Professional Documents
Culture Documents
SEGURIDAD DE LA
INFORMACIN
EN AUDITORAS
Clase 4
Seguridad de la Informacin
en Dispositivos Mviles y
Computacin en Nube
Se permite la reproduccin, parcial o total, de esta publicacin, sin alteracin del contenido, siempre y cuando se cite
la fuente y no se utilice con fines comerciales.
RESPONSABILIDAD POR EL CONTENIDO
Tribunal de Cuentas de la Unin
Secretara General de la Presidencia
Asesora de la Seguridad de la Informacin y Gobernanza de TI
REDACCIN
Rodrigo Melo do Nascimento
REVISIN TCNICA
Gelson Heinrickson
Geraldo Magela Lopes de Freitas
Helton Fabiano Garcia
Juliana Belmok Bordin
Luisa Helena Santos Franco
Marisa Alho Mattos de Carvalho
Mnica Gomes Ramos Bimbato
ASESORAMIENTO PEDAGGICO
Arthur Colao Pires de Andrade
RESPONSABILIDAD EDITORIAL
Tribunal de Cuentas de la Unin
Secretara General de la Presidencia
Instituto Serzedello Corra
Centro de Documentacin
Editorial del TCU
PROYECTO GRFICO
Ismael Soares Miguel
Paulo Prudncio Soares Brando Filho
Vivian Campelo Fernandes
DIAGRAMACIN
Vanessa Vieira Ferreira da Silva
Atencin!
Este material tiene funcin didctica. La ltima actualizacin ocurri en abril de 2014. Las afirmaciones y
opiniones son de responsabilidad exclusiva del autor y pueden no expresar la posicin oficial del Tribunal
de Cuentas de la Unin.
[3]
1. Dispositivos mviles
En el transcurso de las auditoras, principalmente durante la etapa
de ejecucin, es muy comn hacer uso de los dispositivos mviles, como
notebooks, pendrives, smartphones y tablets, entre otros.
Estos dispositivos, que proporcionan practicidad, traen algunos
riesgos en trminos de la seguridad, que necesitan ser reducidos al mnimo
para la proteccin adecuada de la informacin producida o recibida en
auditoras.
Vamos a ver las principales precauciones que se adoptarn en el uso
de dispositivos mviles.
Computacin mvil
Dispositivos mviles, como notebooks, smartphones y tablets, son verdaderas
computadoras portables. Sobre computacin mvil, vea lo que establece la
norma ISO/IEC 27002:2013:
6.2 Dispositivos mviles y trabajo remoto
Objetivo: Garantizar la seguridad de la informacin en el trabajo remoto
y en el uso de dispositivos mviles.
Conviene que, cuando se utilicen los dispositivos mviles, se deben
tomar cuidados especiales para asegurar que la informacin del negocio
no sea comprometida. Conviene que la poltica de dispositivos mviles
tome en cuenta los riesgos de trabajarse con estos dispositivos mviles en
ambientes desprotegidos.
[5]
1.1 - Notebooks
Microsoft - empresa que desarrolla el sistema operativo Windows recomienda el tipo de cuenta Usuario Estndar para el uso diario de la
computadora. La cuenta Invitado se destina a las personas con necesidad de
acceso temporal a la computadora. Ya la cuenta Administrador se debe utilizar,
segn la empresa, solamente cuando necesario y en carcter excepcional.
Uso indistinto del perfil de administrador
Informacin adicional
El uso inapropiado de privilegios de administrador de sistemas []
puede ser un gran factor de contribucin a las imperfecciones o violacin
de sistemas.
[7]
1.1.2 - Contraseas
Es de todo contraindicado
utilizar contraseas
idnticas para sitios o
servicios distintos. Esto
permite que tercero,
una vez que tiene acceso
indebido a los datos de
autenticacin en algn
sitio, consigue fcilmente
invadir las diversas
cuentas de la persona en
otros sitios.
CONSEJOS PRCTICOS
CONTRASEAS
PARA
ELABORAR
MANEJAR
1.2 - Pendrives
En la Clase 2, vimos la necesidad para preparar en la conclusin de la
etapa de planificacin el pendrive que se utilizar en la auditora, haciendo
la copia de seguridad de los archivos de auditoras anteriores (grabados
eventualmente en el pendrive), borrndose esos archivos de forma segura e
instalando los 3 (tres) softwares de seguridad para apoyo a la auditora.
Durante la fase de ejecucin, la practicidad ofrecida por los pendrives
es fuente de una serie de riesgos. Esos dispositivos pueden cargar sin darse
cuenta los virus y otros softwares maliciosos de un lugar al otro. Adems, los
softwares maliciosos en el equipo donde el pendrive est conectado pueden,
de forma intencional o no, tener acceso indebido al contenido o provocar
dao a la informacin almacenada en este dispositivo.
Adopte, por lo tanto, los cuidados siguientes con el pendrive durante
la etapa de ejecucin de la auditora:
Estrictamente hablando,
el pendrive es un
dispositivo de almacenaje
no dotado con capacidad
de procesamiento.
Por razones de orden
prctica, considerando
que los pendrives
requieren bsicamente
los mismos cuidados de
seguridad dispensados a
los dispositivos mviles en
general, pas como bien
incluirlos en el tem 1 de
esta clase.
[9]
En el TCU, no se ofrece el
servicio de nube privado
para uso directamente
por los usuarios finales,
a ejemplo de discos
virtuales.
LA
DROPBOX
1) No hay garanta en relacin con la prdida de informacin o
violacin de integridad:
EN LA MEDIDA MXIMA PERMITIDA POR LA LEY, EN
NINGN CASO DROPBOX, SUS SUBSIDIARIAS, PROVEEDORES
NI DISTRIBUIDORES SERN RESPONSABLES DE (A) NINGN
DAO INDIRECTO, ESPECIAL, INCIDENTAL, PUNITIVO,
EJEMPLAR NI CONSECUENTE (NI DE LAS PRDIDAS DE USO,
DATOS, NEGOCIOS O BENEFICIOS), INDEPENDIENTEMENTE
DE LA TEORA JURDICA, INCLUSO SI DROPBOX FUE
ADVERTIDO ACERCA DE LA POSIBILIDAD DE ESOS DAOS
E INCLUSO SI UN RECURSO NO CUMPLIERA CON SU
PROPSITO ESENCIAL [CONDICIONES DEL SERVICIO DE
DROPBOX]
2) Informacin sobre
automticamente.
el
usuario
son
recopiladas
En la clase siguiente,
vamos a ver cmo se
usa la criptografia en
auditoras.
3. Sntesis
En esta clase, vimos las principales precauciones a ser adoptadas
para el uso seguro de dispositivos mviles en auditoras. As, por ejemplo,
abordamos la importancia para utilizar perfil de usuario comn en el
notebook de la auditora, para proteccin con criptografa a los archivos
almacenados en pendrives y para definir una contrasea de acceso para
smartphones.
Todava vimos el concepto de computacin en nube y como puede ser
utilizada en auditoras, con nfasis especial a la contraindicacin del uso
de nubes pblicas gratuitas (ej.: Google Drive y Dropbox) para almacenar la
informacin relativa a las fiscalizaciones.
En la clase siguiente, abordaremos el uso de la criptografa para
proteger la informacin de la auditora contra el acceso indebido.
4. Referencias bibliogrficas
BRASIL. Tribunal de Contas da Unio. Boas prticas de segurana da
informao em auditorias. Braslia: TCU, Assessoria de Segurana da
Informao e Governana de Tecnologia da Informao (Assig), 2012.
_____.CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE
INCIDENTES DE SEGURANA NO BRASIL (CERT.br). Cartilha de
Segurana para Internet. 2 Edio. Comit Gestor da Internet no Brasil:
So Paulo, 2012. Disponible en: <http://cartilha.cert.br/livro/cartilhaseguranca-internet.pdf>. Accedido el 05 sep. 2013.
_____.CENTRO DE TRATAMENTO DE INCIDENTES DE SEGURANA
DE REDES DE COMPUTADORES DA ADMINISTRAO PBLICA
FEDERAL (CTIR GOV). Estatsticas de Incidentes de Rede na APF 3
Trimestre/2013. Octubre de 2013. Disponible en: <http://www.ctir.gov.br/
arquivos/estatisticas/2013/Estatisticas_CTIR_Gov_3o_Trimestre_2013.
pdf>. Accedido el 12 nov. 2013.
DROPBOX. Poltica de privacidad de Dropbox. ltima actualizacin:
20 de febrero de 2014. Disponible en: <https://www.dropbox.com/
terms#privacy>. Accedido el 17 abril 2014.
_____. Condiciones del servicio de Dropbox. ltima actualizacin: 20
de febrero de 2014. Disponible en: <https://www.dropbox.com/terms>.
Accedido el 17 abril 2014.
GOOGLE. Condiciones del Servicio de Google. ltima modificacin:
14 de abril de 2014. Disponible en: < http://www.google.com/intl/es-419/
policies/terms/>. Accedido el 17 abril 2014.
MICROSOFT. Cuentas Microsoft: obtener ayuda. Disponible en: <http://
windows.microsoft.com/es-xl/windows-live/microsoft-account-help>.
Accedido el 17 abril 2014.
PECK PINHEIRO, Patricia. Direito Digital Aplicado. Intelligence: So
Paulo, 2012.