seguridad de la informacion en auditorias clase5

7/24/2019 Seguridad de La Informacion en Auditorias Clase5

1/13

I S C

C

C A

SEGURIDAD DE LA

INFORMACINEN AUDITORAS


2/13

RESPONSABILIDAD POR EL CONTENIDO

Tribunal de Cuentas de la Unin

Secretara General de la Presidencia

Asesora de la Seguridad de la Informacin y Gobernanza de TI

REDACCIN

Rodrigo Melo do Nascimento

REVISIN TCNICA

Gelson HeinricksonGeraldo Magela Lopes de Freitas

Helton Fabiano Garcia

Juliana Belmok Bordin

Luisa Helena Santos Franco

Marisa Alho Maos de Carvalho

Mnica Gomes Ramos Bimbato

ASESORAMIENTO PEDAGGICO

Arthur Colao Pires de Andrade

RESPONSABILIDAD EDITORIAL

Tribunal de Cuentas de la Unin

Secretara General de la PresidenciaInstuto Serzedello Corra

Centro de Documentacin

Editorial del TCU

PROYECTO GRFICO

Ismael Soares Miguel

Paulo Prudncio Soares Brando Filho

Vivian Campelo Fernandes

DIAGRAMACIN

Vanessa Vieira Ferreira da Silva

Se permite la reproduccin, parcial o total, de esta publicacin, sin alteracin del contenido, siempre y cuando se citela fuente y no se ulice con nes comerciales.

Copyright 2014, Tribunal de Cuentas de la Unin

E maial fci didcca. La lma acalizaci ci ail d 2014. La amaci

ii d ailidad xcliva dl a d xa la ici cial dl Tial

d Ca d la Ui.

Atencin!
http://../AppData/Local/Adobe/InDesign/Version%209.0/pt_BR/Caches/InDesign%20ClipboardScrap1.pdfhttp://../AppData/Local/Adobe/InDesign/Version%209.0/pt_BR/Caches/InDesign%20ClipboardScrap1.pdf


3/13[ 3 ]Clase 5 - Criptografa en Auditoras

CLASE 5 Criptografa en Auditoras

Introduccin

Vimos durante las ltimas clases varios aspectos de seguridad de lainormacin aplicables a la etapa de planificacin y a la etapa de ejecucinde la auditora, incluso con mencin a los cuidados necesarios para lautilizacin de dispositivos mviles y de la computacin en nube.

A partir de esta clase y hasta el final del curso, veremos herramientastecnolgicas especficas aptas para la proteccin de las inormacionesproducidas o recibidas en el contexto de una auditora. Comenzaremos

abordando la criptograa en auditoras.

Para acilitar el estudio, esta clase se organiza de la siguiente orma:

1. Criptografia....................................................................................................... 5

1.1 - Concepto........................................................................................................ 5

1.2 - Modalidades de criptografa ....................................................................... 6

1.2.1 - Criptografa simtrica................................................................................ 6

1.2.2 Criptografa asimtrica............................................................................. 7

1.3 - Criptografa en notebooksy memorias USB................................................. 7

1.4 - Criptografa en correos electrnicos.......................................................... 8

2. Software para criptografa............................................................................ 10

2.1 - TrueCrypt ..................................................................................................... 10

2.2 - Ejercicio prctico......................................................................................... 11

3. Sntesis............................................................................................................. 12

4. Referencias bibliogrficas.............................................................................. 13


4/13[ 4 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS

Al final de esta clase, esperamos que sea capaz de:

y describirel concepto y los tipos de criptograa.

y describirlas principales indicaciones de la criptograa simtricay asimtrica en auditoras.

y comprender cmo realizar la criptograa simtrica con elsofwareTrueCrypt.

y manipularel sofware TrueCryptpara proteger inormacionesen computadoras porttiles (notebooks) ypen drives.



1. Criptograa

Qu es la criptografa?

1.1 - Concepto

La criptograa puede ser definida como la ciencia y el arte de escribirmensajes en orma cirada o en cdigo, y constituye uno de los principalesmecanismos de seguridad para la proteccin de inormaciones en Internet(CERT.BR, 2012).

Se trata de un proceso que permite mezclar los datos que se quierenproteger (el contenido de un archivo, por ejemplo), de orma tal que solo sepueda acceder a los datos originales mediante la posesin o conocimientode una llave, o sea, una clave especfica. De esa orma, la criptograapermite proteger la confidencialidad de las inormaciones no pblicas quese quieren resguardar.

A pesar de parecer algo complicado, relacionado con el mundo de lastransacciones bancarias por Internet, la criptograa puede ormar parteperectamente del da a da de personas no expertas en TI. En verdad, desdeque la humanidad comenz a comunicarse, ueron creadas ormas paraesconder el verdadero sentido de los mensajes. En la obra Libro de losCdigos, por ejemplo, Simon Singh retrata muy bien la historia del arte deescribir secretos desde el Antiguo Egipto hasta la era de Internet, narrandola lucha entre codificadores y desciradores de mensajes a lo largo de lahistoria (SINGH, 2002).

Actualmente, la criptograa ya est integrada o puede ser cilmenteadicionada a la gran mayora de los sistemas operativos y aplicaciones y,

para usarla, muchas veces solo es necesario ajustar algunas configuracioneso hacer algunos clics de mouse. Por medio del uso de la criptograa, esposible (CERT.BR, 2012):

y proteger los datos no pblicos almacenados en una computadora,notebookopen drive;

y crear un rea especfica en una computadora, notebook o pendrive, en la que todas las inormaciones sern almacenadasautomticamente en ormato criptografiado;

y proteger las copias de seguridad (backups) contra accesoindebido;

Se especula que el destino

de la Segunda Guerra

Mundial podra haber sido

otro si los codicadores

Enigma y Purple no

hubiesen sido quebrados

por los aliados. El primero

fue utilizado por los

alemanes y el segundo

por los japoneses en las

operaciones del Pacco.


6/13



1.2.2 Criptografa asimtrica

La criptograa asimtrica (o criptograa de llave pblica) utiliza dosllaves dierentes: una pblica, que puede ser divulgada libremente, y unaprivada, que debe ser mantenida en secreto por su propietario. Cuando unainormacin se codifica con una de las llaves, solamente la otra llave del parpodr decodificarla.

Esta modalidad de criptograa resolvi un problema inherente a lacriptograa simtrica, la cuestin de compartir la llave criptogrfica. En esesentido, en la criptograa asimtrica, una de las llaves es pblica, pudiendoaccederse a ella libremente, por ejemplo, por quien quiera transmitir unmensaje criptografiado al poseedor de la llave privada.

Veremos la certicacin

digital en la prxima

clase.

Garanta de la confidencialidad con criptograa asimtrica

Fuente: ITI, 2012

Adems de proteger inormaciones, esa modalidad de criptograa esla base del certificado digital, recurso que hace viable la firma digital de

documentos y e-mails.

1.3 - Criptografa en notebooksy memorias USB

Una de las ormas ms eficaces de proteger inormaciones no pblicasalmacenadas y transportadas durante el trabajo de campo es el uso de lacriptograa.

Dependiendo del grado de confidencialidad de las inormacionescontenidas en porttiles y/o memorias USB (pen drive), puede serconveniente protegerlas con criptograa. Es posible que haya, incluso,polticas o procedimientos en la EFS en la que usted trabaja que exijan la



criptograa para algunos casos. Aunque no existan normas al respecto,cabe al auditor evaluar, durante la fiscalizacin, la necesidad de usar o no lacriptograa, dependiendo del impacto que podra haber en el caso de queaccedieran a las inormaciones personas no autorizadas.

Algunas memorias USB orecen criptograa de brica. Endispositivos con esa uncionalidad, es necesario seguir las orientaciones decada abricante para criptografiar y tener acceso a los archivos.

Ejemplo de memoria USB (pen drive) con criptograa incluida

En el ejercicio prctico que se va a realizar al final de esta clase,presentaremos un paso a paso para inserir la uncionalidad de criptograaen un pen drive que no posea originalmente esa uncin, utilizandoel sofware TrueCrypt. Este sofware tambin puede ser utilizado paracriptograa en computadoras y porttiles.

1.4 - Criptografa en correos electrnicos

Por lo general los correos electrnicos circulan por Internet de

orma no protegida, o sea, cualquier interceptor (persona, computadora,proveedor de acceso etc.) entre el emisor y el destinatario final del mensajepuede acceder a su contenido. Por lo tanto, una manera de protegerinormaciones no pblicas enviadas por correo electrnico es el uso de lacriptograa.

Para el uso de criptograa en e-mails, el emisor (persona que envael mensaje) puede usar un sofware de criptograa asimtrica, enviandoel archivo criptografiado como anexo a un destinatario que despus derecibirlo va a decodificar las inormaciones del archivo usando una clave.En este caso, el emisor precisa conocer la llave pblica del receptor. Tambindebe ser previamente combinado el sofware usado para criptografiar/decriptografiar el archivo, para que haya compatibilidad.



En la criptograa asimtrica, es posible el uso de certificado digital quetiene el dierencial de que las llaves son garantizadas por una tercera parteconfiable (autoridad certificadora). El certificado digital es una especie dedocumento de identidad en el medio digital, que queda almacenado en undispositivo (normalmente, una tarjeta acoplable a un lector conectado auna entrada USB, o un token, que es un dispositivo porttil similar a unpendrive).

El certicado digital

tambin hace viable la

rma digital, como lo

veremos en la prxima

clase.

Antes de instalar el

programa, consulte

el rea de TI de suorganizacin.

Tokencriptogrfico

Con el certificado digital, se puede criptografiar un mensaje (cuerpodel e-mail y adjuntos), sin que sea necesario combinar previamente la clave.En ese caso, tanto el emisor como el receptor del mensaje precisan que suscertificados digitales y sofwares de correo electrnico sean compatiblescon la lectura de mensajes criptografiados con certificado digital, como porejemplo elMicrosof Outlook.

Si no es posible usar un sofware de criptograa asimtrica y/ocertificado digital, se puede usar un sofware de criptograa simtrica(ej.: TrueCrypt), siempre que, previamente al envo del mensaje, emisor yreceptor cuenten con un medio seguro para intercambiar la clave.

Certificado digital e-CPF, con lector USB



2. Software para criptografa

Sabemos que, aunque el uso de la certificacin digital es una tendencia,no todos cuentan hoy en da con un certificado digital. Lo que no llega a serun problema si el objetivo es exclusivamente proteger la confidencialidadde las inormaciones personales o proesionales de la propia persona,almacenadas en un ordenador porttil o pen drive, como usualmenteocurre en auditoras. En ese caso, es indicado el uso de un sofwareparacriptograa simtrica.

2.1 - TrueCrypt

El TrueCryptes un sofwarepara criptograa simtrica, o sea, permitecodificar y decodificar las inormaciones mediante el uso de una nicaclave. Se trata de un sofwarelibre, o sea, su instalacin y uso son totalmentegratuitos, como lo indica la licencia del programa.

La seguridad orecida por el sofware, as como el hecho de sertotalmente gratuito, permite su uso en equipos y dispositivos tantocorporativos como personales.

Si se opta por el TrueCrypt para la criptograa de inormacionesalmacenadas en notebooks y/o memorias USB durante una auditora, esundamental que el usuario defina una clave segura (vea en el siguientecuadro los consejos para elaborar buenas claves) y que tal clave sea, almismo tiempo, dicil de adivinar y tambin de ser olvidada, de lo contrariono ser posible acceder a las inormaciones posteriormente.

En este curso trabajamos

con el software TrueCrypt,

que est homologado

para uso en el TCU. Esto

no impide la utilizacin

de otros softwares decriptografa disponibles

en el mercado. En caso

de necesidad, consulte el

rea de TI de su EFS.

Consejos prcticos para buenas claves

Para elaborar una buena clave haga lo siguiente (GSI, 2013):

y Evite utilizar palabras que estn en diccionarios, incluso en otros

idiomas;

y Evite claves sencillas como secuencias de letras del alabeto, del teclado

o de nmeros (ej.: abcde, JKLNMO, asdgh, QWER, 123456, 098765);

y Utilice claves diversas en dierentes ambientes (ej.: la clave de su correo

electrnico debe ser dierente a la clave de su cuenta bancaria y de su

tarjeta de crdito);

y Cree claves extensas (se sugiere un mnimo de 8 caracteres), mezclando

letras maysculas y minsculas, nmeros y caracteres especiales (ej:

A*8s#T78).



2.2 - Ejercicio prctico

La evaluacin relativa a esta clase consistir en un ejercicio prcticocon el sofwareTrueCrypt.

El ejercicio permitir insertar la uncionalidad de criptograa enun pen drive que no posea originalmente esa uncionalidad. Al concluirel ejercicio, ser posible usar criptograa en cualquier computadora oporttil, aunque el TrueCryptno est instalado en el equipo (ser posiblehacer uncionar el programa a partir de la propia memoria USB).

Las orientaciones para

la tarea se encuentran

disponibles en el entorno

del curso.

Slo ser posible ejecutarel programa a partir

de la memoria USB si

el usuario tiene perl

de administrador en el

equipo.



3. Sntesis

Vimos en esta clase el concepto de criptograa, as como susmodalidades y principales indicaciones para la proteccin de laconfidencialidad de inormaciones producidas o recibidas en auditoras.

En ese contexto, indicamos el sofwareTrueCrypty propusimos unejercicio prctico (que ser detallado en el ambiente del curso), simulandola instalacin y el uso del programa en memorias USB.

En la prxima clase, hablaremos un poco ms acerca de la certificacindigital y sobre lo que viene a ser hash.


13/13

4. Referencias bibliogrcas

BRASIL. Tribunal de Cuentas de la Unin. Buenas prcticas de seguridadde la informacin en auditoras. Brasilia: TCU, Asesora de Seguridad de laInormacin y Gobernanza de Tecnologa de la Inormacin (Assig), 2012.

CENTRO DE ESTUDIOS, RESPUESTA Y TRATAMIENTO DEINCIDENTES DE SEGURIDAD EN BRASIL (CERT.BR). Cartilla deSeguridad para Internet. 2 Edicin. Comit Gestor de Internet en Brasil: SoPaulo, 2012. Disponible en: . Consultado el 05 set. 2013.

GABINETE DE SEGURIDAD INSTITUCIONAL DE LA PRESIDENCIADE LA REPBLICA. Departamento de Seguridad de la Inormacin yComunicaciones. Consejos para una buena clave. Disponible en: . Consultado el12 nov. 2013.

_______. Instruccin Normativa GSI/PR n 3, del 6 de marzo de 2013.Disponible en: . Consultado el 21 nov. 2013.

INSTITUTO NACIONAL DE TECNOLOGA DE LA INFORMACIN(ITI). Qu es Certificacin Digital? Brasilia, 2012. Disponible en:.Consultado el 13 nov. 2013.

SINGH, Simon. El Libro de los Cdigos.Record: Rio de Janeiro, 2002.

TRUECRYPT FOUNDATION. TrueCrypt License Version 3.0.Disponibleen: . Consultado el 05 set. 2013.
http://cartilha.cert.br/livro/cartilha-seguranca-internet.pdfhttp://cartilha.cert.br/livro/cartilha-seguranca-internet.pdfhttp://dsic.planalto.gov.br/noticias/47-dicas-para-uma-boa-senhahttp://dsic.planalto.gov.br/noticias/47-dicas-para-uma-boa-senhahttp://dsic.planalto.gov.br/documentos/instrucao_normativa_nr3.pdfhttp://dsic.planalto.gov.br/documentos/instrucao_normativa_nr3.pdfhttp://www.iti.gov.br/images/publicacoes/cartilhas/cartilhaentenda.pdfhttp://www.truecrypt.org/legal/licensehttp://www.truecrypt.org/legal/licensehttp://www.iti.gov.br/images/publicacoes/cartilhas/cartilhaentenda.pdfhttp://dsic.planalto.gov.br/documentos/instrucao_normativa_nr3.pdfhttp://dsic.planalto.gov.br/documentos/instrucao_normativa_nr3.pdfhttp://dsic.planalto.gov.br/noticias/47-dicas-para-uma-boa-senhahttp://dsic.planalto.gov.br/noticias/47-dicas-para-uma-boa-senhahttp://cartilha.cert.br/livro/cartilha-seguranca-internet.pdfhttp://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf

seguridad de la informacion en auditorias clase5

Documents