Seguridad de La Informacion en Auditorias Clase3

7/24/2019 Seguridad de La Informacion en Auditorias Clase3

1/17

I S C

C

S I E A

SEGURIDAD DE LA

INFORMACINEN AUDITORAS


2/17

RESPONSABILIDAD POR EL CONTENIDO

Tribunal de Cuentas de la Unin

Secretara General de la Presidencia

Asesora de la Seguridad de la Informacin y Gobernanza de TI

REDACCIN

Rodrigo Melo do Nascimento

REVISIN TCNICA

Gelson HeinricksonGeraldo Magela Lopes de Freitas

Helton Fabiano Garcia

Juliana Belmok Bordin

Luisa Helena Santos Franco

Marisa Alho Maos de Carvalho

Mnica Gomes Ramos Bimbato

ASESORAMIENTO PEDAGGICO

Arthur Colao Pires de Andrade

RESPONSABILIDAD EDITORIAL

Tribunal de Cuentas de la Unin

Secretara General de la PresidenciaInstuto Serzedello Corra

Centro de Documentacin

Editorial del TCU

PROYECTO GRFICO

Ismael Soares Miguel

Paulo Prudncio Soares Brando Filho

Vivian Campelo Fernandes

DIAGRAMACIN

Vanessa Vieira Ferreira da Silva

Se permite la reproduccin, parcial o total, de esta publicacin, sin alteracin del contenido, siempre y cuando se citela fuente y no se ulice con nes comerciales.

Copyright 2014, Tribunal de Cuentas de la Unin

Et mtil n unin did. L lm tulizin oui n il d 2014. L mion opinion on d ponilidd xluiv dl uto pudn no xp l poiin oil dl Tiunld Cunt d l Unin.

Atencin!
http://../AppData/Local/Adobe/InDesign/Version%209.0/pt_BR/Caches/InDesign%20ClipboardScrap1.pdfhttp://../AppData/Local/Adobe/InDesign/Version%209.0/pt_BR/Caches/InDesign%20ClipboardScrap1.pdf


3/17[ 3 ]Clase 3 - Seguridad de la Informacin en la Ejecucin de Auditoras

CLASE 3 - Seguridad de la Informacin en la Ejecucin

de Auditoras

Introduccin

Trabajamos, en el final de la ltima clase, con los procedimientospreparatorios para la etapa de ejecucin de la auditora. Como vimos, alfinal de la etapa de planeamiento, se deben preparar notebooksypendrives,pensar como se dar la conexin a Internet durante los trabajos de campoy solicitar, llegado el caso, la ejecucin de un procedimiento que permitael acceso a los datos existentes en los sistemas inormatizados de laorganizacin auditada.

En la clase 3, veremos los procedimientos de seguridad de lainormacin a ser adoptados durante la etapa de ejecucin de la auditora.

Para acilitar el estudio, esta clase est organizada de la siguienteorma:

1. Precauciones en el ambiente de la organizacin auditada ..............................5

1.1 - Cuidados en las instalaciones fsicas del auditado ......................................5

1.2 - Utilizacin de la computadora del auditado ............................................... 6

2. Conexin a Internet durante la etapa de ejecucin ......................................... 7

2.1 - Formas de conexin a Internet..................................................................... 7

2.2 - Conexin en hoteles y cyber cafs .................................................................9

2.3 - Uso de correo electrnico.......................................................................... 12

3. Contingencia y copia de seguridad................................................................. 12

3.1 - Prdida, hurto o robo de equipos, dispositivos y documentos.................12

3.2 Copia de seguridad...................................................................................... 14

4. Controles tecnolgicos para la confidencialidad y la integridad...............15

5. Sntesis............................................................................................................. 16

6. Referencias bibliogrficas.............................................................................. 17


4/17[ 4 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS

Al final de esta clase, esperamos que sea capaz de:

y describir los principales procedimientos de seguridad a seradoptados en el ambiente de la organizacin auditada.

y describir los riesgos involucrados en la conexin a Internetdurante la auditora y como minimizarlos.

y comprender cmo prevenirse contra los riesgos de prdida,hurto o robo de equipamientos.

y comprenderla importancia de realizarse copias de seguridad delas inormaciones generadas o colectadas durante la auditora.



1. Precauciones en el ambiente de la organizacin auditada

El ambiente del auditado se limita a las instalaciones fsicas?

1.1 - Cuidados en las instalaciones fsicas del auditado

Al presentarse a los servidores de la organizacin auditada, esimportante que el equipo de auditora tenga en mente la necesidad deadoptar cuidados en lo que concierne a las instalaciones sicas que sernutilizadas para el desarrollo de los trabajos.

Lo ideal es que se tenga privacidad en el ambiente, es decir, dichoambiente debe ser reservado, de acceso restringido y, de ser posible, contarcon aislamiento acstico. De esa manera, el equipo quedar ms a gustopara desarrollar los trabajos y discutir los hallazgos, al mismo tiempo quelas inormaciones producidas o recibidas durante la fiscalizacin estarnmejor resguardadas. Por lo general, sin embargo, vale la pena evitarconversaciones sobre conclusiones preliminares, para la preservacin delas inormaciones de la auditora en curso.

El equipo, a su vez, debe proteger procesos, pendrives, notebooksy documentos contra el acceso indebido, para lo que se sugiere elacondicionamiento en armarios o cajones bajo llave. Segn su criterio,con el objetivo de proteger las inormaciones y dependiendo del grado deconfidencialidad de estas, los auditores pueden optar por llevar consigoequipamientos y documentos al suspender temporalmente los trabajos, ytraerlos nuevamente cuando de la retomada das actividades.

En lo que concierne a la organizacin del lugar de trabajo propiamentedicho, es undamental que se adopte el principio de escritorio limpio,

es decir, el lugar de trabajo debe ser mantenido en buenas condicionesde limpieza y organizacin, sin la exposicin innecesaria de documentoso procesos no pblicos sobre los escritorios, siendo importante, adems,que no se dejen documentos olvidados en impresoras, ya que personas noautorizadas podran, eventualmente, tener acceso a las inormaciones.

Al dejar momentneamente el lugar de trabajo, no se olvide debloquear la notebook y la computadora que se est utilizando, protegiendola sesin a travs de una contrasea.

Adems del bloqueo del equipo, es importante no consumir alimentoso bebidas en el lugar de trabajo utilizado por el equipo, para evitar daosinadvertidos a documentos o equipos.

El ambiente de la

organizacin auditada

no se limita a sus

instalaciones fsicas. Hoy

en da, es importante

tener conciencia de que,

adems del ambiente

fsico, existe el ambiente

lgico, es decir, adems

de las instalaciones

fsicas, la organizacin

auditada tiene un

ambiente virtual, formado

por sus computadoras

conectadas en red y a

Internet.

En la mayora de los

sistemas operativos,

basta presionar las

teclas Ctrl + Alt + Del y,

luego, la tecla Entrar, y

elegir entre las opciones

la de bloquear esta

computadora. Para

bloquear la sesin; para

desbloquearla, introduzca

la contrasea previamente

defnida para su perfl de

usuario.



Al finalizar el uso del ambiente sico del auditado, recuerde: losdocumentos y apuntes deben ser recogidos y, luego, guardados para usouturo o descartados de manera segura. En caso de que el equipo deauditora haya utilizado la computadora del auditado, haga una copia deseguridad de esas inormaciones en un pendriveo medio digital y borretodos los archivosgenerados utilizando un sofware para remocin segura,previamente instalado en supendrive.

Recuerde que el perfl de

usuario comn debe haber

sido criado al fnal de la

etapa de planeamiento,

segn lo trabajado en la

ltima clase. no utilice el

perfl de administrador

(veremos el por qu en la

prxima clase).

Veremos el descarte

seguro en la ltima clase

de este curso.

Para la remocin segura,

indicamos el File Shredder,

ya citado en la clase 2.

Su utilizacin ser vista

oportunamente en la clase

7 de este curso.

Softwares como el File

Shreder sirven para la

remocin de archivos

de manera segura,

difcultando su posterior

recuperacin.

Pantalla limpia y escritorio limpio

La norma ISO/IEC 27002:2013 preconiza la poltica de pantalla limpia y

escritorio limpio, en los siguientes trminos:

11.2.9 Poltica de pantalla limpia y escritorio limpio

Control

Es conveniente que sea adoptada una poltica de escritorio limpio para

papeles y medios de almacenamiento removible y una poltica de pantalla

limpia para los recursos de procesamiento de la informacin.

1.2 - Utilizacin de la computadora del auditado

No es recomendable utilizar las computadoras de la organizacinauditada, ya que no hay como garantizar la seguridad de esos equipos.

Tales computadoras pueden contener sofwares maliciosos (en esecaso, por ejemplo, las inormaciones trabajadas por el auditor podranser capturadas mientras son introducidas) o se puede tener acceso a los

archivos all almacenados, posteriormente, aunque hayan sido borrados yla Papelera de Reciclaje del sistema operacional haya sido vaciada .

En caso de que sea realmente inevitable utilizar la computadoradel auditado, se puede disminuir los riesgos involucrados realizando losprocedimientos detallados a continuacin:

a) Si usted copi archivos de la computadora del auditado a unpendrive, pase un antivirus en este dispositivo para verificaruna eventual ineccin (antes de conectar el pendrive a lacomputadora del auditado, es importante vaciarlo);



b) Borre los archivos que usted gener en la computadora delauditado utilizando un sofware para remocin segura (ej.: FileShredder) previamente instalado en su pendrive (en la ltimaclase, trabajamos sobre la necesidad de la instalacin de esesofwareen elpendrive);

c) No ingrese en su cuenta de e-mail corporativo, sistemascorporativos o a la intranet de su organizacin desde lacomputadora del auditado, ya que los datos de la sesin ode autenticacin (contrasea y nombre de usuario) puedenser capturados y utilizados posteriormente por terceros noautorizados ;

Acurdese: no hay como garantizar la ausencia de sofwaresmaliciosos en el equipo del auditado, aunque el auditado declare que hayantivirus instalados. Por lo tanto, puede existir, por ejemplo, la presenciadesconocida de un sofware del tipo keylogger activo en el sistema, esdecir, un sofwaremalicioso que captura los datos a partir de lo que esintroducido a travs del teclado .

Lo mejor que se puede hacer, por lo tanto, es no utilizar lacomputadora de la organizacin auditada, excepto para acceder ainormaciones pblicas disponibles para cualquier persona en Interneto a datos disponibles exclusivamente en el sistema inormatizado deesa organizacin. En este caso, es importante solicitar, antes de la etapade ejecucin, un perfil de acceso exclusivamente de consulta, segn lotrabajado en la clase pasada.

2. Conexin a Internet durante la etapa de ejecucin

2.1 - Formas de conexin a Internet

A dierencia de lo que ocurra hace algunos aos, actualmente haydiversas ormas posibles para conectarse a Internet, cada una con dierentesniveles de riesgo en lo que concierne a la seguridad de la inormacin.

En el contexto de una auditora, vimos que est contraindicadala utilizacin de la computadora del auditado, para evitar el acceso ainormaciones no pblicas relativas a la fiscalizacin, por parte de personasno autorizadas.

Por las mismas razones, no es recomendable utilizar una conexin aInternet acilitada por la organizacin auditada al equipo de auditora, sea a

En caso de que sea

inevitable entrar al e-mail

o a intranet de su EFS a

partir de la computadora

del auditado, cambie la

contrasea de acceso

introducida lo ms pronto

posible, utilizando una

mquina y una conexin

seguras.



travs de red cableada o inalmbrica (wi-fi). Como la administracin de esetipo de conexin, por lo general, est en manos de la propia organizacinauditada, es posible que los datos enviados o recibidos sean monitoreadoso interceptados de alguna manera.

Ya que, por lo general, el equipo de auditora dispone de notebooks(corporativos o particulares) para los trabajos de campo, y considerandola portabilidad de esos equipos, la manera ms indicada de conexin aInternet durante la etapa de ejecucin es la proporcionada por mdems debanda ancha (3G o 4G), con acceso autenticado.

Otra posibilidad es conectar su smartphone directamente a lanotebook, en caso que el telono permita tal opcin. De esa manera, el

smartphone permitir el acceso a Internet a partir de la notebook, prcticaconocida como tethering.

Su EFS puede aun suministrar un router porttil para 3G o 4G, lo queposibilitar el compartimento de la conexin a Internet entre las notebooksde la auditoria. Si el equipo de auditora no tiene un router disponible, esposible compartir el mdem 3G o 4G va wireless, creando una red ad-hoc(para ms inormaciones sobre cmo hacer esta configuracin, consulte elrea de TI de su institucin).

En caso de que nada de eso sea viable, es decir, si realmente esnecesario acceder a inormaciones no pblicas a travs de Internet y lanica opcin de conexin es la red de la organizacin auditada, verifique laviabilidad de conectar su notebook (corporativa o particular) a la red de laorganizacin. Esta es una mejor opcin, en lo que concierne a la seguridad,que la utilizacin de la computadora del auditado conectada a la red de laorganizacin.

La conexin de la notebookde la auditora a la red del auditado puede

ser hecha conectando un cable de red al notebook(antes, verifique si eseprocedimiento est permitido por las normas de seguridad del auditado) outilizando una red wi-fi(red wireless, es decir, inalmbrica) eventualmenteacilitada por la organizacin auditada. En este caso, habilite la redinalmbrica solamente cuando vaya a utilizarla y deshabiltela despus deluso, para minimizar el riesgo de un acceso indebido a las inormacionesalmacenadas en la notebooksin el conocimiento del auditor.

Es posible que la EFS en

la que usted acte no

facilite mdems para

uso en fscalizaciones,

aunque esta sea una

prctica extremadamente

recomendable desde

el punto de vista de

la seguridad de la

informacin. En caso deque su EFS no disponga

de dichos equipos y usted

posea un mdem 3G o

4G particular, es posible

utilizarlo.

Sepa ms detalles sobre la

prctica de tethering en el

glosario del curso.



2.2 - Conexin en hoteles y cyber cafs

Las posibles ormas de conexin a Internet durante la etapa de ejecucinno se limitan a aquellas realizadas en las dependencias de la organizacinauditada. Muchas veces, los integrantes del equipo de auditora necesitanacceder a inormaciones disponibles en Internet en hoteles (en donde estneventualmente hospedados) o aun en otros lugares pblicos (en cyber cas,lugares de comida rpida o restaurantes).

Los cyber casson ambientes que tienen como eje la conectividad paraun pblico amplio y variado, sin grandes preocupaciones por la seguridad.Por ello, hay una gran probabilidad de que los equipos prestados al pblico

estn inectados con virus o archivos maliciosos y su uso, por lo tanto, debeser evitado.

Evite tambin utilizar otras redes compartidas, como redes cableadaso inalmbricas de hoteles u otras redes wi-fi provistas por terceros (enaeropuertos o casas de comida rpida, por ejemplo). Esos establecimientosorecen el servicio de Internet, muchas veces gratuito, como un atractivopara sus clientes, pero sin cualquier compromiso con la seguridad. Talesredes son blancos ciles para personas mal intencionadas que buscan algntipo de beneficio ilcito a partir de la interceptacin de las inormacionesenviadas.

Opciones de conexin a Internet en las instalaciones del auditado

Se resumen, a continuacin, las opciones de conexin a Internet en

las instalaciones de la organizacin auditada en orden decreciente de

preerencia:

a) Utilizacin de notebooky conexin con mdem3G o 4G;

b) Utilizacin de notebooky conexin va red del auditado;

c) Utilizacin de la computadora del auditado y conexin va red del

auditado.

Observacin: en la tercera opcin, evite al mximo enviar y recibirinormaciones no pblicas, as como el acceso a e-mail corporativo o a

intranet de su EFS.



Por lo tanto, todas esas ormas de conexin son contraindicadas,y se debe utilizarlas solamente para acceder a inormaciones pblicasdisponibles para cualquier persona en Internet (aun as, su equipo necesitatener el sistema operacional actualizado y un buen antivirus y firewallinstalados).

En caso de que sea absolutamente indispensable entrar a su e-mailcorporativo, a sistemas corporativos disponibles en Interneto a la intranetde su organizacin utilizando dichas conexiones, posteriormente cambie loms pronto posible su contrasea de acceso, a partir de una computadorasituada en la red interna de la EFS. Evite, tambin, realizar transaccionesbancarias o con tarjeta de crdito, o incluso pasar inormacionesimportantes, sean personales o proesionales, a travs de esas redes.

Tambin es interesante evitar al mximo conectar pendrives acomputadoras de cyber cas, debido a la alta probabilidad de ineccincon virus. En caso de que sea inevitable hacerlo, pase posteriormente unantivirus con las definiciones actualizadas en dichos dispositivos, a partirde un equipo seguro (ej.: la computadora porttil de la auditora).



Y si es necesario usar una computadora o red no confiable?

A pesar de no ser una prctica recomendada, las circunstancias pueden

requerir la utilizacin, de manera excepcional, de computadoras o de redes

no confiables, como es el caso de la computadora del auditado y de equipos

disponibles en cyber cas, as como de la red wi-fide hoteles o de aquellas

eventualmente brindadas por la organizacin auditada.

En estas situaciones, existen soluciones que disminuyen los riesgos

inherentes a tales procedimientos.

Sofware de VPN

Se puede utilizar un sofware de VPN (Virtual Private Network), que

permite una comunicacin criptografiada de datos (enviados y recibidos)

a travs de Internet. Pero, ese tipo de solucin exige la instalacin del

sofwarecliente de VPN en la computadora, lo que tal vez no sea posible si

el dispositivo utilizado pertenece a terceros, como ocurre en computadoras

de cyber cas.

Desktop Virtualizado Otra opcin es usar una solucin de DesktopVirtualizado con criptograa de datos. Dicha solucin no necesita ser

instalada para ser ejecutada en computadoras de terceros. El acceso es

realizado a travs de un navegador (browser). Adems, el almacenamiento

de inormaciones no es realizado en la computadora considerada insegura

(ej.: computadora del auditado y de cyber cas).

Es interesante que el auditor verifique en el rea de TI de la EFS en que

trabaja si las dos soluciones mencionadas anteriormente se encuentran

disponibles, siendo recomendada la utilizacin en el mbito de las

auditoras, como orma de minimizar riesgos.

Sin embargo, cabe resaltar que tales soluciones son paliativas, es decir,

son ormas de minimizar riesgos, en caso de que el auditor no tenga otra

opcin que no sea la de utilizar computadoras consideradas inseguras. La

aplicacin de estos controles no es suficiente para garantizar la seguridadde las inormaciones involucradas.Por esta razn, no trataremos sobredichas soluciones tecnolgicas en este curso .

Para informaciones ms

detalladas sobre lo que

es la VPN y el Desktop

Virtualizado, consulte el

glosario del curso.



2.3 - Uso de correo electrnico

Cuando se habla de uso de e-mail para el envo o el recibimiento deinormaciones no pblicas concernientes a la auditora, la primera prcticaa ser evitada es la utilizacin de correos electrnicos de proveedoresparticulares, como Gmail, Hotmaily Yahoo, ya que no es posible garantizarque el nivel de seguridad orecido por el proveedor del servicio es suficientepara preservar la confidencialidad de la inormacin que es enviada orecibida.

De ser necesario enviar o recibir alguna inormacin no pblicapor correo electrnico, prefiera la utilizacin de e-mail corporativoen detrimento de proveedores particulares, ya que, por lo general, los

trminos de uso de esos servicios suelen establecer lmites en cuanto ala responsabilidad de preservar la confidencialidad y la integridad de lainormacin.

Se recomienda que el acceso remoto al e-mail corporativo debe serrealizado a partir de una mquina segura, como la notebook de la auditora,utilizando una conexin igualmente confiable (como la conexin vamdem3G o 4G), de modo de evitar que eventuales malwares capturen lasinormaciones introducidas o recibidas.

3. Contingencia y copia de seguridad

3.1 - Prdida, hurto o robo de equipos, dispositivos y

documentos

Equipos (ej.: notebooks), dispositivos porttiles (ej.: pendrives ysmartphones) y documentos (ej.: papeles de trabajo de la auditora y

documentos en papel brindados por la organizacin auditada) sonconsiderados activos de inormacin, es decir, son medios de soporte quealmacenan inormaciones dotadas de valor para la EFS, en la medida queposeen un significado relevante en el contexto de la fiscalizacin y servirnde base para las conclusiones del equipo de auditora, habiendo daos a losobjetivos de la fiscalizacin y a la imagen de la EFS en caso de que se filtreninormaciones, es decir, que se d el acceso indebido por parte de personasno autorizadas.

Por lo tanto, se debe minimizar los riesgos de prdida, hurto o robo deesos equipos, dispositivos y documentos a travs de la adopcin de algunoscuidados bsicos:



a) No deje documentos y equipos donde haya riesgo de hurto,como dentro de automviles, salas sin control de acceso etc.;

b) Utilice la caja uerte del hotel, llegado el caso, para guardar lanotebook, elpendrivey los documentos no pblicos;

c) En el caso de copias de documentos en papel o de medioselectrnicos (ej.: CDs y DVDs), eectu los mismosprocedimientos de proteccin sica utilizados para los originales(recuerde que la inormacin es la misma, independiente que elsoporte sea el original o una mera copia);

d) No despache equipos, dispositivos y documentos con

inormaciones no pblicas en equipajes;

e) Use criptograa para proteger inormaciones no pblicasalmacenadas en medios electrnicos (veremos ese recursotecnolgico en la clase 5).

) Utilice bloqueadores de seguridad propias para notebooks, conel objetivo de minimizar el riesgo de hurto del equipo durante laetapa de ejecucin de la auditoria (Vea un ejemplo de bloqueadorde seguridad en la figura al lado).

Aunque sean tomados todos los cuidados para evitar prdida, hurto orobo, es posible que ocurra algo indeseable. Aunque usted haya hecho unacopia de las inormaciones perdidas que permita la continuidad del trabajode la auditora, es importante tomar algunas actitudes en relacin con losarchivos perdidos, hurtados o robados. En ese caso, haga lo siguiente:

a) Haga la denuncia ante las autoridades locales lo ms prontoposible;

b) Comunique inmediatamente el hecho a la persona responsablede la auditora;

c) En caso de que exista un rea de seguridad de la inormacinen su EFS, comunique el hecho, ya que se trata de un incidentede seguridad de la inormacin, aunque usted considere que elproblema no tenga solucin;

d) Notifique al rea de patrimonio de su EFS, en caso de que elequipo sea corporativo;

Ejemplo de bloqueador de

seguridad:

En Brasil, el ciudadano

debe realizar una

denuncia ante la Polica

Civil de la Provincia.

Dicho procedimientopuede ser efectuado a

travs de Internet.



e) Analice, en conjunto con la persona responsable de la auditora,la necesidad de inormar al auditado el hecho.

3.2 Copia de seguridad

En esta clase, hablamos mucho sobre confidencialidad, pero vimosen la clase 1 que la seguridad de la inormacin abarca, adems, otraspropiedades, como la integridad, la autenticidad y la disponibilidad.

En lo que concierne a la disponibilidad, una de las principales manerasde resguardarla es la realizacin de copias de seguridad (o backups). A travsde la realizacin de copias de seguridad, ser posible la recuperacin de la

inormacin en caso de prdida, robo o hurto de equipos o de dispositivos(vimos como evitar dichos problemas en el tem anterior), as como tambinen caso de eventual deecto en la notebook de la auditora, por ejemplo.

La preocupacin con la copia de seguridad se hace especialmenterelevante en el contexto de una auditora. En el TCU, las inormacionesalmacenadas electrnicamente son protegidas por copias de seguridadperidicas, segn reglas propias, realizados por el rea de TI, de orma que,en condiciones normales, esas reglas son observadas y no es necesario queel auditor se preocupe con la realizacin de copias de seguridad.

En la etapa de ejecucin de la auditora, sin embargo, trabajamos,generalmente, con notebooksque no estn conectados a la red de la EFS y,por lo tanto, el propio equipo de auditora debe realizar copias de seguridadcon intervalos regulares, para evitar la prdida de las inormaciones. Larecuencia de realizacin de las copias de seguridad depender del gradode riesgo a que las inormaciones se encuentran sujetas.

Por lo tanto, si usted tiene inormaciones almacenadas exclusivamente

en la notebook, es importante traserir esas inormaciones apendrives, quedeben, preerentemente, ser dejados con personas dierentes de la que tienela notebook. Tambin es posible realizar copias de seguridad para mediosdigitales (ej.: CDs y DVDs).

En lo que concierne al pendrive, las inormaciones almacenadasexclusivamente en ese dispositivo porttil tambin deben ser copiadas aotros sitios, evitndose el comprometimiento de los datos en caso de unaineccin delpendriveo de su prdida.

Por lo tanto, mantenga copias de seguridad de los archivos reerentesal trabajo de auditora y almacnelas en un sitio protegido, preeriblementedierente del sitio de la fiscalizacin. Copias de seguridad posibilitan la



Tambin es posible

la utilizacin de la

computacin en la nube

para la realizacin de

copias de seguridad

(veremos ese tema en la

clase 4). En ese caso, sin

embargo, los datos deben

ser almacenados en un

sitio confable de Internet(no se deben utilizar

servicios gratuitos, como

Google Docs o Dropbox),

respetando la poltica de

la propia EFS respecto a

ese tema.

Al utilizar softwares de

ese tipo, se debe respetar

la poltica de la EFS al

respecto, as que consulte

el rea de TI de su EFS.

Veremos esos

instrumentos tecnolgicos

(criptografa y hash)oportunamente en las

clases 5 y 6.

recuperacin de las inormaciones almacenadas luego de allas, ineccincon virus o de una invasin.

Obviamente, la realizacin de copias de seguridad no hace menosrelevantes los cuidados sicos con la notebooky elpendriveutilizados en laauditora, ya que ellos son equipos sensibles al ambiente, siendo importanteprotegerlos del contacto con el agua, del calor excesivo y de camposmagnticos. El medio externo en el que est grabada la copia de seguridadtambin debe ser protegido adecuadamente.

Al utilizar dispositivos de almacenamiento electrnico (ej.: pendriveo HD externo) para el transporte de archivos, asegrese de que lasinormaciones sean borradas de orma segura del dispositivo tan pronto

como no sean ms necesarias. Utilice, para ello, un sofwarepara remocinsegura, como el File Shredder- que ser presentado en la clase 7.

4. Controles tecnolgicos para la condencialidad y laintegridad

Durante la etapa de ejecucin, adems de la copia de seguridad (pararesguardar la disponibilidad de las inormaciones y evitar su prdida),existen otros controles tecnolgicos que el equipo de auditora debe adoptarpara la proteccin de las inormaciones.

De esa manera, para inormaciones no pblicas, puede ser utilizadala criptograa con un sofware especfico (ej.: TrueCrypt), con vistas agarantizar la confidencialidad. La integridad de las inormaciones, a su vez,puede ser protegida a travs de sofwaresde hash, como el HashCalc.



5. Sntesis

Vimos en esta clase aspectos de seguridad de la inormacin aplicadosa la etapa de ejecucin de la auditora.

En ese contexto, abordamos los cuidados a ser adoptados en elambiente sico del auditado y mostramos las razones por las cuales lautilizacin de la computadora del auditado es contraindicada.

Abordamos tambin la conexin a Internet durante la etapa deejecucin y explicamos que la utilizacin de la red de la organizacinauditada y de conexiones acilitadas por hoteles, y cyber castambin es

contraindicada, siendo la orma ms segura de conexin la proporcionadapor mdems 3G o 4G.

Vimos tambin cuestiones como el uso del correo electrnico durantela etapa de ejecucin y qu hacer para evitar prdida, hurto o robo deequipos, dispositivos y documentos, as como tambin los procedimientosa ser adoptados en caso que ocurra alguno de los hechos citados.

En las prximas clases, continuaremos viendo aspectos de seguridadde la inormacin en lo que concierne al uso de instrumentos tecnolgicosdurante las auditoras.


17/17

6. Referencias bibliogrcas

BRASIL. Tribunal de Contas da Unio. Boas prticas de segurana dainormao em auditorias. Braslia: TCU, Assessoria de Segurana daInormao e Governana de Tecnologia da Inormao (Assig), 2012.

ISO/IEC 27.002. Tecnologia da inormao Tcnicas de segurana Cdigo de prtica para a gesto da segurana da inormao. InternationalOrganization or Standardization, 2013.

Documents

Seguridad de La Informacion en Auditorias Clase3