Upload
lucasgio
View
217
Download
0
Embed Size (px)
Citation preview
7/24/2019 Seguridad de La Informacion en Auditorias Clase3
1/17
I S C
C
S I E A
SEGURIDAD DE LA
INFORMACINEN AUDITORAS
7/24/2019 Seguridad de La Informacion en Auditorias Clase3
2/17
RESPONSABILIDAD POR EL CONTENIDO
Tribunal de Cuentas de la Unin
Secretara General de la Presidencia
Asesora de la Seguridad de la Informacin y Gobernanza de TI
REDACCIN
Rodrigo Melo do Nascimento
REVISIN TCNICA
Gelson HeinricksonGeraldo Magela Lopes de Freitas
Helton Fabiano Garcia
Juliana Belmok Bordin
Luisa Helena Santos Franco
Marisa Alho Maos de Carvalho
Mnica Gomes Ramos Bimbato
ASESORAMIENTO PEDAGGICO
Arthur Colao Pires de Andrade
RESPONSABILIDAD EDITORIAL
Tribunal de Cuentas de la Unin
Secretara General de la PresidenciaInstuto Serzedello Corra
Centro de Documentacin
Editorial del TCU
PROYECTO GRFICO
Ismael Soares Miguel
Paulo Prudncio Soares Brando Filho
Vivian Campelo Fernandes
DIAGRAMACIN
Vanessa Vieira Ferreira da Silva
Se permite la reproduccin, parcial o total, de esta publicacin, sin alteracin del contenido, siempre y cuando se citela fuente y no se ulice con nes comerciales.
Copyright 2014, Tribunal de Cuentas de la Unin
Et mtil n unin did. L lm tulizin oui n il d 2014. L mion opinion on d ponilidd xluiv dl uto pudn no xp l poiin oil dl Tiunld Cunt d l Unin.
Atencin!
http://../AppData/Local/Adobe/InDesign/Version%209.0/pt_BR/Caches/InDesign%20ClipboardScrap1.pdfhttp://../AppData/Local/Adobe/InDesign/Version%209.0/pt_BR/Caches/InDesign%20ClipboardScrap1.pdf7/24/2019 Seguridad de La Informacion en Auditorias Clase3
3/17[ 3 ]Clase 3 - Seguridad de la Informacin en la Ejecucin de Auditoras
CLASE 3 - Seguridad de la Informacin en la Ejecucin
de Auditoras
Introduccin
Trabajamos, en el final de la ltima clase, con los procedimientospreparatorios para la etapa de ejecucin de la auditora. Como vimos, alfinal de la etapa de planeamiento, se deben preparar notebooksypendrives,pensar como se dar la conexin a Internet durante los trabajos de campoy solicitar, llegado el caso, la ejecucin de un procedimiento que permitael acceso a los datos existentes en los sistemas inormatizados de laorganizacin auditada.
En la clase 3, veremos los procedimientos de seguridad de lainormacin a ser adoptados durante la etapa de ejecucin de la auditora.
Para acilitar el estudio, esta clase est organizada de la siguienteorma:
1. Precauciones en el ambiente de la organizacin auditada ..............................5
1.1 - Cuidados en las instalaciones fsicas del auditado ......................................5
1.2 - Utilizacin de la computadora del auditado ............................................... 6
2. Conexin a Internet durante la etapa de ejecucin ......................................... 7
2.1 - Formas de conexin a Internet..................................................................... 7
2.2 - Conexin en hoteles y cyber cafs .................................................................9
2.3 - Uso de correo electrnico.......................................................................... 12
3. Contingencia y copia de seguridad................................................................. 12
3.1 - Prdida, hurto o robo de equipos, dispositivos y documentos.................12
3.2 Copia de seguridad...................................................................................... 14
4. Controles tecnolgicos para la confidencialidad y la integridad...............15
5. Sntesis............................................................................................................. 16
6. Referencias bibliogrficas.............................................................................. 17
7/24/2019 Seguridad de La Informacion en Auditorias Clase3
4/17[ 4 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS
Al final de esta clase, esperamos que sea capaz de:
y describir los principales procedimientos de seguridad a seradoptados en el ambiente de la organizacin auditada.
y describir los riesgos involucrados en la conexin a Internetdurante la auditora y como minimizarlos.
y comprender cmo prevenirse contra los riesgos de prdida,hurto o robo de equipamientos.
y comprenderla importancia de realizarse copias de seguridad delas inormaciones generadas o colectadas durante la auditora.
7/24/2019 Seguridad de La Informacion en Auditorias Clase3
5/17[ 5 ]Clase 3 - Seguridad de la Informacin en la Ejecucin de Auditoras
1. Precauciones en el ambiente de la organizacin auditada
El ambiente del auditado se limita a las instalaciones fsicas?
1.1 - Cuidados en las instalaciones fsicas del auditado
Al presentarse a los servidores de la organizacin auditada, esimportante que el equipo de auditora tenga en mente la necesidad deadoptar cuidados en lo que concierne a las instalaciones sicas que sernutilizadas para el desarrollo de los trabajos.
Lo ideal es que se tenga privacidad en el ambiente, es decir, dichoambiente debe ser reservado, de acceso restringido y, de ser posible, contarcon aislamiento acstico. De esa manera, el equipo quedar ms a gustopara desarrollar los trabajos y discutir los hallazgos, al mismo tiempo quelas inormaciones producidas o recibidas durante la fiscalizacin estarnmejor resguardadas. Por lo general, sin embargo, vale la pena evitarconversaciones sobre conclusiones preliminares, para la preservacin delas inormaciones de la auditora en curso.
El equipo, a su vez, debe proteger procesos, pendrives, notebooksy documentos contra el acceso indebido, para lo que se sugiere elacondicionamiento en armarios o cajones bajo llave. Segn su criterio,con el objetivo de proteger las inormaciones y dependiendo del grado deconfidencialidad de estas, los auditores pueden optar por llevar consigoequipamientos y documentos al suspender temporalmente los trabajos, ytraerlos nuevamente cuando de la retomada das actividades.
En lo que concierne a la organizacin del lugar de trabajo propiamentedicho, es undamental que se adopte el principio de escritorio limpio,
es decir, el lugar de trabajo debe ser mantenido en buenas condicionesde limpieza y organizacin, sin la exposicin innecesaria de documentoso procesos no pblicos sobre los escritorios, siendo importante, adems,que no se dejen documentos olvidados en impresoras, ya que personas noautorizadas podran, eventualmente, tener acceso a las inormaciones.
Al dejar momentneamente el lugar de trabajo, no se olvide debloquear la notebook y la computadora que se est utilizando, protegiendola sesin a travs de una contrasea.
Adems del bloqueo del equipo, es importante no consumir alimentoso bebidas en el lugar de trabajo utilizado por el equipo, para evitar daosinadvertidos a documentos o equipos.
El ambiente de la
organizacin auditada
no se limita a sus
instalaciones fsicas. Hoy
en da, es importante
tener conciencia de que,
adems del ambiente
fsico, existe el ambiente
lgico, es decir, adems
de las instalaciones
fsicas, la organizacin
auditada tiene un
ambiente virtual, formado
por sus computadoras
conectadas en red y a
Internet.
En la mayora de los
sistemas operativos,
basta presionar las
teclas Ctrl + Alt + Del y,
luego, la tecla Entrar, y
elegir entre las opciones
la de bloquear esta
computadora. Para
bloquear la sesin; para
desbloquearla, introduzca
la contrasea previamente
defnida para su perfl de
usuario.
7/24/2019 Seguridad de La Informacion en Auditorias Clase3
6/17[ 6 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS
Al finalizar el uso del ambiente sico del auditado, recuerde: losdocumentos y apuntes deben ser recogidos y, luego, guardados para usouturo o descartados de manera segura. En caso de que el equipo deauditora haya utilizado la computadora del auditado, haga una copia deseguridad de esas inormaciones en un pendriveo medio digital y borretodos los archivosgenerados utilizando un sofware para remocin segura,previamente instalado en supendrive.
Recuerde que el perfl de
usuario comn debe haber
sido criado al fnal de la
etapa de planeamiento,
segn lo trabajado en la
ltima clase. no utilice el
perfl de administrador
(veremos el por qu en la
prxima clase).
Veremos el descarte
seguro en la ltima clase
de este curso.
Para la remocin segura,
indicamos el File Shredder,
ya citado en la clase 2.
Su utilizacin ser vista
oportunamente en la clase
7 de este curso.
Softwares como el File
Shreder sirven para la
remocin de archivos
de manera segura,
difcultando su posterior
recuperacin.
Pantalla limpia y escritorio limpio
La norma ISO/IEC 27002:2013 preconiza la poltica de pantalla limpia y
escritorio limpio, en los siguientes trminos:
11.2.9 Poltica de pantalla limpia y escritorio limpio
Control
Es conveniente que sea adoptada una poltica de escritorio limpio para
papeles y medios de almacenamiento removible y una poltica de pantalla
limpia para los recursos de procesamiento de la informacin.
1.2 - Utilizacin de la computadora del auditado
No es recomendable utilizar las computadoras de la organizacinauditada, ya que no hay como garantizar la seguridad de esos equipos.
Tales computadoras pueden contener sofwares maliciosos (en esecaso, por ejemplo, las inormaciones trabajadas por el auditor podranser capturadas mientras son introducidas) o se puede tener acceso a los
archivos all almacenados, posteriormente, aunque hayan sido borrados yla Papelera de Reciclaje del sistema operacional haya sido vaciada .
En caso de que sea realmente inevitable utilizar la computadoradel auditado, se puede disminuir los riesgos involucrados realizando losprocedimientos detallados a continuacin:
a) Si usted copi archivos de la computadora del auditado a unpendrive, pase un antivirus en este dispositivo para verificaruna eventual ineccin (antes de conectar el pendrive a lacomputadora del auditado, es importante vaciarlo);
7/24/2019 Seguridad de La Informacion en Auditorias Clase3
7/17[ 7 ]Clase 3 - Seguridad de la Informacin en la Ejecucin de Auditoras
b) Borre los archivos que usted gener en la computadora delauditado utilizando un sofware para remocin segura (ej.: FileShredder) previamente instalado en su pendrive (en la ltimaclase, trabajamos sobre la necesidad de la instalacin de esesofwareen elpendrive);
c) No ingrese en su cuenta de e-mail corporativo, sistemascorporativos o a la intranet de su organizacin desde lacomputadora del auditado, ya que los datos de la sesin ode autenticacin (contrasea y nombre de usuario) puedenser capturados y utilizados posteriormente por terceros noautorizados ;
Acurdese: no hay como garantizar la ausencia de sofwaresmaliciosos en el equipo del auditado, aunque el auditado declare que hayantivirus instalados. Por lo tanto, puede existir, por ejemplo, la presenciadesconocida de un sofware del tipo keylogger activo en el sistema, esdecir, un sofwaremalicioso que captura los datos a partir de lo que esintroducido a travs del teclado .
Lo mejor que se puede hacer, por lo tanto, es no utilizar lacomputadora de la organizacin auditada, excepto para acceder ainormaciones pblicas disponibles para cualquier persona en Interneto a datos disponibles exclusivamente en el sistema inormatizado deesa organizacin. En este caso, es importante solicitar, antes de la etapade ejecucin, un perfil de acceso exclusivamente de consulta, segn lotrabajado en la clase pasada.
2. Conexin a Internet durante la etapa de ejecucin
2.1 - Formas de conexin a Internet
A dierencia de lo que ocurra hace algunos aos, actualmente haydiversas ormas posibles para conectarse a Internet, cada una con dierentesniveles de riesgo en lo que concierne a la seguridad de la inormacin.
En el contexto de una auditora, vimos que est contraindicadala utilizacin de la computadora del auditado, para evitar el acceso ainormaciones no pblicas relativas a la fiscalizacin, por parte de personasno autorizadas.
Por las mismas razones, no es recomendable utilizar una conexin aInternet acilitada por la organizacin auditada al equipo de auditora, sea a
En caso de que sea
inevitable entrar al e-mail
o a intranet de su EFS a
partir de la computadora
del auditado, cambie la
contrasea de acceso
introducida lo ms pronto
posible, utilizando una
mquina y una conexin
seguras.
7/24/2019 Seguridad de La Informacion en Auditorias Clase3
8/17[ 8 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS
travs de red cableada o inalmbrica (wi-fi). Como la administracin de esetipo de conexin, por lo general, est en manos de la propia organizacinauditada, es posible que los datos enviados o recibidos sean monitoreadoso interceptados de alguna manera.
Ya que, por lo general, el equipo de auditora dispone de notebooks(corporativos o particulares) para los trabajos de campo, y considerandola portabilidad de esos equipos, la manera ms indicada de conexin aInternet durante la etapa de ejecucin es la proporcionada por mdems debanda ancha (3G o 4G), con acceso autenticado.
Otra posibilidad es conectar su smartphone directamente a lanotebook, en caso que el telono permita tal opcin. De esa manera, el
smartphone permitir el acceso a Internet a partir de la notebook, prcticaconocida como tethering.
Su EFS puede aun suministrar un router porttil para 3G o 4G, lo queposibilitar el compartimento de la conexin a Internet entre las notebooksde la auditoria. Si el equipo de auditora no tiene un router disponible, esposible compartir el mdem 3G o 4G va wireless, creando una red ad-hoc(para ms inormaciones sobre cmo hacer esta configuracin, consulte elrea de TI de su institucin).
En caso de que nada de eso sea viable, es decir, si realmente esnecesario acceder a inormaciones no pblicas a travs de Internet y lanica opcin de conexin es la red de la organizacin auditada, verifique laviabilidad de conectar su notebook (corporativa o particular) a la red de laorganizacin. Esta es una mejor opcin, en lo que concierne a la seguridad,que la utilizacin de la computadora del auditado conectada a la red de laorganizacin.
La conexin de la notebookde la auditora a la red del auditado puede
ser hecha conectando un cable de red al notebook(antes, verifique si eseprocedimiento est permitido por las normas de seguridad del auditado) outilizando una red wi-fi(red wireless, es decir, inalmbrica) eventualmenteacilitada por la organizacin auditada. En este caso, habilite la redinalmbrica solamente cuando vaya a utilizarla y deshabiltela despus deluso, para minimizar el riesgo de un acceso indebido a las inormacionesalmacenadas en la notebooksin el conocimiento del auditor.
Es posible que la EFS en
la que usted acte no
facilite mdems para
uso en fscalizaciones,
aunque esta sea una
prctica extremadamente
recomendable desde
el punto de vista de
la seguridad de la
informacin. En caso deque su EFS no disponga
de dichos equipos y usted
posea un mdem 3G o
4G particular, es posible
utilizarlo.
Sepa ms detalles sobre la
prctica de tethering en el
glosario del curso.
7/24/2019 Seguridad de La Informacion en Auditorias Clase3
9/17[ 9 ]Clase 3 - Seguridad de la Informacin en la Ejecucin de Auditoras
2.2 - Conexin en hoteles y cyber cafs
Las posibles ormas de conexin a Internet durante la etapa de ejecucinno se limitan a aquellas realizadas en las dependencias de la organizacinauditada. Muchas veces, los integrantes del equipo de auditora necesitanacceder a inormaciones disponibles en Internet en hoteles (en donde estneventualmente hospedados) o aun en otros lugares pblicos (en cyber cas,lugares de comida rpida o restaurantes).
Los cyber casson ambientes que tienen como eje la conectividad paraun pblico amplio y variado, sin grandes preocupaciones por la seguridad.Por ello, hay una gran probabilidad de que los equipos prestados al pblico
estn inectados con virus o archivos maliciosos y su uso, por lo tanto, debeser evitado.
Evite tambin utilizar otras redes compartidas, como redes cableadaso inalmbricas de hoteles u otras redes wi-fi provistas por terceros (enaeropuertos o casas de comida rpida, por ejemplo). Esos establecimientosorecen el servicio de Internet, muchas veces gratuito, como un atractivopara sus clientes, pero sin cualquier compromiso con la seguridad. Talesredes son blancos ciles para personas mal intencionadas que buscan algntipo de beneficio ilcito a partir de la interceptacin de las inormacionesenviadas.
Opciones de conexin a Internet en las instalaciones del auditado
Se resumen, a continuacin, las opciones de conexin a Internet en
las instalaciones de la organizacin auditada en orden decreciente de
preerencia:
a) Utilizacin de notebooky conexin con mdem3G o 4G;
b) Utilizacin de notebooky conexin va red del auditado;
c) Utilizacin de la computadora del auditado y conexin va red del
auditado.
Observacin: en la tercera opcin, evite al mximo enviar y recibirinormaciones no pblicas, as como el acceso a e-mail corporativo o a
intranet de su EFS.
7/24/2019 Seguridad de La Informacion en Auditorias Clase3
10/17[ 10 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS
Por lo tanto, todas esas ormas de conexin son contraindicadas,y se debe utilizarlas solamente para acceder a inormaciones pblicasdisponibles para cualquier persona en Internet (aun as, su equipo necesitatener el sistema operacional actualizado y un buen antivirus y firewallinstalados).
En caso de que sea absolutamente indispensable entrar a su e-mailcorporativo, a sistemas corporativos disponibles en Interneto a la intranetde su organizacin utilizando dichas conexiones, posteriormente cambie loms pronto posible su contrasea de acceso, a partir de una computadorasituada en la red interna de la EFS. Evite, tambin, realizar transaccionesbancarias o con tarjeta de crdito, o incluso pasar inormacionesimportantes, sean personales o proesionales, a travs de esas redes.
Tambin es interesante evitar al mximo conectar pendrives acomputadoras de cyber cas, debido a la alta probabilidad de ineccincon virus. En caso de que sea inevitable hacerlo, pase posteriormente unantivirus con las definiciones actualizadas en dichos dispositivos, a partirde un equipo seguro (ej.: la computadora porttil de la auditora).
7/24/2019 Seguridad de La Informacion en Auditorias Clase3
11/17[ 11 ]Clase 3 - Seguridad de la Informacin en la Ejecucin de Auditoras
Y si es necesario usar una computadora o red no confiable?
A pesar de no ser una prctica recomendada, las circunstancias pueden
requerir la utilizacin, de manera excepcional, de computadoras o de redes
no confiables, como es el caso de la computadora del auditado y de equipos
disponibles en cyber cas, as como de la red wi-fide hoteles o de aquellas
eventualmente brindadas por la organizacin auditada.
En estas situaciones, existen soluciones que disminuyen los riesgos
inherentes a tales procedimientos.
Sofware de VPN
Se puede utilizar un sofware de VPN (Virtual Private Network), que
permite una comunicacin criptografiada de datos (enviados y recibidos)
a travs de Internet. Pero, ese tipo de solucin exige la instalacin del
sofwarecliente de VPN en la computadora, lo que tal vez no sea posible si
el dispositivo utilizado pertenece a terceros, como ocurre en computadoras
de cyber cas.
Desktop Virtualizado Otra opcin es usar una solucin de DesktopVirtualizado con criptograa de datos. Dicha solucin no necesita ser
instalada para ser ejecutada en computadoras de terceros. El acceso es
realizado a travs de un navegador (browser). Adems, el almacenamiento
de inormaciones no es realizado en la computadora considerada insegura
(ej.: computadora del auditado y de cyber cas).
Es interesante que el auditor verifique en el rea de TI de la EFS en que
trabaja si las dos soluciones mencionadas anteriormente se encuentran
disponibles, siendo recomendada la utilizacin en el mbito de las
auditoras, como orma de minimizar riesgos.
Sin embargo, cabe resaltar que tales soluciones son paliativas, es decir,
son ormas de minimizar riesgos, en caso de que el auditor no tenga otra
opcin que no sea la de utilizar computadoras consideradas inseguras. La
aplicacin de estos controles no es suficiente para garantizar la seguridadde las inormaciones involucradas.Por esta razn, no trataremos sobredichas soluciones tecnolgicas en este curso .
Para informaciones ms
detalladas sobre lo que
es la VPN y el Desktop
Virtualizado, consulte el
glosario del curso.
7/24/2019 Seguridad de La Informacion en Auditorias Clase3
12/17[ 12 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS
2.3 - Uso de correo electrnico
Cuando se habla de uso de e-mail para el envo o el recibimiento deinormaciones no pblicas concernientes a la auditora, la primera prcticaa ser evitada es la utilizacin de correos electrnicos de proveedoresparticulares, como Gmail, Hotmaily Yahoo, ya que no es posible garantizarque el nivel de seguridad orecido por el proveedor del servicio es suficientepara preservar la confidencialidad de la inormacin que es enviada orecibida.
De ser necesario enviar o recibir alguna inormacin no pblicapor correo electrnico, prefiera la utilizacin de e-mail corporativoen detrimento de proveedores particulares, ya que, por lo general, los
trminos de uso de esos servicios suelen establecer lmites en cuanto ala responsabilidad de preservar la confidencialidad y la integridad de lainormacin.
Se recomienda que el acceso remoto al e-mail corporativo debe serrealizado a partir de una mquina segura, como la notebook de la auditora,utilizando una conexin igualmente confiable (como la conexin vamdem3G o 4G), de modo de evitar que eventuales malwares capturen lasinormaciones introducidas o recibidas.
3. Contingencia y copia de seguridad
3.1 - Prdida, hurto o robo de equipos, dispositivos y
documentos
Equipos (ej.: notebooks), dispositivos porttiles (ej.: pendrives ysmartphones) y documentos (ej.: papeles de trabajo de la auditora y
documentos en papel brindados por la organizacin auditada) sonconsiderados activos de inormacin, es decir, son medios de soporte quealmacenan inormaciones dotadas de valor para la EFS, en la medida queposeen un significado relevante en el contexto de la fiscalizacin y servirnde base para las conclusiones del equipo de auditora, habiendo daos a losobjetivos de la fiscalizacin y a la imagen de la EFS en caso de que se filtreninormaciones, es decir, que se d el acceso indebido por parte de personasno autorizadas.
Por lo tanto, se debe minimizar los riesgos de prdida, hurto o robo deesos equipos, dispositivos y documentos a travs de la adopcin de algunoscuidados bsicos:
7/24/2019 Seguridad de La Informacion en Auditorias Clase3
13/17[ 13 ]Clase 3 - Seguridad de la Informacin en la Ejecucin de Auditoras
a) No deje documentos y equipos donde haya riesgo de hurto,como dentro de automviles, salas sin control de acceso etc.;
b) Utilice la caja uerte del hotel, llegado el caso, para guardar lanotebook, elpendrivey los documentos no pblicos;
c) En el caso de copias de documentos en papel o de medioselectrnicos (ej.: CDs y DVDs), eectu los mismosprocedimientos de proteccin sica utilizados para los originales(recuerde que la inormacin es la misma, independiente que elsoporte sea el original o una mera copia);
d) No despache equipos, dispositivos y documentos con
inormaciones no pblicas en equipajes;
e) Use criptograa para proteger inormaciones no pblicasalmacenadas en medios electrnicos (veremos ese recursotecnolgico en la clase 5).
) Utilice bloqueadores de seguridad propias para notebooks, conel objetivo de minimizar el riesgo de hurto del equipo durante laetapa de ejecucin de la auditoria (Vea un ejemplo de bloqueadorde seguridad en la figura al lado).
Aunque sean tomados todos los cuidados para evitar prdida, hurto orobo, es posible que ocurra algo indeseable. Aunque usted haya hecho unacopia de las inormaciones perdidas que permita la continuidad del trabajode la auditora, es importante tomar algunas actitudes en relacin con losarchivos perdidos, hurtados o robados. En ese caso, haga lo siguiente:
a) Haga la denuncia ante las autoridades locales lo ms prontoposible;
b) Comunique inmediatamente el hecho a la persona responsablede la auditora;
c) En caso de que exista un rea de seguridad de la inormacinen su EFS, comunique el hecho, ya que se trata de un incidentede seguridad de la inormacin, aunque usted considere que elproblema no tenga solucin;
d) Notifique al rea de patrimonio de su EFS, en caso de que elequipo sea corporativo;
Ejemplo de bloqueador de
seguridad:
En Brasil, el ciudadano
debe realizar una
denuncia ante la Polica
Civil de la Provincia.
Dicho procedimientopuede ser efectuado a
travs de Internet.
7/24/2019 Seguridad de La Informacion en Auditorias Clase3
14/17[ 14 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS
e) Analice, en conjunto con la persona responsable de la auditora,la necesidad de inormar al auditado el hecho.
3.2 Copia de seguridad
En esta clase, hablamos mucho sobre confidencialidad, pero vimosen la clase 1 que la seguridad de la inormacin abarca, adems, otraspropiedades, como la integridad, la autenticidad y la disponibilidad.
En lo que concierne a la disponibilidad, una de las principales manerasde resguardarla es la realizacin de copias de seguridad (o backups). A travsde la realizacin de copias de seguridad, ser posible la recuperacin de la
inormacin en caso de prdida, robo o hurto de equipos o de dispositivos(vimos como evitar dichos problemas en el tem anterior), as como tambinen caso de eventual deecto en la notebook de la auditora, por ejemplo.
La preocupacin con la copia de seguridad se hace especialmenterelevante en el contexto de una auditora. En el TCU, las inormacionesalmacenadas electrnicamente son protegidas por copias de seguridadperidicas, segn reglas propias, realizados por el rea de TI, de orma que,en condiciones normales, esas reglas son observadas y no es necesario queel auditor se preocupe con la realizacin de copias de seguridad.
En la etapa de ejecucin de la auditora, sin embargo, trabajamos,generalmente, con notebooksque no estn conectados a la red de la EFS y,por lo tanto, el propio equipo de auditora debe realizar copias de seguridadcon intervalos regulares, para evitar la prdida de las inormaciones. Larecuencia de realizacin de las copias de seguridad depender del gradode riesgo a que las inormaciones se encuentran sujetas.
Por lo tanto, si usted tiene inormaciones almacenadas exclusivamente
en la notebook, es importante traserir esas inormaciones apendrives, quedeben, preerentemente, ser dejados con personas dierentes de la que tienela notebook. Tambin es posible realizar copias de seguridad para mediosdigitales (ej.: CDs y DVDs).
En lo que concierne al pendrive, las inormaciones almacenadasexclusivamente en ese dispositivo porttil tambin deben ser copiadas aotros sitios, evitndose el comprometimiento de los datos en caso de unaineccin delpendriveo de su prdida.
Por lo tanto, mantenga copias de seguridad de los archivos reerentesal trabajo de auditora y almacnelas en un sitio protegido, preeriblementedierente del sitio de la fiscalizacin. Copias de seguridad posibilitan la
7/24/2019 Seguridad de La Informacion en Auditorias Clase3
15/17[ 15 ]Clase 3 - Seguridad de la Informacin en la Ejecucin de Auditoras
Tambin es posible
la utilizacin de la
computacin en la nube
para la realizacin de
copias de seguridad
(veremos ese tema en la
clase 4). En ese caso, sin
embargo, los datos deben
ser almacenados en un
sitio confable de Internet(no se deben utilizar
servicios gratuitos, como
Google Docs o Dropbox),
respetando la poltica de
la propia EFS respecto a
ese tema.
Al utilizar softwares de
ese tipo, se debe respetar
la poltica de la EFS al
respecto, as que consulte
el rea de TI de su EFS.
Veremos esos
instrumentos tecnolgicos
(criptografa y hash)oportunamente en las
clases 5 y 6.
recuperacin de las inormaciones almacenadas luego de allas, ineccincon virus o de una invasin.
Obviamente, la realizacin de copias de seguridad no hace menosrelevantes los cuidados sicos con la notebooky elpendriveutilizados en laauditora, ya que ellos son equipos sensibles al ambiente, siendo importanteprotegerlos del contacto con el agua, del calor excesivo y de camposmagnticos. El medio externo en el que est grabada la copia de seguridadtambin debe ser protegido adecuadamente.
Al utilizar dispositivos de almacenamiento electrnico (ej.: pendriveo HD externo) para el transporte de archivos, asegrese de que lasinormaciones sean borradas de orma segura del dispositivo tan pronto
como no sean ms necesarias. Utilice, para ello, un sofwarepara remocinsegura, como el File Shredder- que ser presentado en la clase 7.
4. Controles tecnolgicos para la condencialidad y laintegridad
Durante la etapa de ejecucin, adems de la copia de seguridad (pararesguardar la disponibilidad de las inormaciones y evitar su prdida),existen otros controles tecnolgicos que el equipo de auditora debe adoptarpara la proteccin de las inormaciones.
De esa manera, para inormaciones no pblicas, puede ser utilizadala criptograa con un sofware especfico (ej.: TrueCrypt), con vistas agarantizar la confidencialidad. La integridad de las inormaciones, a su vez,puede ser protegida a travs de sofwaresde hash, como el HashCalc.
7/24/2019 Seguridad de La Informacion en Auditorias Clase3
16/17[ 16 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS
5. Sntesis
Vimos en esta clase aspectos de seguridad de la inormacin aplicadosa la etapa de ejecucin de la auditora.
En ese contexto, abordamos los cuidados a ser adoptados en elambiente sico del auditado y mostramos las razones por las cuales lautilizacin de la computadora del auditado es contraindicada.
Abordamos tambin la conexin a Internet durante la etapa deejecucin y explicamos que la utilizacin de la red de la organizacinauditada y de conexiones acilitadas por hoteles, y cyber castambin es
contraindicada, siendo la orma ms segura de conexin la proporcionadapor mdems 3G o 4G.
Vimos tambin cuestiones como el uso del correo electrnico durantela etapa de ejecucin y qu hacer para evitar prdida, hurto o robo deequipos, dispositivos y documentos, as como tambin los procedimientosa ser adoptados en caso que ocurra alguno de los hechos citados.
En las prximas clases, continuaremos viendo aspectos de seguridadde la inormacin en lo que concierne al uso de instrumentos tecnolgicosdurante las auditoras.
7/24/2019 Seguridad de La Informacion en Auditorias Clase3
17/17
6. Referencias bibliogrcas
BRASIL. Tribunal de Contas da Unio. Boas prticas de segurana dainormao em auditorias. Braslia: TCU, Assessoria de Segurana daInormao e Governana de Tecnologia da Inormao (Assig), 2012.
ISO/IEC 27.002. Tecnologia da inormao Tcnicas de segurana Cdigo de prtica para a gesto da segurana da inormao. InternationalOrganization or Standardization, 2013.