Sie sind auf Seite 1von 20

Instituto Serzedello Corra

SEGURIDAD DE LA
INFORMACIN
EN AUDITORAS

Clase 2
Seguridad de la Informacin en
la Planificacin de Auditoras

Copyright 2014, Tribunal de Cuentas de la Unin


<www.tcu.gov.br>

Se permite la reproduccin, parcial o total, de esta publicacin, sin alteracin del contenido, siempre y cuando se cite
la fuente y no se utilice con fines comerciales.
RESPONSABILIDAD POR EL CONTENIDO
Tribunal de Cuentas de la Unin
Secretara General de la Presidencia
Asesora de la Seguridad de la Informacin y Gobernanza de TI
REDACCIN
Rodrigo Melo do Nascimento
REVISIN TCNICA
Gelson Heinrickson
Geraldo Magela Lopes de Freitas
Helton Fabiano Garcia
Juliana Belmok Bordin
Luisa Helena Santos Franco
Marisa Alho Mattos de Carvalho
Mnica Gomes Ramos Bimbato
ASESORAMIENTO PEDAGGICO
Arthur Colao Pires de Andrade
RESPONSABILIDAD EDITORIAL
Tribunal de Cuentas de la Unin
Secretara General de la Presidencia
Instituto Serzedello Corra
Centro de Documentacin
Editorial del TCU
PROYECTO GRFICO
Ismael Soares Miguel
Paulo Prudncio Soares Brando Filho
Vivian Campelo Fernandes
DIAGRAMACIN
Vanessa Vieira Ferreira da Silva

Atencin!

Este material tiene funcin didctica. La ltima actualizacin ocurri en abril de 2014. Las afirmaciones y
opiniones son de responsabilidad exclusiva del autor y pueden no expresar la posicin oficial del Tribunal
de Cuentas de la Unin.

CLASE 2 - Seguridad de la Informacin en la


Planificacin de Auditoras
Introduccin
Vimos en la Clase 1 algunos conceptos bsicos de seguridad de la
informacin que nos permitirn, a partir de ahora y hasta el final del curso,
abordar las buenas prcticas de seguridad aplicables a auditoras bajo un
enfoque eminentemente prctico.
En esta Clase 2, veremos cmo la seguridad de la informacin nos
puede ayudar en la etapa de planificacin de la auditora. En ese contexto,
se destaca la importancia de la proteccin de las informaciones relativas a
la etapa de planificacin y se abordan los procedimientos necesarios a la
preparacin de equipos y de dispositivos mviles, con el fin de proteger
las informaciones que sern producidas o recibidas durante la etapa de
ejecucin.
Para facilitar el estudio, esta clase est organizada de la siguiente
forma:
1. La seguridad de la informacin en auditoras.................................................. 5
1.1 - Insuficiencia de los controles tecnolgicos................................................. 5
1.2 - Importancia de las buenas prcticas en el contexto de las auditoras........ 6
1.3 Clasificacin de las informaciones producidas o recibidas en auditoras. 8
2. Etapa de planificacin de la auditora............................................................. 10
2.1 Proteccin de las informaciones de la etapa de planificacin ................. 10
2.2 - Conocimiento de la Poltica de Seguridad de la Informacin de la organizacin auditada................................................................................................. 11
3. Procedimientos previos a la etapa de ejecucin.............................................. 12
3.1 - Preparacin de computadoras porttiles................................................... 12
3.1.1 - Porttiles corporativos............................................................................ 13
3.1.2 - Notebooks particulares............................................................................ 14
3.1.3 - Programas de seguridad para apoyo a la auditora ............................... 15
3.1.4 Conexin a Internet.................................................................................. 16
3.2 - Preparacin del pen drive (memoria USB)................................................... 17
3.3 - Acceso a sistemas de la organizacin auditada.......................................... 17

Clase 2 - Seguridad de la Informacin en la Planificacin de Auditoras

[3]

4. Sntesis.............................................................................................................. 19
5. Referencias bibliogrficas............................................................................... 20

Al final de esta clase, esperamos que sea capaz de:


yycomprender la importancia de la seguridad de la informacin
en el contexto de las auditoras.
yycomprender la importancia de proteger las informaciones
relativas a la etapa de planificacin de la auditora.
yyconcienciarse acerca de la necesidad de proteger las
informaciones que sern producidas o recibidas al realizarse las
auditoras.
yydescribir los procedimientos de preparacin de los equipos y
dispositivos mviles que sern utilizados en campo.

[ 4 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS

1. La seguridad de la informacin en auditoras


Es necesaria la seguridad de la informacin en las auditoras?
1.1 - Insuficiencia de los controles tecnolgicos
Al hablar de seguridad de la informacin es muy comn acordarnos de
las tecnologas de la informacin (TI), aunque hayamos visto en la primera
clase del curso que tal asociacin no es obligatoria, pues la informacin
debe ser protegida independientemente de su medio de soporte ser el fsico
(papel) o el electrnico.
Instrumentos tecnolgicos como antivirus y firewalls son importantes,
pero insuficientes, en el caso de que se quiera otorgar a la informacin una
proteccin efectiva. Considere la siguiente situacin hipottica:
Fulano, auditor en determinada EFS, tiene en su computadora
corporativa un excelente antivirus, con todas las actualizaciones del sistema
operativo instaladas y una conexin a Internet lo suficientemente segura.
Tales aspectos tecnolgicos tienen la autorizacin del rea de TI. Fulano,
sin embargo, en el mismo ordenador corporativo suele compartir su clave de
acceso a la red de la EFS con otras personas, guarda informes de auditora e
instrucciones no pblicas en su memoria USB sin ninguna proteccin, guarda
archivos localmente sin realizar copia de seguridad y suele hacer clic en links
sospechosos contenidos en correos electrnicos y redes sociales.

Este ejemplo demuestra que la fuerte inversin en avanzados controles


tecnolgicos puede no ser efectiva por la no observancia de buenas
prcticas comportamentales en seguridad de la informacin. En la situacin
descripta, el funcionario Fulano puede comprometer la confidencialidad
de las informaciones de la EFS al guardar documentos no pblicos en su
memoria USB sin utilizar procedimientos de seguridad adecuados, pues
este podra ser perdido o hurtado y, en ese caso, terceros tendran acceso
a las informaciones indebidamente. Adems, Fulano coloca en riesgo
la disponibilidad de las informaciones al guardar apenas localmente sus
archivos, sin realizar copia de seguridad (lo ideal sera guardar los archivos
en dispositivos de almacenamiento corporativos, como la red de la EFS,
por ejemplo), pues es posible que la computadora presente problemas
tcnicos y no se pueda acceder a los documentos. Adems, al hacer clic en
links sospechosos de forma indiscriminada en correos electrnicos y redes
sociales, Fulano puede someter la organizacin a programas maliciosos o
a personas mal intencionadas, que podran acceder indebidamente a las
informaciones o incluso corromperlas. Por ltimo, al compartir su clave de

Clase 2 - Seguridad de la Informacin en la Planificacin de Auditoras

[5]

acceso a la red, abre la posibilidad de que personas no autorizadas hagan


operaciones en la red en nombre de Fulano o accedan a datos sigilosos,
comprometiendo la autenticidad o la confidencialidad de las informaciones.
De este modo, los riesgos a los que la informacin est sujeta solo
sern debidamente reducidos conjugando controles tecnolgicos a buenas
prcticas, o sea, el factor comportamental es crucial para resguardar la
confidencialidad, la integridad, la disponibilidad y la autenticidad de la
informacin.
Esto vale para cualquier actividad desempeada por las EFSs, en
las que la informacin es tanto insumo como producto en el desempeo
de sus competencias constitucionales y, bajo tal perspectiva, la adecuada
proteccin de las informaciones es un factor esencial para el cumplimiento
de su misin institucional.
1.2 - Importancia de las buenas prcticas en el contexto de
las auditoras
La observancia de buenas prcticas de seguridad de la informacin
esencialmente relacionadas con el comportamiento en las actividades
fiscalizadoras de las EFSs impacta directamente en la calidad de las
auditoras y el resultado de los trabajos.
De esta manera, por ejemplo, una auditora basada en pruebas cuya
integridad sea susceptible de ser cuestionada por la organizacin auditada
podr tener su objetivo comprometido. Aunque el equipo fundamente muy
bien sus alegaciones en el informe de auditora, gestores de la organizacin
pueden colocar en duda la integridad de esas pruebas, alegando, por
hiptesis, que ciertas hojas de Excel, aportadas durante la etapa de la
ejecucin, no corresponden exactamente a aquellas que fueron insertadas
en el proceso. Adems, es muy probable que la instancia decisoria de la EFS
no se sienta segura para determinar las medidas apropiadas en caso de que
la auditora se base en pruebas de integridad dudosa.
Del mismo modo, si informaciones protegidas por sigilo fiscal son
suministradas por determinada organizacin al equipo de auditora y,
por descuido, se filtran esas informaciones en virtud, por ejemplo,
de la prdida de una computadora porttil (notebook) en la que tales
informaciones estaban almacenadas se podr manchar la honra de los
gestores de la organizacin auditada. En esa hiptesis, es probable que, en
futuras fiscalizaciones, la organizacin en cuestin no sea tan cooperativa
con los auditores por causa de la filtracin previa de informaciones, lo que
coloca en riesgo futuros trabajos de fiscalizacin.
[ 6 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS

Los ejemplos presentados evidencian lo importante que es asociar


instrumentos tecnolgicos a comportamientos ms seguros, adoptando
controles que traigan ms seguridad a la informacin que se est tratando.
En el primer caso, el equipo de auditora podra haber solicitado la
firma con certificado digital de las hojas de Excel o, alternativamente, en
el caso de que los gestores de la organizacin auditada no tuviesen ese
recurso tecnolgico, el equipo podra haber usado un software de hash
para resguardar la integridad de la informacin. En el segundo caso, las
informaciones protegidas por sigilo guardadas en la computadora porttil
podran haber sido protegidas con criptografa, lo que evitara el acceso
indebido por terceros y la consecuente filtracin de esas informaciones.

En Brasil, documentos
electrnicos firmados
digitalmente con certificados
digitales emitidos por
organizacin legalmente
competente tienen la
misma validad jurdica
que documentos en papel

Por lo tanto, en las fiscalizaciones en general, el equipo de auditora


recibe y produce informaciones que precisan ser protegidas por intermedio
tanto de controles tecnolgicos como de buenas prcticas de carcter
comportamental.

con firma reconocida ante


escribano.

Por medio de la adopcin de buenas prcticas comportamentales


de seguridad de la informacin aliadas a instrumentos tecnolgicos, se
minimizan los riesgos de filtracin de informaciones, de comprometimiento
de integridad de las pruebas y evidencias e, incluso, de la nulidad del proceso.
Proteccin de las informaciones en auditoras
Para la adecuada proteccin de las informaciones recibidas o producidas
en auditoras, es fundamental combinar:
a) Buenas prcticas de seguridad de la informacin (factor
comportamental); e
b) Instrumentos tecnolgicos apropiados (factor tecnolgico).
Sintetizando esquemticamente:
FACTOR RELACIONADO CON EL COMPORTAMIENTO
+ FACTOR TECNOLGICO = PROTECCIN DE LA
INFORMACIN
Acurdese: proteger las informaciones en fiscalizaciones
responsabilidad de todos los componentes del equipo de auditora.

es

Clase 2 - Seguridad de la Informacin en la Planificacin de Auditoras

[7]

1.3 Clasificacin de las informaciones producidas o


recibidas en auditoras
Como vimos al final de la clase anterior, en general, las informaciones
relativas a auditoras en Brasil no son pblicas hasta que la EFS manifieste
su decisin en el respectivo proceso de control externo.
Para facilitar la comprensin, transcribimos a continuacin
dispositivos de la Ley de Acceso a la Informacin (correspondiente a lo que
se denomina Ley da Transparencia en algunos pases) y de la ResolucinTCU n 249/2012, verbis (subrayados nuestros):
BRASIL Ley n 12.527/2011 (Ley de Acceso a la Informacin LAI)
Art. 7o El acceso a la informacin del que trata esta Ley comprende,
entre otros, los derechos de obtener:
[...]
VII - informacin relativa:
[...]
b) al resultado de inspecciones, auditoras, rendiciones y revisiones
de cuentas realizadas por los rganos de control interno y externo,
incluyendo rendiciones de cuentas relativas a ejercicios anteriores.
[...]
3o El derecho de acceso a los documentos, o a las informaciones
que los mismos contienen, utilizados como fundamento de la
revisin de decisin y del acto administrativo ser asegurado con
la edicin del acto decisorio respectivo.
[...]
Art. 23. Se consideran imprescindibles a la seguridad de la
sociedad o del Estado y, por lo tanto, pasibles de clasificacin las
informaciones cuya divulgacin o acceso irrestricto pueda:
[...]
VIII - comprometer actividades de inteligencia, as como de
investigacin o fiscalizacin en curso, relacionadas con la
prevencin o represin de infracciones.

[ 8 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS

BRASIL Tribunal de Cuentas de la Unin Resolucin-TCU n


249/2012:
Art. 4 Es derecho de cualquier interesado obtener junto al TCU:
[...]
VII - informacin relativa:
[...]
b) al resultado de inspecciones, auditoras, rendiciones y revisiones
de cuentas realizadas por el Tribunal, incluyendo rendiciones de
cuentas relativas a ejercicios anteriores.
[...]
1 El derecho de acceso a los documentos o a las informaciones
que ellos contienen utilizados como fundamento de la revisin de
decisin y del acto administrativo ser asegurado con la edicin
del acto decisorio respectivo, que, en el caso de proceso de control
externo, ser el fallo del TCU o despacho del relator con decisin
de mrito.

Por lo tanto, en Brasil, en los trminos del art. 23, VIII, de la LAI, las
informaciones relativas a auditoras no concluidas son imprescindibles a la
seguridad de la sociedad o del Estado, pues se refieren a una fiscalizacin
en curso y su acceso tiene que estar debidamente protegido mientras la
fiscalizacin no est concluida.
Clasificacin de las informaciones en auditoras
No es raro que, en el mbito de un trabajo de fiscalizacin, el auditor
produzca documentos a partir de informaciones no pblicas,
recibidas de la organizacin auditada. En ese caso, los documentos
producidos deben ser clasificados por el agente pblico legalmente
competente, sea de la organizacin auditada o de la EFS en grado
no pblico.
En el TCU, las informaciones producidas solo pueden ser clasificadas
por algunas autoridades. Ya las informaciones recibidas deben ser
clasificadas por la organizacin auditada, sujeto a la consecuencia de
que se las presuma como pblicas.
Para ms detalles sobre la clasificacin de las informaciones en la EFS
brasilea, consulte la Resolucin-TCU n 254/2013. Para detalles
sobre la Ley de Acceso a la Informacin brasilea, consulte la Ley n
12.527/2011.

Clase 2 - Seguridad de la Informacin en la Planificacin de Auditoras

[9]

2. Etapa de planificacin de la auditora


2.1 Proteccin de las informaciones de la etapa de
planificacin
No podemos olvidar que el equipo de auditora comienza a producir
informaciones concernientes a la fiscalizacin antes de la etapa de ejecucin,
o sea, an en la etapa de planificacin. Considerando que muchas de
esas informaciones se refieren al objeto de la auditora, su divulgacin
inadvertida puede comprometer los propios objetivos de la fiscalizacin,
de forma que se deben proteger tales informaciones.
De este modo, por ejemplo, al designarse formalmente el equipo de
auditora, el objetivo constante en el instrumento de designacin no debe
ser explicitado o descripto de forma que evidencie o identifique aspectos
que todava no fueron comprobados por el equipo de fiscalizacin, sujeto
a la consecuencia de que se frustre la finalidad de la auditora, en razn
de la natural tendencia de la organizacin auditada de ocultar evidencias
previamente a la etapa de la ejecucin, para que el equipo de auditora no
encuentre pruebas de irregularidades.
Varias informaciones constantes en las matrices de planificacin
concernientes a la fiscalizacin deben ser protegidas por las mismas
razones. En ese sentido, vale resaltar lo dispuesto en el tem 66 de las
Normas de Auditora del TCU, en el sentido de que informaciones sobre la
planificacin general solamente podrn ser divulgadas para dar publicidad
a la accin de fiscalizacin del Tribunal, si no comprometen el sigilo de los
trabajos a realizarse.
Eso se debe al hecho de que la planificacin debe ser calcada en la
priorizacin de acciones de control fundadas en criterios de relevancia,
materialidad, riesgo y oportunidad, razn por la cual la divulgacin
inadecuada de las informaciones relativas a la planificacin de la auditora
puede reducir la eficacia y la efectividad esperadas en las acciones de control
externo.

[ 10 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS

2.2 - Conocimiento de la Poltica de Seguridad de la


Informacin de la organizacin auditada
La existencia o ausencia de un documento formal elaborado por
el auditado, que contemple una poltica de seguridad de la informacin,
o de normativos especficos sobre el asunto son indicadores importantes
para evaluarse el grado de madurez de la organizacin en relacin con la
seguridad de la informacin. La importancia que la organizacin auditada
le otorga a la seguridad de la informacin es un buen indicio de los riesgos
asociados al objeto de la auditora y a la integridad de los datos recibidos del
auditado y deben ser tenidos en cuenta en la elaboracin de los programas
y procedimientos de la auditora.
Por un lado, la ausencia de una poltica formal de seguridad de la
informacin sugiere que los controles en seguridad de la informacin de la
organizacin auditada, si existen, pueden tener baja eficacia. Tal situacin
indica mayor riesgo, por ejemplo, de que las informaciones consultadas o
extradas de bases de datos estn comprometidas y no sean confiables.
Por otro lado, la existencia de una Poltica de Seguridad de la
Informacin, adems de indicar un mayor grado de madurez de la
organizacin auditada en trminos de gobernanza corporativa, debe ser
tenida en cuenta en la planificacin de la auditora, pues las normas y
polticas de la organizacin influenciarn en la definicin de las tcnicas y de
los procedimientos necesarios para la obtencin de datos e informaciones
esenciales para el alcanzar plenamente el objetivo de la auditora.
Adems, el equipo de auditora debe tomar cuidado para no transgredir
las normas de seguridad vigentes en la organizacin auditada, siempre que
tales normas no obstaculicen el ejercicio de las atribuciones de fiscalizacin
de la EFS.

Clase 2 - Seguridad de la Informacin en la Planificacin de Auditoras [ 11 ]

3. Procedimientos previos a la etapa de ejecucin


Es muy importante, al trmino de la etapa de planificacin, que los
miembros del equipo de auditora adopten procedimientos que otorguen
mayor nivel de seguridad en lo que se refiere a los trabajos atinentes a la
etapa de ejecucin. Esto incluye, por ejemplo, la preparacin de los equipos
y/o dispositivos mviles que sern utilizados en campo. Tal preparacin
permitir un mayor grado de seguridad durante la etapa de ejecucin,
minimizando riesgos y, por lo tanto, reduciendo la probabilidad de que
ocurran incidentes de seguridad de la informacin.
Preparacin de equipos y dispositivos mviles
La preparacin de los equipos que sern utilizados en campo es
especialmente importante cuando se considera lo dispuesto en la
norma ISO/IEC 27002:2013:
11.2.6 Seguridad de equipos y activos fuera de las dependencias de
la organizacin
Control
Es conveniente que se tomen medidas de seguridad para activos que
se operen fuera de las dependencias de la organizacin, teniendo
en cuenta los diferentes riesgos provenientes del hecho de trabajar
afuera.

3.1 - Preparacin de computadoras porttiles


Es muy comn la utilizacin de computadoras porttiles (notebook)
por el equipo de auditora en los trabajos de campo. Por lo tanto, se hace
fundamental preparar esos equipos para evitar riesgos desnecesarios y, en
consecuencia, comprometer las informaciones producidas o recibidas por
el equipo de auditora.
Es posible utilizar, en la etapa de ejecucin, tanto porttiles corporativos
(pertenecientes a la EFS) como porttiles particulares (pertenecientes a los
propios integrantes del equipo de auditora), habiendo algunas variaciones
en lo que se refiere a la preparacin de unos y otros.

[ 12 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS

3.1.1 - Porttiles corporativos

En Brasil, los porttiles corporativos presentan particularidades en


relacin con las computadoras comnmente utilizadas en las dependencias
del TCU: no quedan siempre enchufados, son de uso compartido y se
utilizan con frecuencia fuera de las dependencias de la EFS.
Por lo tanto, conviene adoptar algunos procedimientos antes de
llevarlos a campo, con el fin de aumentar su nivel de seguridad:
Observacin
Los procedimientos detallados a continuacin se aplican a la realidad
del TCU. A los funcionarios de otras EFSs, se les recomienda contactar
el rea de TI de su organizacin , en el caso de haber dudas en su
funcionalidad.

Los procedimientos pueden


variar de EFS para EFS, pero
los objetivos a alcanzarse son:
- instalar actualizaciones de
seguridad en el porttil;

a. Antes de encender la computadora porttil, conctela a


la red corporativa, conectando un cable de red al equipo.
Alternativamente, encienda el equipo y conctelo a la red
inalmbrica de la EFS, si hay;
b. Inicie sesin en la red con perfil de usuario comn (nombre
de usuario y clave idnticos a aquellos utilizados en las
computadoras de la EFS);

- mantener cuentas de usuario


comn, que permitan la
autenticacin de cada auditor
de forma separada;
- instalar software de
seguridad en la notebook.

c. Aguarde las actualizaciones de software y reinicie el porttil sin


desconectarlo de la red, para permitir la completa instalacin de
todos los programas y actualizaciones.
d. Instale los 3 (tres) programas de seguridad para apoyo a la
auditora (criptografa, hash y remocin de forma segura),
conforme el tem 3.1.3 de esta clase.
Adoptados los procedimientos descriptos arriba, el software del equipo
ser automticamente actualizado. Adems de los programas de seguridad
propiamente dichos (ej.: antivirus), se actualizan otros, como el propio
sistema operacional de la mquina (ej.: Windows) y sus actualizaciones
peridicas de seguridad (patches), haciendo el ambiente virtual de trabajo,
por causa de la etapa de ejecucin de la auditora, ms seguro.
El procedimiento descripto en el tem b debe ser realizado por todos
los componentes del equipo de auditora que utilizarn la computadora
Clase 2 - Seguridad de la Informacin en la Planificacin de Auditoras [ 13 ]

porttil durante la fiscalizacin, para que las informaciones de autenticacin


(nombre de usuario y clave) de todos los integrantes del equipo se actualicen.
La utilizacin del perfil de
administrador no es lo ms
indicado. Es mucho ms

Eso permitir que, durante la etapa de ejecucin, la computadora


porttil sea utilizada con perfil de usuario comn en lugar de perfil de
administrador .

seguro usar la computadora


porttil con perfil de usuario
comn. Veremos ese punto en
futuras clases.

3.1.2 - Notebooks particulares

Es posible que los integrantes del equipo de auditora utilicen sus


propias computadora porttiles particulares en los trabajos de campo, ya
sea por una cuestin de conveniencia o porque la EFS no les provee esos
equipos para utilizacin en fiscalizaciones.
Si se utiliza una computadora porttil particular en la etapa de
ejecucin de la auditora, es importante tener en cuenta que tales equipos
al contrario de aquellos eventualmente provistos por la EFS no
estn equipados con software de seguridad que puedan ser actualizados
automticamente por medio de la conexin a la red, ni tampoco contarn
con el apoyo tcnico del rea organizacional de TI.
La computadora porttil particular es tpicamente de uso personal y
no exclusivo del trabajo. Normalmente, su propietario tiene acceso total al
equipo (perfil de administrador) e instala varios productos de su propio
inters, adems, eventualmente otras personas pueden usar el equipo
(ej.: personas de la familia). La actualizacin de los productos instalados
y de los softwares de seguridad depende totalmente del propietario de la
computadora porttil. Por eso, tal equipo suele presentar mayores riesgos
en trminos de seguridad de la informacin que la computadora porttil
corporativa.
Consciente de estos aspectos, si usted decide utilizar su notebook
particular, no deje de hacer lo siguiente :

Cada EFS puede tener una


poltica especfica para el
uso de equipos personales,
que incluya la instalacin de
software especfico.

a) Utilice software originales y mantngalos actualizados. Se le


debe prestar especial atencin al sistema operacional, cuya
actualizacin corrige peridicamente fallas de seguridad en el
producto que afectan todos los otros programas ejecutados en
el notebook;
b) Mantenga software de seguridad. Usted debe instalar, como
mnimo, un buen antivirus, pero es muy recomendable tener
tambin un firewall personal, anti-spyware y anti-adware.
Recuerde que es necesario actualizar regularmente estos

[ 14 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS

productos para que sean efectivos, ya que nuevos cdigos


maliciosos surgen diariamente y solo son reconocidos por los
software de seguridad mediante actualizacin;
c) Cree una cuenta de usuario comn (sin perfil de administrador)
con clave de acceso, para minimizar el impacto en el caso de
eventuales contaminaciones con virus. Si el sistema operativo de
su notebook es Windows, siga el camino Iniciar > Configuraciones
> Panel de Control > Cuentas de Usuario.
d) Instale los 3 (tres) programas de seguridad para apoyo a la
auditora (criptografa, hash y remocin de forma segura),
conforme se indica en el tem 3.1.3 de esta clase.
3.1.3 - Programas de seguridad para apoyo a la auditora

Es muy importante, antes del inicio de la etapa de ejecucin, que se


instalen en los notebooks que sern utilizados en campo programas de
seguridad para apoyo a la auditora. Se sugiere los siguientes softwares:
i) Software de criptografa (TrueCrypt):
El software de criptografa protege la confidencialidad de las
informaciones, de tal forma que solo se podr acceder a las mismas
mediante el uso de una clave especfica. Se debe tener especial cuidado,
pues la prdida de esta clave implicar la imposibilidad de acceder a las
informaciones.

Los software que se


indican aqu son libres,
o sea, totalmente
gratuitos, y fueron
homologados por el rea
de TI para uso en el TCU.
Existen otros programas
con las mismas
funcionalidades. Para la

Por medio del software TrueCrypt, el auditor puede definir un rea en


el disco de la computadora porttil en la cual sern almacenados archivos
criptografiados, cuyo acceso depende del conocimiento de una clave
previamente definida.
ii) Software de hash (HashCalc):
Hash o cdigo hash es un conjunto de datos, generado por un
algoritmo matemtico, que identifica de forma inequvoca otro conjunto
de datos (generalmente un archivo). Si el contenido del archivo es alterado,
el nuevo cdigo generado ser completamente diferente al anterior.
El software de hash permite la verificacin de la integridad de las
informaciones con el objetivo de evitar alteraciones indebidas. Si dos
archivos poseen el mismo cdigo de hash se concluye que ellos son iguales.

instalacin en equipos
corporativos, contacte al
rea de TI de su rgano.
Para instalacin en
equipos particulares,
consulte los archivos
de orientacin para
la instalacin de los
programas, disponibles en
la biblioteca del curso.
Las funcionalidades
de cada uno de esos
programas sern tratadas
en clases especficas.

Clase 2 - Seguridad de la Informacin en la Planificacin de Auditoras [ 15 ]

iii) Software de remocin de forma segura (File Shredder):


Cuando se excluye cualquier archivo de la computadora de forma
convencional, tal archivo se transfiere para la Papelera del sistema
operacional. Aunque se vace la Papelera, es posible que una persona con
algn conocimiento tcnico en TI recupere las informaciones contenidas en
aquel archivo, con el apoyo de programas especficos para la recuperacin
de archivos excluidos.
Un software de remocin o exclusin de forma segura, como el File
Shredder, garantiza que los archivos por l excluidos no sean posteriormente
recuperados.

3.1.4 Conexin a Internet

Abordaremos, en la prxima clase, las diversas formas de conexin a


Internet en lo que respecta al nivel de seguridad por ellas proporcionado
a partir de notebooks durante la etapa de ejecucin de la auditora. En
este momento, corresponde solamente registrar que la forma ms segura
de conexin durante la fiscalizacin es la que se hace por medio de modems
3G.
Si la EFS en la que usted trabaja le provee modems 3G para conexin
a Internet durante las auditoras, no dude en utilizarlos, pues son muy
seguros. Si la EFS no los suministra y usted tiene condiciones de llevar su
propio modem 3G, no hay contraindicaciones en trminos de seguridad,
pero usted debe prestar atencin para no exceder el lmite de franquicia de
su plan.

Tal prctica se denomina


tethering.
Sepa ms detalles en el

Una alternativa bastante segura es conectar su telfono celular


(smartphone) directamente a la computadora porttil, como si fuese un
modem 3G/4G . De esa forma, es posible que la computadora porttil
acceda a Internet, por medio de la red de datos del celular (tome cuidado
para no exceder el lmite de franquicia de su plan). Sin embargo, puede que
no sea posible el uso de esa alternativa, si el smartphone no soporta ese tipo
de configuracin o si la operadora de telefona mvil restringe ese tipo de
uso.

glosario del curso!

En lo que se refiere a conexin a Internet, si hay posibilidad de usar


una conexin 3G o 4G, opte por ello. Pruebe la conexin antes de salir al
campo y separe previamente todos los accesorios necesarios, utilizndolos
en el ambiente del auditado durante la etapa de ejecucin.

[ 16 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS

3.2 - Preparacin del pen drive (memoria USB)


El pen drive es un dispositivo porttil muy prctico para el transporte
de informaciones, pues posee buena capacidad de almacenamiento y
pueden ser conectados en diversos tipos de equipos, razn por la cual es
muy comn su utilizacin en auditoras.
Su versatilidad, sin embargo, es tambin fuente de riesgos. En las
prximas clases veremos cmo minimizarlos durante la etapa de ejecucin.
Por ahora, antes de los trabajos de campo, vale la pena preparar su pen
drive haciendo lo siguiente:
a. Haga la copia de seguridad de los archivos eventualmente
guardados en el pen drive;
b. Borre todos los archivos del pen drive de forma segura, usando
el software File Shredder, cuyo tutorial est disponible en la
Biblioteca del curso (la simple remocin de forma convencional
puede permitir la posterior recuperacin de los archivos, si el
dispositivo se perdiera o fuese robado). Tal procedimiento
evita el acceso indebido a las informaciones que el dispositivo
contiene;
c. Instale en el propio pen drive los 3 (tres) programas de seguridad
para apoyo a la auditora mencionados en el tem 3.1.3 de esta
clase. Al instalarlos, elija como lugar de destino el propio pen
drive. De esta forma, durante la etapa de ejecucin de la auditora,
usted podr hacer funcionar los programas a partir del pen drive
en cualquier equipo.
3.3 - Acceso a sistemas de la organizacin auditada
De acuerdo con la planificacin de la auditora, si usted precisa obtener
informaciones almacenadas en sistema informatizado de la organizacin
auditada, puede ser conveniente solicitar por escrito al auditado un perfil
de acceso a ese sistema, de preferencia antes de la etapa de ejecucin. Ese
perfil debe ser definido por el equipo de auditora, teniendo en cuenta
los objetivos, el alcance y el objeto de la auditora, as como los recursos
disponibles en el auditado.
Se recomiendan los siguientes cuidados en lo que se refiere a los
perfiles de acceso a sistemas informatizados de la organizacin auditada:

Clase 2 - Seguridad de la Informacin en la Planificacin de Auditoras [ 17 ]

a. Prefiera perfiles de acceso ms generales, aunque exista el


objetivo de obtener cierta informacin especfica, para evitar
que el auditado sepa elementos de la planificacin de la auditora
y, de esa forma, comprometer la efectividad de la accin de
control;
b. Solicite un perfil exclusivo para consulta, que no permita al
equipo alterar los datos pertenecientes al auditado en el propio
sistema informatizado, para que el auditado no pueda alegar la
quiebra de integridad de las informaciones que sern utilizadas
como evidencias de la auditora;
c. Solicite que sea generado el registro de las operaciones realizadas
por el equipo, para que quede registrado todo lo que el mismo
ejecut. Tal cuidado se hace especialmente importante en el caso
de no ser posible el uso de un perfil exclusivo para consulta (en
ese caso, tericamente, hay posibilidades de que el equipo pueda
alterar indebidamente los datos y es importante que todas las
operaciones que se ejecuten queden registradas en el sistema).

[ 18 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS

4. Sntesis
En esta clase vimos aspectos de seguridad de la informacin en
el contexto de las auditoras y como es imprescindible la adopcin de
buenas prcticas de carcter comportamental, que deben ser utilizadas
paralelamente a los controles tecnolgicos.
Vimos tambin que las informaciones producidas o recibidas en
auditoras, en general, no son pblicas y que informaciones concernientes
a la etapa de planificacin deben ser protegidas para que la fiscalizacin
alcance plenamente sus objetivos.
Abordamos, asimismo, los procedimientos preparatorios que se
deben adoptar al finalizar la etapa de planificacin y antes de la etapa de
ejecucin de la auditora, con el objetivo de mitigar los riesgos en seguridad
de la informacin en los trabajos de campo.
En este contexto, describimos en etapas cmo se deben preparar las
computadoras porttiles (notebooks) y pen drives, con especial nfasis en
la instalacin de los programas de seguridad para apoyo a la auditora
(criptografa, hash y remocin segura).

Clase 2 - Seguridad de la Informacin en la Planificacin de Auditoras [ 19 ]

5. Referencias bibliogrficas
BRASIL. Ley n 12.527, del 18 de noviembre de 2011. Regula el acceso a
informaciones previsto en el inciso XXXIII del art. 5o, en el inciso II del
3 del art. 37 y en el 2 del art. 216 de la Constitucin Federal; altera la
Ley n 8.112, del 11 de diciembre de 1990; revoca la Ley n 11.111, del 5 de
mayo de 2005, y dispositivos de la Ley n 8.159, del 8 de enero de 1991; y da
otras providencias. Disponible en: <http://www.planalto.gov.br/ccivil_03/_
ato2011-2014/2011/lei/l12527.htm>. Consultado el 1 ago. 2013.
______. Tribunal de Cuentas de la Unin. Resolucin-TCU n 249, del 2
de mayo de 2012. Dispone sobre el acceso a la informacin y la aplicacin
de la Ley 12.527, del 18 de noviembre de 2011, en el mbito del Tribunal
de Cuentas de la Unin. Brasilia, 2012. Disponible en: <http://www.tcu.
gov.br/Consultas/Juris/Docs/judoc/Resol/20120509/RES2012-249.doc>.
Consultado el 1 ago. 2013.
______. Tribunal de Cuentas de la Unin. Resolucin-TCU n 254, del
10 de abril de 2013. Dispone sobre la clasificacin de la informacin en
relacin a la confidencialidad en el mbito del Tribunal de Cuentas de la
Unin. Brasilia, 2013. Disponible en: <http://www.tcu.gov.br/Consultas/
Juris/Docs/judoc/Resol/20130418/RES2013-254.doc>. Consultado el 1
ago. 2013.
______. Tribunal de Cuentas de la Unin. Normas de Auditora del
Tribunal de Cuentas de la Unin. Anexo a la Portara-TCU n 280/2010,
con redaccin dada por la Portara-TCU n 168, del 30 de junio de 2011.
Disponible
en:
<http://portal2.tcu.gov.br/portal/page/portal/TCU/
comunidades/fiscalizacao_controle/normas_auditora/BTCU-ESPECIAL12-de-05-07-2011%20Normas%20de%20Auditora.pdf>. Consultado el 12
ago. 2013.
______. Tribunal de Cuentas de la Unin. Buenas prcticas de seguridad
de la informacin en auditoras. Brasilia: TCU, Asesora de Seguridad de
la Informacin y Gobernanza de Tecnologa de la Informacin (Assig),
2012.

[ 20 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS