más cauteloso es hacer clic en “No”. De esa forma, habrá menos posibilidades de que alguien acceda a información que sea protegida por contraseña o que tenga acceso a las contraseñas almacenadas.

Es de todo contraindicado

utilizar contraseñas

idénticas para sitios o

servicios distintos. Esto

permite que tercero,

una vez que tiene acceso

indebido a los datos de

autenticación en algún

sitio, consigue fácilmente

invadir las diversas

cuentas de la persona en

otros sitios.


1.2 - Pendrives

En la Clase 2, vimos la necesidad para preparar – en la conclusión de la etapa de planificación – el pendrive que se utilizará en la auditoría, haciendo la copia de seguridad de los archivos de auditorías anteriores (grabados eventualmente en el pendrive), borrándose esos archivos de forma segura e instalando los 3 (tres) softwares de seguridad para apoyo a la auditoría.

Durante la fase de ejecución, la practicidad ofrecida por los pendrives es fuente de una serie de riesgos. Esos dispositivos pueden cargar sin darse cuenta los virus y otros softwares maliciosos de un lugar al otro. Además, los softwares maliciosos en el equipo donde el pendrive está conectado pueden, de forma intencional o no, tener acceso indebido al contenido o provocar daño a la información almacenada en este dispositivo.

Adopte, por lo tanto, los cuidados siguientes con el pendrive durante la etapa de ejecución de la auditoría:

Estrictamente hablando,

el pendrive es un

dispositivo de almacenaje

no dotado con capacidad

de procesamiento.

Por razones de orden

práctica, considerando

que los pendrives

requieren básicamente

los mismos cuidados de

seguridad dispensados a

los dispositivos móviles en

general, pasó como bien

incluirlos en el ítem 1 de

esta clase.

CONSEJOS PRÁCTICOS PARA ELABORAR Y MANEJAR CONTRASEÑAS

Para elaborar buenas contraseñas y para no olvidárselas, cada persona puede crear un método y seguirlo. Una buena manera es deducir las contraseñas a partir de frases preestablecidas. Vea estos ejemplos:

• Elija una frase y seleccione la primera, la segunda o la última letra de cada palabra (ej.: con la frase “El Clavo se peleó con la Rosa debajo de un balcón”, ¿usted puede generar la contraseña“? ECspclRddub”);

• Elija una frase larga, que sea fácil de memorizar y que, si es posible, tenga diversos tipos de caracteres (ej.: si, cuando un niño, soñaba en ser astronauta, puede utilizar pues la contraseña “¡¡¡1 día todavía veré los anillos de Saturno!!!”);

Invente un estándar de sustitución basado, por ejemplo, en la semejanza visual o fonética entre los caracteres (ej.: duplicando las letras “s” y “r”, substituyendo “o” por “0” y usando la frase “Sol, astro-rey del Sistema Solar”, usted puede generar la contraseña “SS0l, asstrr0-rrei dEl SSisstema SS0larr”).

Fuente: Senhas (fascículo). Cartilha de Segurança para Internet (Cert.br), 2012.


a. Evite conectar el dispositivo a equipos cuya la seguridad no es digna de confianza o es desconocida. No use el dispositivo en computadoras de lan houses o cyber cafés y evite tanto como sea posible conectar el pendrive a equipos de organización auditada. Preferentemente, solicite la grabación de los archivos auditados en CD o DVD, o de otra forma, solicite el envío para su e-mail corporativo.

b. Almacene información no pública en el pendrive de forma criptográfica (abordaremos la criptografía en la clase siguiente);

c. No preste su pendrive a los funcionarios de la organización auditada. Al hacerlo, el dispositivo puede contaminarse con virus (aunque de forma no intencional) o la información almacenada allí puede copiarse rápidamente sin que usted perciba.

d. Si no hay alternativa, borre los archivos del pendrive de forma segura antes de prestarlo, usando software específico (vamos a ver este procedimiento en una clase futura). Después, antes de abrir cualquier archivo, ejecute un antivirus en el contenido del pendrive a partir del notebook para verificar la eventual existencia de software malicioso.

1.3 - Smartphones y tablets

Sabemos que el teléfono móvil, hace algún tiempo, ha dejado de ser un aparato telefónico simple, incorporando funcionalidades que lo convierten en una verdadera computadora portable (de ahí el nombre smartphone o teléfono inteligente), disponible literalmente en la palma de las manos, permitiéndonos estar siempre en línea.

De manera semejante, los tablets funcionan como computadoras portables, facilitando a la lectura de documentos electrónicos y la navegación en Internet, entre otras funcionalidades.

Con el uso creciente de smartphones y tablets, aumentó la cantidad de información que tenemos acceso o almacenamos a través de esos dispositivos y, como consecuencia, también han aumentado los riesgos a la seguridad de estas informaciones.

Para reducir los riesgos, se recomiendan los siguientes cuidados en el uso de smartphones y tablets:

a. Utilice una contraseña de bloqueo en su aparato;


b. No desbloquee el sistema operativo del aparato (ej.: jailbreak en iPhones o rooting en celulares Android), porque de esta forma usted dispensará la seguridad ofrecida por el fabricante y sujetará el dispositivo a fragilidades en términos de seguridad;

c. Deshabilite la opción de conexión automática a redes wi-fi (ej.: “Solicitar Conexión” en el iPhone), eso permite que el aparato esté conectado automáticamente con la red sin el conocimiento del usuario;

d. Evite aplicaciones descargadas de fuentes no fiables y cuidado con los archivos adjuntos de correos electrónicos, que pueden contener virus;

e. Actualice el sistema operativo y las aplicaciones del teléfono móvil siempre que haya nuevas versiones y patches (actualizaciones) de seguridad, porque estas suelen corregir problemas y las vulnerabilidades del aparato;

f. Si su aparato posee bluetooth, mantenga ese recurso deshabilitado y sólo lo habilite si es necesario, para evitar que otras personas se conecten a su aparato sin su conocimiento. En caso de que no sea posible deshabilitar el bluetooth, consulte el manual del aparato y lo configure de modo que continúe invisible, de manera que no se identifique ni se descubra por otros aparatos;

g. Utilice antivirus para smartphone y/o tablet, ya que hay softwares maliciosos desarrollados específicamente para estos dispositivos;

h. Instale el software y/o configure su smartphone para borrar todo el contenido remoto almacenado en él, en caso de pérdida o robo;

i. Mantenga su aparato en lugar protegido.

En respecto al uso de smartphones y tablets en auditorías, es muy común que los auditores necesiten acceder remotamente información en la red de EFS, disponible, por ejemplo, por e-mail corporativo.

En este caso, además de la atención general mencionada anteriormente, sólo acceda usando una conexión segura (3G o 4G), es decir, no utilice redes wi-fi no fiables, a ejemplo de las provistas por hoteles (las recomendaciones consideradas en la clase pasada de las formas de conexión a Internet durante la etapa de ejecución también se aplican aquí).


Además, evite al máximo almacenar información corporativa no pública en estos dispositivos. Si esto es inevitable, borre dicha información tan pronto como éstas no sean más necesarias, porque – en caso de pérdida o robo del equipo – será mínimo el impacto sobre la seguridad de la información.

2. Computación en nube (cloud computing)

Cloud computing (o computación en nube) se puede definir como un modelo de disponibilidad de softwares y de infraestructuras de procesamiento – así como del almacenaje de datos – mediante una red. El principio de la nube es de virtualización total y de máxima disponibilidad de los datos, siendo irrelevante el lugar de acceso y el dispositivo utilizado (PECK PINHEIRO, 2012, p. 131-132).

Para simplificar la comprensión de lo que es cloud computing, imagínese varias computadoras con gran capacidad de procesamiento y almacenaje ubicados en algún país del mundo. En estos equipos, personas de todo el planeta pueden grabar archivos disponibles en sus propias computadoras y acceder a ellos de cualquier máquina con el acceso a Internet.

La gran ventaja de la nube es exactamente la posibilidad de acceder información desde cualquier lugar en el mundo, a través de una computadora (o cualquier otro equipo o dispositivo) conectada a la web. Sin embargo, esta ventaja trae una serie de riesgos que necesitamos conocer para trabajar con más seguridad.

2.1 - Modelos de cloud computing

De acuerdo con Peck Pinheiro (2012, p. 132) hay cuatro modelos de cloud computing:

a. Nube privada: es aquella de propiedad exclusiva de la organización, que detiene su control y soporta sus costos de infraestructura para el uso propio;

b. Nube pública: servicio disponible a cualquier persona en la web, muchas veces sin ningún costo financiero, como el correo electrónico gratuito y disco virtual;

c. Nube comunitaria: incluye un conjunto de organizaciones que se conocen y se reúnen para compartir los costos de


infraestructura y ha sido muy utilizada en algunos mercados o grupo de empresas;

d. Nube híbrida: agrega uno o más modelos anteriores, como el grado de seguridad necesario para los datos y para los requisitos legales relacionados.

Como ejemplo de nube pública gratuita, podemos citar los servicios Dropbox y Google Drive, en los cuales los usuarios de todo el mundo pueden guardar sus archivos libremente y acceder a elllos más adelante de cualquier equipo o dispositivo.

Por otra parte, si usted almacena documentos en una solución tipo “disco virtual” (ver Glosario del curso), que permite que tales documentos estén disponibles para el acceso en computadoras ubicadas fuera de la EFS, ese modelo sería un ejemplo de “nube privada”. Podemos hacer esto cuando estamos en una auditoría y necesitamos acceder a una información eventual disponible en este servicio de almacenaje, en caso de acceder por la web. Sin embargo, solamente se recomienda si el acceso y la comunicación con la nube privada son protegidos por los mecanismos de autenticación del usuario (nombre de usuario y contraseña) y criptografía, respectivamente.

2.2 - El uso del cloud computing en auditorías

No se recomienda el uso de nube pública gratuita para el almacenaje y/o el acceso a la información producida o recibida en el contexto de una auditoría.

Las nubes públicas de uso gratuito tienen como propuesta facilitar el acceso a la información, no obstante, sin garantía en cuanto a la preservación de la confidencialidad, de la integridad y de la propia disponibilidad. En este sentido, los términos de uso de estos proveedores de servicio suelen dejar claro la exención de responsabilidades en relación con esos aspectos.

Es importante tener en mente que, en la Internet, todo servicio tiene un costo. Si no hay costo financiero para utilizar tal servicio, habrá el “pago” de alguna otra forma, como por ejemplo, mediante el uso de la información de los usuarios almacenada en estos servicios para otros fines.

De esa forma, por ejemplo, se puede utilizar la información para fines publicitarios, mostrándose al usuario las propagandas que tienen temas que son de su interés, de una forma más dirigida a él.

En el TCU, no se ofrece el

servicio de nube privado

para uso directamente

por los usuarios finales,

a ejemplo de discos

virtuales.


Dos servicios entre los más conocidos de nube pública de uso gratuito disponible en la web son el Google Drive (que remplazó el Google Docs) y el Dropbox, siendo importante saber, a título de ejemplo, algunos aspectos de seguridad de la información abordados en los términos de servicio y en las políticas de privacidad de estos servicios.

Docs) e o Dropbox, sendo importante conhecer, a título exemplificativo, alguns aspectos de segurança da informação abordados nos termos de serviço e nas políticas de privacidade desses serviços.

ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN EN NUBES PÚBLICAS

Cuando utilice los servicios de nube pública gratuita, como Google Drive y Dropbox, es importante saber los principales aspectos de seguridad de la información presentes en los respectivos Términos de Servicio y Políticas de Privacidad. Así, en caso de que opte por usar tales servicios, será consciente de los riesgos implicados. Compilamos a continuación algunos trechos extraídos de los documentos mencionados (subrayados nuestros):

GOOGLE DRIVE

1) No hay garantía de confidencialidad, integridad ni disponibilidad de la información almacenada:

“EXCEPTO POR LO QUE SE ESTABLECE EXPRESAMENTE EN ESTAS CONDICIONES O EN CONDICIONES ADICIONALES, NI GOOGLE NI SUS PROVEEDORES O DISTRIBUIDORES REALIZAN PROMESA ALGUNA ESPECÍFICA SOBRE LOS SERVICIOS. POR EJEMPLO, NO ASUMIMOS NINGÚN COMPROMISO RESPECTO AL CONTENIDO DE LOS SERVICIOS, LA FUNCIÓN ESPECÍFICA DE LOS SERVICIOS, O SU CONFIABILIDAD, DISPONIBILIDAD O CAPACIDAD PARA SATISFACER SUS NECESIDADES. PROPORCIONAMOS LOS SERVICIOS “TAL COMO ESTÁN”.” [CONDICIONES DEL SERVICIO DE GOOGLE DRIVE]

2) El usuario autoriza la reproducción, modificación, derivación, publicación ostensiva y la distribución del contenido almacenado:

“Cuando suba, ingrese, almacene, envíe o reciba contenido a nuestros Servicios o a través de ellos, otorgará a Google (y a aquellos con quienes trabajamos) una licencia internacional para utilizar, alojar, almacenar, reproducir, modificar, crear obras derivadas (como las


traducciones, adaptaciones o modificaciones que hacemos para que su contenido funcione mejor con nuestros Servicios), comunicar, publicar, ejecutar públicamente y distribuir dicho contenido. Los derechos que usted otorga en esta licencia son para el objetivo limitado de operar, promocionar y mejorar nuestros Servicios, y para desarrollar otros nuevos.” [Condiciones del Servicio de Google Drive]

DROPBOX

1) No hay garantía en relación con la pérdida de información o violación de integridad:

“EN LA MEDIDA MÁXIMA PERMITIDA POR LA LEY, EN NINGÚN CASO DROPBOX, SUS SUBSIDIARIAS, PROVEEDORES NI DISTRIBUIDORES SERÁN RESPONSABLES DE (A) NINGÚN DAÑO INDIRECTO, ESPECIAL, INCIDENTAL, PUNITIVO, EJEMPLAR NI CONSECUENTE (NI DE LAS PÉRDIDAS DE USO, DATOS, NEGOCIOS O BENEFICIOS), INDEPENDIENTEMENTE DE LA TEORÍA JURÍDICA, INCLUSO SI DROPBOX FUE ADVERTIDO ACERCA DE LA POSIBILIDAD DE ESOS DAÑOS E INCLUSO SI UN RECURSO NO CUMPLIERA CON SU PROPÓSITO ESENCIAL” [CONDICIONES DEL SERVICIO DE DROPBOX]

2) Información sobre el usuario son recopiladas automáticamente.

“Uso. Recopilamos información de los dispositivos que usas para acceder a los Servicios y acerca de ellos. Aquí se incluyen las direcciones IP, el tipo de explorador y dispositivo, la página web que visitaste antes de acceder a nuestros sitios y los identificadores asociados con tus dispositivos. Es posible que tus dispositivos (según la configuración) también transmitan información a los Servicios acerca de tu ubicación.” [Política de privacidad de Dropbox]

Observación: de acuerdo con el Informe del Centro de Tratamiento de Incidentes de Seguridad de Redes de Computadoras de la Administración Pública Federal (CTIR Gov), de octubre de 2013, el Dropbox se presentó como el principal vehículo de diseminación de malware en el ámbito del Sector Público Brasileño.

http://www.ctir.gov.br/arquivos/estatisticas/2013/Estatisticas_CTIR_Gov_3o_Trimestre_2013.pdf




Por lo tanto, considerando que, en Brasil, la información producida o recibida en el contexto de una auditoría no es pública, no deben utilizarse nubes públicas de uso gratuito para el almacenaje y el acceso a esa información, que se debe guardar preferentemente en pendrives con criptografía o en el propio notebook de la auditoría, teniéndose los cuidados mencionados en esta clase.

Se puede almacenar la información en una nube privada, cuando es ofrecida por la EFS, mediante previa autenticación del usuario (nombre de usuario y contraseña) y siempre que el acceso se hace de forma criptográfica, debido al riesgo de interceptación indebida de la información. Otra alternativa es la utilización de nube pública de uso comercial, cuando contratada y homologada por el área de TI de la EFS, en caso de que los niveles de servicio y de seguridad se consideren apropiados para el uso en auditorías.

No es demasiado recordar que es fundamental que la conexión a Internet sea fiable. Las conexiones inseguras, como redes wi-fi de hoteles o las ofrecidas por lan houses o cyber cafés no tienen que ser utilizadas, porque hay riesgo de la interceptación de la información por terceras partes no autorizadas.

Otra práctica muy común entre los usuarios es guardar archivos de la auditoría en servicios gratuitos de correo electrónico disponibles en la Web para el acceso en momento posterior (esto puede ser hecho cuando la persona envía un mensaje electrónico a sí mismo con uno o más archivos adjuntos). Es importante resaltar que tal procedimiento está sujeto a los mismos riesgos de una nube pública de uso gratuito, debiendo, por lo tanto, ser evitado.

En la clase siguiente,

vamos a ver cómo se

usa la criptografia en

auditorías.

Abordamos este tema en

la clase anterior.


3. Síntesis

En esta clase, vimos las principales precauciones a ser adoptadas para el uso seguro de dispositivos móviles en auditorías. Así, por ejemplo, abordamos la importancia para utilizar perfil de usuario común en el notebook de la auditoría, para protección con criptografía a los archivos almacenados en pendrives y para definir una contraseña de acceso para smartphones.

Todavía vimos el concepto de computación en nube y como puede ser utilizada en auditorías, con énfasis especial a la contraindicación del uso de nubes públicas gratuitas (ej.: Google Drive y Dropbox) para almacenar la información relativa a las fiscalizaciones.

En la clase siguiente, abordaremos el uso de la criptografía para proteger la información de la auditoría contra el acceso indebido.


4. Referencias bibliográficas

BRASIL. Tribunal de Contas da União. Boas práticas de segurança da informação em auditorias. Brasília: TCU, Assessoria de Segurança da Informação e Governança de Tecnologia da Informação (Assig), 2012.

_____.CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES DE SEGURANÇA NO BRASIL (CERT.br). Cartilha de Segurança para Internet. 2ª Edição. Comitê Gestor da Internet no Brasil: São Paulo, 2012. Disponible en: <http://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf>. Accedido el 05 sep. 2013.

_____.CENTRO DE TRATAMENTO DE INCIDENTES DE SEGURANÇA DE REDES DE COMPUTADORES DA ADMINISTRAÇÃO PÚBLICA FEDERAL (CTIR GOV). Estatísticas de Incidentes de Rede na APF – 3° Trimestre/2013. Octubre de 2013. Disponible en: <http://www.ctir.gov.br/arquivos/estatisticas/2013/Estatisticas_CTIR_Gov_3o_Trimestre_2013.pdf>. Accedido el 12 nov. 2013.

DROPBOX. Política de privacidad de Dropbox. Última actualización: 20 de febrero de 2014. Disponible en: <https://www.dropbox.com/terms#privacy>. Accedido el 17 abril 2014.

_____. Condiciones del servicio de Dropbox. Última actualización: 20 de febrero de 2014. Disponible en: <https://www.dropbox.com/terms>. Accedido el 17 abril 2014.

GOOGLE. Condiciones del Servicio de Google. Última modificación: 14 de abril de 2014. Disponible en: < http://www.google.com/intl/es-419/policies/terms/>. Accedido el 17 abril 2014.

MICROSOFT. Cuentas Microsoft: obtener ayuda. Disponible en: <http://windows.microsoft.com/es-xl/windows-live/microsoft-account-help>. Accedido el 17 abril 2014.

PECK PINHEIRO, Patricia. Direito Digital Aplicado. Intelligence: São Paulo, 2012.

https://www.dropbox.com/terms#privacy

https://www.dropbox.com/terms#privacy

https://www.dropbox.com/terms

http://www.google.com/intl/es-419/policies/terms/

http://www.google.com/intl/es-419/policies/terms/

http://windows.microsoft.com/es-xl/windows-live/microsoft-account-help#microsoft-account=tab0

http://windows.microsoft.com/es-xl/windows-live/microsoft-account-help#microsoft-account=tab0

Seguridad de La Informacion en Auditorias Clase4

Documents

Transcript of Seguridad de La Informacion en Auditorias Clase4