Beruflich Dokumente
Kultur Dokumente
SEGURIDAD DE LA
INFORMACIN
EN AUDITORAS
Clase 2
Seguridad de la Informacin en
la Planificacin de Auditoras
Se permite la reproduccin, parcial o total, de esta publicacin, sin alteracin del contenido, siempre y cuando se cite
la fuente y no se utilice con fines comerciales.
RESPONSABILIDAD POR EL CONTENIDO
Tribunal de Cuentas de la Unin
Secretara General de la Presidencia
Asesora de la Seguridad de la Informacin y Gobernanza de TI
REDACCIN
Rodrigo Melo do Nascimento
REVISIN TCNICA
Gelson Heinrickson
Geraldo Magela Lopes de Freitas
Helton Fabiano Garcia
Juliana Belmok Bordin
Luisa Helena Santos Franco
Marisa Alho Mattos de Carvalho
Mnica Gomes Ramos Bimbato
ASESORAMIENTO PEDAGGICO
Arthur Colao Pires de Andrade
RESPONSABILIDAD EDITORIAL
Tribunal de Cuentas de la Unin
Secretara General de la Presidencia
Instituto Serzedello Corra
Centro de Documentacin
Editorial del TCU
PROYECTO GRFICO
Ismael Soares Miguel
Paulo Prudncio Soares Brando Filho
Vivian Campelo Fernandes
DIAGRAMACIN
Vanessa Vieira Ferreira da Silva
Atencin!
Este material tiene funcin didctica. La ltima actualizacin ocurri en abril de 2014. Las afirmaciones y
opiniones son de responsabilidad exclusiva del autor y pueden no expresar la posicin oficial del Tribunal
de Cuentas de la Unin.
[3]
4. Sntesis.............................................................................................................. 19
5. Referencias bibliogrficas............................................................................... 20
[5]
En Brasil, documentos
electrnicos firmados
digitalmente con certificados
digitales emitidos por
organizacin legalmente
competente tienen la
misma validad jurdica
que documentos en papel
es
[7]
Por lo tanto, en Brasil, en los trminos del art. 23, VIII, de la LAI, las
informaciones relativas a auditoras no concluidas son imprescindibles a la
seguridad de la sociedad o del Estado, pues se refieren a una fiscalizacin
en curso y su acceso tiene que estar debidamente protegido mientras la
fiscalizacin no est concluida.
Clasificacin de las informaciones en auditoras
No es raro que, en el mbito de un trabajo de fiscalizacin, el auditor
produzca documentos a partir de informaciones no pblicas,
recibidas de la organizacin auditada. En ese caso, los documentos
producidos deben ser clasificados por el agente pblico legalmente
competente, sea de la organizacin auditada o de la EFS en grado
no pblico.
En el TCU, las informaciones producidas solo pueden ser clasificadas
por algunas autoridades. Ya las informaciones recibidas deben ser
clasificadas por la organizacin auditada, sujeto a la consecuencia de
que se las presuma como pblicas.
Para ms detalles sobre la clasificacin de las informaciones en la EFS
brasilea, consulte la Resolucin-TCU n 254/2013. Para detalles
sobre la Ley de Acceso a la Informacin brasilea, consulte la Ley n
12.527/2011.
[9]
instalacin en equipos
corporativos, contacte al
rea de TI de su rgano.
Para instalacin en
equipos particulares,
consulte los archivos
de orientacin para
la instalacin de los
programas, disponibles en
la biblioteca del curso.
Las funcionalidades
de cada uno de esos
programas sern tratadas
en clases especficas.
4. Sntesis
En esta clase vimos aspectos de seguridad de la informacin en
el contexto de las auditoras y como es imprescindible la adopcin de
buenas prcticas de carcter comportamental, que deben ser utilizadas
paralelamente a los controles tecnolgicos.
Vimos tambin que las informaciones producidas o recibidas en
auditoras, en general, no son pblicas y que informaciones concernientes
a la etapa de planificacin deben ser protegidas para que la fiscalizacin
alcance plenamente sus objetivos.
Abordamos, asimismo, los procedimientos preparatorios que se
deben adoptar al finalizar la etapa de planificacin y antes de la etapa de
ejecucin de la auditora, con el objetivo de mitigar los riesgos en seguridad
de la informacin en los trabajos de campo.
En este contexto, describimos en etapas cmo se deben preparar las
computadoras porttiles (notebooks) y pen drives, con especial nfasis en
la instalacin de los programas de seguridad para apoyo a la auditora
(criptografa, hash y remocin segura).
5. Referencias bibliogrficas
BRASIL. Ley n 12.527, del 18 de noviembre de 2011. Regula el acceso a
informaciones previsto en el inciso XXXIII del art. 5o, en el inciso II del
3 del art. 37 y en el 2 del art. 216 de la Constitucin Federal; altera la
Ley n 8.112, del 11 de diciembre de 1990; revoca la Ley n 11.111, del 5 de
mayo de 2005, y dispositivos de la Ley n 8.159, del 8 de enero de 1991; y da
otras providencias. Disponible en: <http://www.planalto.gov.br/ccivil_03/_
ato2011-2014/2011/lei/l12527.htm>. Consultado el 1 ago. 2013.
______. Tribunal de Cuentas de la Unin. Resolucin-TCU n 249, del 2
de mayo de 2012. Dispone sobre el acceso a la informacin y la aplicacin
de la Ley 12.527, del 18 de noviembre de 2011, en el mbito del Tribunal
de Cuentas de la Unin. Brasilia, 2012. Disponible en: <http://www.tcu.
gov.br/Consultas/Juris/Docs/judoc/Resol/20120509/RES2012-249.doc>.
Consultado el 1 ago. 2013.
______. Tribunal de Cuentas de la Unin. Resolucin-TCU n 254, del
10 de abril de 2013. Dispone sobre la clasificacin de la informacin en
relacin a la confidencialidad en el mbito del Tribunal de Cuentas de la
Unin. Brasilia, 2013. Disponible en: <http://www.tcu.gov.br/Consultas/
Juris/Docs/judoc/Resol/20130418/RES2013-254.doc>. Consultado el 1
ago. 2013.
______. Tribunal de Cuentas de la Unin. Normas de Auditora del
Tribunal de Cuentas de la Unin. Anexo a la Portara-TCU n 280/2010,
con redaccin dada por la Portara-TCU n 168, del 30 de junio de 2011.
Disponible
en:
<http://portal2.tcu.gov.br/portal/page/portal/TCU/
comunidades/fiscalizacao_controle/normas_auditora/BTCU-ESPECIAL12-de-05-07-2011%20Normas%20de%20Auditora.pdf>. Consultado el 12
ago. 2013.
______. Tribunal de Cuentas de la Unin. Buenas prcticas de seguridad
de la informacin en auditoras. Brasilia: TCU, Asesora de Seguridad de
la Informacin y Gobernanza de Tecnologa de la Informacin (Assig),
2012.