Anda di halaman 1dari 18

Instituto Serzedello Corra

SEGURIDAD DE LA
INFORMACIN
EN AUDITORAS

Clase 4
Seguridad de la Informacin
en Dispositivos Mviles y
Computacin en Nube

Copyright 2014, Tribunal de Cuentas de la Unin


<www.tcu.gov.br>

Se permite la reproduccin, parcial o total, de esta publicacin, sin alteracin del contenido, siempre y cuando se cite
la fuente y no se utilice con fines comerciales.
RESPONSABILIDAD POR EL CONTENIDO
Tribunal de Cuentas de la Unin
Secretara General de la Presidencia
Asesora de la Seguridad de la Informacin y Gobernanza de TI
REDACCIN
Rodrigo Melo do Nascimento
REVISIN TCNICA
Gelson Heinrickson
Geraldo Magela Lopes de Freitas
Helton Fabiano Garcia
Juliana Belmok Bordin
Luisa Helena Santos Franco
Marisa Alho Mattos de Carvalho
Mnica Gomes Ramos Bimbato
ASESORAMIENTO PEDAGGICO
Arthur Colao Pires de Andrade
RESPONSABILIDAD EDITORIAL
Tribunal de Cuentas de la Unin
Secretara General de la Presidencia
Instituto Serzedello Corra
Centro de Documentacin
Editorial del TCU
PROYECTO GRFICO
Ismael Soares Miguel
Paulo Prudncio Soares Brando Filho
Vivian Campelo Fernandes
DIAGRAMACIN
Vanessa Vieira Ferreira da Silva

Atencin!

Este material tiene funcin didctica. La ltima actualizacin ocurri en abril de 2014. Las afirmaciones y
opiniones son de responsabilidad exclusiva del autor y pueden no expresar la posicin oficial del Tribunal
de Cuentas de la Unin.

CLASE 4 - Seguridad de la Informacin en Dispositivos


Mviles y Computacin en Nube
Introduccin
Vimos en la ltima clase los aspectos de seguridad de la informacin
directamente aplicables a la etapa de ejecucin de las auditoras, con miras
a la proteccin de la informacin producida o recibida en el transcurso de
los trabajos en campo.
Continuando con nuestro curso, vamos a ver en esta clase, cuestiones
de seguridad de la informacin en relacin con el uso de dispositivos
mviles y una tendencia reciente de las organizaciones: la computacin en
nube. Tales cuestiones, como de costumbre, se abordarn de forma aplicada
a las auditoras desarrolladas por EFSs.
Para facilitar el estudio, esta clase se organiza de la siguiente forma:
1. Dispositivos mviles........................................................................................... 5
1.1 - Notebooks....................................................................................................... 6
1.1.1 - Perfil del usuario........................................................................................ 6
1.1.2 - Contraseas................................................................................................. 8
1.2 - Pendrives......................................................................................................... 9
1.3 - Smartphones y tablets.................................................................................. 10
2. Computacin en nube (cloud computing)........................................................ 12
2.1 - Modelos de cloud computing....................................................................... 12
2.2 - El uso del cloud computing en auditoras.................................................. 13
3. Sntesis.............................................................................................................. 17
4. Referencias bibliogrficas............................................................................... 18

Clase 4 - Seguridad de la Informacin en Dispositivos Mviles y Computacin en Nube

[3]

Al final de esta clase, esperamos que sea capaz de:


yydescribir los cuidados principales que se adoptarn en el uso de
notebooks.
yydescribir los cuidados principales recomendados para el uso de
pendrives.
yyidentificar las buenas prcticas de seguridad recomendadas en
el uso de smartphones y tablets.
yycomprender el concepto de computacin en nube y si puede ser
utilizada en auditoras.

[ 4 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS

1. Dispositivos mviles
En el transcurso de las auditoras, principalmente durante la etapa
de ejecucin, es muy comn hacer uso de los dispositivos mviles, como
notebooks, pendrives, smartphones y tablets, entre otros.
Estos dispositivos, que proporcionan practicidad, traen algunos
riesgos en trminos de la seguridad, que necesitan ser reducidos al mnimo
para la proteccin adecuada de la informacin producida o recibida en
auditoras.
Vamos a ver las principales precauciones que se adoptarn en el uso
de dispositivos mviles.
Computacin mvil
Dispositivos mviles, como notebooks, smartphones y tablets, son verdaderas
computadoras portables. Sobre computacin mvil, vea lo que establece la
norma ISO/IEC 27002:2013:
6.2 Dispositivos mviles y trabajo remoto
Objetivo: Garantizar la seguridad de la informacin en el trabajo remoto
y en el uso de dispositivos mviles.
Conviene que, cuando se utilicen los dispositivos mviles, se deben
tomar cuidados especiales para asegurar que la informacin del negocio
no sea comprometida. Conviene que la poltica de dispositivos mviles
tome en cuenta los riesgos de trabajarse con estos dispositivos mviles en
ambientes desprotegidos.

Clase 4 - Seguridad de la Informacin en Dispositivos Mviles y Computacin en Nube

[5]

1.1 - Notebooks

Vamos a ver algunos de


estos softwares en las
clases siguientes.

Desde la Clase 2 de este curso, hemos visto los procedimientos de


seguridad aplicables a notebooks, desde su preparacin (an en la etapa
de planificacin), pasando por la conexin a Internet y la utilizacin
de softwares de seguridad para apoyo a la auditora (durante la etapa
de ejecucin), hasta la realizacin peridica de copias de seguridad y el
desecho seguro de la informacin almacenada en l.
Sin perjuicio de las buenas prcticas citadas anteriormente, veamos a
continuacin algunos aspectos importantes en lo que se refiere al acceso a
la informacin almacenada en notebooks y/o accedidas a la Internet con el
uso de estos equipos.
1.1.1 - Perfil del usuario

En primer lugar, es importante tener en cuenta que el uso de cualquier


computadora debe darse con el uso del perfil adecuado a las necesidades
del usuario. En Windows, hay tres tipos de perfil definidos previamente en
el sistema operativo:
a. Administrador;
b. Usuario Estndar; o
c. Invitado.

En caso del TCU, las


cuentas administrativas
locales de las estaciones
de trabajo son, por
estndar, inhabilitadas.

Microsoft - empresa que desarrolla el sistema operativo Windows recomienda el tipo de cuenta Usuario Estndar para el uso diario de la
computadora. La cuenta Invitado se destina a las personas con necesidad de
acceso temporal a la computadora. Ya la cuenta Administrador se debe utilizar,
segn la empresa, solamente cuando necesario y en carcter excepcional.
Uso indistinto del perfil de administrador

Para sistemas operativos


diferentes de Windows
(ej.: sistemas operativos
de dispositivos de Apple;
Linux), el principio es
exactamente igual: utilice
perfil del usuario comn,
sin los permisos propios de
un usuario administrador.

El uso indistinto de perfil de administrador es contraindicado por la norma


ISO/IEC 27002:2013, en los trminos siguientes:
11.2.2 Gestin de derechos de accesos privilegiados
Control
Conviene que la concesin y el uso de derechos de acceso privilegiado son
restrictos y controlados.
[...]

[ 6 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS

Informacin adicional
El uso inapropiado de privilegios de administrador de sistemas []
puede ser un gran factor de contribucin a las imperfecciones o violacin
de sistemas.

Hay razones de orden tcnica que justifique la recomendacin de


Microsoft en sentido de utilizar la cuenta Administrador solamente
cuando necesario. No se recomienda el acceso como administrador para
las necesidades cotidianas, porque:
yyse da total acceso a la mquina (carpetas, configuraciones etc.)
sin que esto sea necesario;
yypuede accidentalmente comprometer las configuraciones de
software;
yypotencializa los efectos daosos en caso de una infeccin por
virus u otro software malicioso.
De esta forma, por ejemplo, si usted conecta un pendrive infectado
en la notebook de la auditora, es posible que un archivo malicioso intente
instalar el virus en el equipo. Si usted, en ese momento, tiene acceso a la
notebook con perfil de administrador, es posible que la infeccin se extienda
por la mquina sin que perciba. Por otra parte, si usted est utilizando un
perfil de usuario comn, el software malicioso tendr pequeas posibilidades
de instalacin, porque la instalacin de cualquier programa slo se permite
con perfil de administrador.
Creacin de cuenta de usuario comn
Segn lo visto en la Clase 2, se debe preparar la notebook de la auditora
adoptndose una serie de procedimientos aun en la etapa de planificacin
de la fiscalizacin. Entre estos procedimientos, est la creacin de la cuenta
de usuario comn, de acuerdo con las orientaciones tcnicas del rea de TI
de EFS.
La preparacin adecuada de la notebook debe hacer posible el acceso al
equipo con perfil de Usuario Estndar (sistema operativo Windows)
durante la etapa de ejecucin, lo que proporcionar el desarrollo de los
trabajos de fiscalizacin con ms seguridad.

Clase 4 - Seguridad de la Informacin en Dispositivos Mviles y Computacin en Nube

[7]

1.1.2 - Contraseas

En la utilizacin de notebooks, ser necesaria una contrasea para el


desarrollo de los trabajos aquella para el acceso al perfil de usuario comn.
Esta contrasea debe haber sido previamente definida en la conclusin de
la etapa de planificacin.

Es de todo contraindicado
utilizar contraseas
idnticas para sitios o
servicios distintos. Esto
permite que tercero,
una vez que tiene acceso
indebido a los datos de
autenticacin en algn
sitio, consigue fcilmente
invadir las diversas
cuentas de la persona en
otros sitios.

Adems de la propia contrasea de acceso a la notebook, es importante


reconocer el problema representado por la gran cantidad de contraseas
que todos necesitan manejar en nuestro da a da. Actualmente, tenemos
registros innumerables en sitios con nombre de usuario y contraseas
diferentes y puede ser difcil de recordar todos estos datos.
La mayora de los navegadores (ej.: Internet Explorer) ofrece a sus
usuarios una comodidad cuyo el uso no se recomienda. Se trata de la
opcin de recordar contrasea o almacenar identificacin, por medio
de la cual el programa almacena sus datos de autenticacin (nombre de
usuario y contrasea) para determinado sitio. As, en los accesos siguientes
al mismo sitio, no ser necesario escribir sus datos otra vez.
Aunque ese procedimiento es muy prctico para equipos de uso
personal, eso representa un riesgo significativo: sus datos de autenticacin
se almacenan en el propio equipo, haciendo ms fcil para que terceras
partes no autorizadas accedan a los sitios donde est registrado, pasndose
por usted indebidamente.
En particular, una notebook usada en auditora es tpicamente un
equipo compartido, para el uso en trabajo y con la informacin que, en
Brasil, no es pblica hasta la pronunciacin del acto decisorio por el TCU.
En este caso, el riesgo se hace crtico y los contratiempos como la prdida o
el robo del equipo pueden tener su impacto incrementado.
Por lo tanto, cuando acceda determinado sitio durante la auditora,
si el navegador pregunta al usuario si desea almacenar la contrasea
respectiva, lo ms cauteloso es hacer clic en No. De esa forma, habr menos
posibilidades de que alguien acceda a informacin que sea protegida por
contrasea o que tenga acceso a las contraseas almacenadas.

[ 8 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS

CONSEJOS PRCTICOS
CONTRASEAS

PARA

ELABORAR

MANEJAR

Para elaborar buenas contraseas y para no olvidrselas, cada persona


puede crear un mtodo y seguirlo. Una buena manera es deducir las
contraseas a partir de frases preestablecidas. Vea estos ejemplos:
Elija una frase y seleccione la primera, la segunda o la ltima letra de
cada palabra (ej.: con la frase El Clavo se pele con la Rosa debajo de un
balcn, usted puede generar la contrasea? ECspclRddub);
Elija una frase larga, que sea fcil de memorizar y que, si es posible,
tenga diversos tipos de caracteres (ej.: si, cuando un nio, soaba en ser
astronauta, puede utilizar pues la contrasea 1 da todava ver los
anillos de Saturno!!!);
Invente un estndar de sustitucin basado, por ejemplo, en la semejanza
visual o fontica entre los caracteres (ej.: duplicando las letras s y r,
substituyendo o por 0 y usando la frase Sol, astro-rey del Sistema
Solar, usted puede generar la contrasea SS0l, asstrr0-rrei dEl SSisstema
SS0larr).
Fuente: Senhas (fascculo). Cartilha de Segurana para Internet (Cert.br), 2012.

1.2 - Pendrives
En la Clase 2, vimos la necesidad para preparar en la conclusin de la
etapa de planificacin el pendrive que se utilizar en la auditora, haciendo
la copia de seguridad de los archivos de auditoras anteriores (grabados
eventualmente en el pendrive), borrndose esos archivos de forma segura e
instalando los 3 (tres) softwares de seguridad para apoyo a la auditora.
Durante la fase de ejecucin, la practicidad ofrecida por los pendrives
es fuente de una serie de riesgos. Esos dispositivos pueden cargar sin darse
cuenta los virus y otros softwares maliciosos de un lugar al otro. Adems, los
softwares maliciosos en el equipo donde el pendrive est conectado pueden,
de forma intencional o no, tener acceso indebido al contenido o provocar
dao a la informacin almacenada en este dispositivo.
Adopte, por lo tanto, los cuidados siguientes con el pendrive durante
la etapa de ejecucin de la auditora:

Estrictamente hablando,
el pendrive es un
dispositivo de almacenaje
no dotado con capacidad
de procesamiento.
Por razones de orden
prctica, considerando
que los pendrives
requieren bsicamente
los mismos cuidados de
seguridad dispensados a
los dispositivos mviles en
general, pas como bien
incluirlos en el tem 1 de
esta clase.

Clase 4 - Seguridad de la Informacin en Dispositivos Mviles y Computacin en Nube

[9]

a. Evite conectar el dispositivo a equipos cuya la seguridad no es


digna de confianza o es desconocida. No use el dispositivo en
computadoras de lan houses o cyber cafs y evite tanto como sea
posible conectar el pendrive a equipos de organizacin auditada.
Preferentemente, solicite la grabacin de los archivos auditados
en CD o DVD, o de otra forma, solicite el envo para su e-mail
corporativo.
b. Almacene informacin no pblica en el pendrive de forma
criptogrfica (abordaremos la criptografa en la clase siguiente);
c. No preste su pendrive a los funcionarios de la organizacin
auditada. Al hacerlo, el dispositivo puede contaminarse con virus
(aunque de forma no intencional) o la informacin almacenada
all puede copiarse rpidamente sin que usted perciba.
d. Si no hay alternativa, borre los archivos del pendrive de forma
segura antes de prestarlo, usando software especfico (vamos a
ver este procedimiento en una clase futura). Despus, antes de
abrir cualquier archivo, ejecute un antivirus en el contenido del
pendrive a partir del notebook para verificar la eventual existencia
de software malicioso.
1.3 - Smartphones y tablets
Sabemos que el telfono mvil, hace algn tiempo, ha dejado de ser un
aparato telefnico simple, incorporando funcionalidades que lo convierten
en una verdadera computadora portable (de ah el nombre smartphone
o telfono inteligente), disponible literalmente en la palma de las manos,
permitindonos estar siempre en lnea.
De manera semejante, los tablets funcionan como computadoras
portables, facilitando a la lectura de documentos electrnicos y la navegacin
en Internet, entre otras funcionalidades.
Con el uso creciente de smartphones y tablets, aument la cantidad
de informacin que tenemos acceso o almacenamos a travs de esos
dispositivos y, como consecuencia, tambin han aumentado los riesgos a la
seguridad de estas informaciones.
Para reducir los riesgos, se recomiendan los siguientes cuidados en el
uso de smartphones y tablets:
a. Utilice una contrasea de bloqueo en su aparato;
[ 10 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS

b. No desbloquee el sistema operativo del aparato (ej.: jailbreak en


iPhones o rooting en celulares Android), porque de esta forma
usted dispensar la seguridad ofrecida por el fabricante y sujetar
el dispositivo a fragilidades en trminos de seguridad;
c. Deshabilite la opcin de conexin automtica a redes wi-fi (ej.:
Solicitar Conexin en el iPhone), eso permite que el aparato
est conectado automticamente con la red sin el conocimiento
del usuario;
d. Evite aplicaciones descargadas de fuentes no fiables y cuidado
con los archivos adjuntos de correos electrnicos, que pueden
contener virus;
e. Actualice el sistema operativo y las aplicaciones del telfono mvil
siempre que haya nuevas versiones y patches (actualizaciones)
de seguridad, porque estas suelen corregir problemas y las
vulnerabilidades del aparato;
f. Si su aparato posee bluetooth, mantenga ese recurso deshabilitado
y slo lo habilite si es necesario, para evitar que otras personas se
conecten a su aparato sin su conocimiento. En caso de que no sea
posible deshabilitar el bluetooth, consulte el manual del aparato
y lo configure de modo que contine invisible, de manera que
no se identifique ni se descubra por otros aparatos;
g. Utilice antivirus para smartphone y/o tablet, ya que hay softwares
maliciosos desarrollados especficamente para estos dispositivos;
h. Instale el software y/o configure su smartphone para borrar todo
el contenido remoto almacenado en l, en caso de prdida o
robo;
i. Mantenga su aparato en lugar protegido.
En respecto al uso de smartphones y tablets en auditoras, es muy
comn que los auditores necesiten acceder remotamente informacin en la
red de EFS, disponible, por ejemplo, por e-mail corporativo.
En este caso, adems de la atencin general mencionada anteriormente,
slo acceda usando una conexin segura (3G o 4G), es decir, no utilice redes
wi-fi no fiables, a ejemplo de las provistas por hoteles (las recomendaciones
consideradas en la clase pasada de las formas de conexin a Internet durante
la etapa de ejecucin tambin se aplican aqu).

Clase 4 - Seguridad de la Informacin en Dispositivos Mviles y Computacin en Nube [ 11 ]

Adems, evite al mximo almacenar informacin corporativa no


pblica en estos dispositivos. Si esto es inevitable, borre dicha informacin
tan pronto como stas no sean ms necesarias, porque en caso de prdida
o robo del equipo ser mnimo el impacto sobre la seguridad de la
informacin.

2. Computacin en nube (cloud computing)


Cloud computing (o computacin en nube) se puede definir como
un modelo de disponibilidad de softwares y de infraestructuras de
procesamiento as como del almacenaje de datos mediante una red. El
principio de la nube es de virtualizacin total y de mxima disponibilidad
de los datos, siendo irrelevante el lugar de acceso y el dispositivo utilizado
(PECK PINHEIRO, 2012, p. 131-132).
Para simplificar la comprensin de lo que es cloud computing, imagnese
varias computadoras con gran capacidad de procesamiento y almacenaje
ubicados en algn pas del mundo. En estos equipos, personas de todo el
planeta pueden grabar archivos disponibles en sus propias computadoras y
acceder a ellos de cualquier mquina con el acceso a Internet.
La gran ventaja de la nube es exactamente la posibilidad de acceder
informacin desde cualquier lugar en el mundo, a travs de una computadora
(o cualquier otro equipo o dispositivo) conectada a la web. Sin embargo,
esta ventaja trae una serie de riesgos que necesitamos conocer para trabajar
con ms seguridad.
2.1 - Modelos de cloud computing
De acuerdo con Peck Pinheiro (2012, p. 132) hay cuatro modelos de
cloud computing:
a. Nube privada: es aquella de propiedad exclusiva de la
organizacin, que detiene su control y soporta sus costos de
infraestructura para el uso propio;
b. Nube pblica: servicio disponible a cualquier persona en la
web, muchas veces sin ningn costo financiero, como el correo
electrnico gratuito y disco virtual;
c. Nube comunitaria: incluye un conjunto de organizaciones
que se conocen y se renen para compartir los costos de
[ 12 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS

infraestructura y ha sido muy utilizada en algunos mercados o


grupo de empresas;
d. Nube hbrida: agrega uno o ms modelos anteriores, como el
grado de seguridad necesario para los datos y para los requisitos
legales relacionados.
Como ejemplo de nube pblica gratuita, podemos citar los servicios
Dropbox y Google Drive, en los cuales los usuarios de todo el mundo pueden
guardar sus archivos libremente y acceder a elllos ms adelante de cualquier
equipo o dispositivo.
Por otra parte, si usted almacena documentos en una solucin tipo
disco virtual (ver Glosario del curso), que permite que tales documentos
estn disponibles para el acceso en computadoras ubicadas fuera de la EFS,
ese modelo sera un ejemplo de nube privada. Podemos hacer esto cuando
estamos en una auditora y necesitamos acceder a una informacin eventual
disponible en este servicio de almacenaje, en caso de acceder por la web.
Sin embargo, solamente se recomienda si el acceso y la comunicacin con
la nube privada son protegidos por los mecanismos de autenticacin del
usuario (nombre de usuario y contrasea) y criptografa, respectivamente.

En el TCU, no se ofrece el
servicio de nube privado
para uso directamente
por los usuarios finales,
a ejemplo de discos
virtuales.

2.2 - El uso del cloud computing en auditoras


No se recomienda el uso de nube pblica gratuita para el almacenaje
y/o el acceso a la informacin producida o recibida en el contexto de una
auditora.
Las nubes pblicas de uso gratuito tienen como propuesta facilitar el
acceso a la informacin, no obstante, sin garanta en cuanto a la preservacin
de la confidencialidad, de la integridad y de la propia disponibilidad. En
este sentido, los trminos de uso de estos proveedores de servicio suelen
dejar claro la exencin de responsabilidades en relacin con esos aspectos.
Es importante tener en mente que, en la Internet, todo servicio tiene
un costo. Si no hay costo financiero para utilizar tal servicio, habr el pago
de alguna otra forma, como por ejemplo, mediante el uso de la informacin
de los usuarios almacenada en estos servicios para otros fines.
De esa forma, por ejemplo, se puede utilizar la informacin para fines
publicitarios, mostrndose al usuario las propagandas que tienen temas
que son de su inters, de una forma ms dirigida a l.

Clase 4 - Seguridad de la Informacin en Dispositivos Mviles y Computacin en Nube [ 13 ]

Dos servicios entre los ms conocidos de nube pblica de uso gratuito


disponible en la web son el Google Drive (que remplaz el Google Docs) y el
Dropbox, siendo importante saber, a ttulo de ejemplo, algunos aspectos de
seguridad de la informacin abordados en los trminos de servicio y en las
polticas de privacidad de estos servicios.
Docs) e o Dropbox, sendo importante conhecer, a ttulo exemplificativo,
alguns aspectos de segurana da informao abordados nos termos de
servio e nas polticas de privacidade desses servios.
ASPECTOS DE SEGURIDAD DE
INFORMACIN EN NUBES PBLICAS

LA

Cuando utilice los servicios de nube pblica gratuita,


como Google Drive y Dropbox, es importante saber los principales
aspectos de seguridad de la informacin presentes en los respectivos
Trminos de Servicio y Polticas de Privacidad. As, en caso de
que opte por usar tales servicios, ser consciente de los riesgos
implicados. Compilamos a continuacin algunos trechos extrados
de los documentos mencionados (subrayados nuestros):
GOOGLE DRIVE
1) No hay garanta de confidencialidad, integridad ni
disponibilidad de la informacin almacenada:
EXCEPTO POR LO QUE SE ESTABLECE EXPRESAMENTE
EN ESTAS CONDICIONES O EN CONDICIONES ADICIONALES, NI
GOOGLE NI SUS PROVEEDORES O DISTRIBUIDORES REALIZAN
PROMESA ALGUNA ESPECFICA SOBRE LOS SERVICIOS. POR
EJEMPLO, NO ASUMIMOS NINGN COMPROMISO RESPECTO
AL CONTENIDO DE LOS SERVICIOS, LA FUNCIN ESPECFICA
DE LOS SERVICIOS, O SU CONFIABILIDAD, DISPONIBILIDAD
O CAPACIDAD PARA SATISFACER SUS NECESIDADES.
PROPORCIONAMOS LOS SERVICIOS TAL COMO ESTN.
[CONDICIONES DEL SERVICIO DE GOOGLE DRIVE]

2) El usuario autoriza la reproduccin, modificacin, derivacin,


publicacin ostensiva y la distribucin del contenido
almacenado:
Cuando suba, ingrese, almacene, enve o reciba contenido a
nuestros Servicios o a travs de ellos, otorgar a Google (y a aquellos
con quienes trabajamos) una licencia internacional para utilizar, alojar,
almacenar, reproducir, modificar, crear obras derivadas (como las

[ 14 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS

traducciones, adaptaciones o modificaciones que hacemos para que su


contenido funcione mejor con nuestros Servicios), comunicar, publicar,
ejecutar pblicamente y distribuir dicho contenido. Los derechos que
usted otorga en esta licencia son para el objetivo limitado de operar,
promocionar y mejorar nuestros Servicios, y para desarrollar otros
nuevos. [Condiciones del Servicio de Google Drive]

DROPBOX
1) No hay garanta en relacin con la prdida de informacin o
violacin de integridad:
EN LA MEDIDA MXIMA PERMITIDA POR LA LEY, EN
NINGN CASO DROPBOX, SUS SUBSIDIARIAS, PROVEEDORES
NI DISTRIBUIDORES SERN RESPONSABLES DE (A) NINGN
DAO INDIRECTO, ESPECIAL, INCIDENTAL, PUNITIVO,
EJEMPLAR NI CONSECUENTE (NI DE LAS PRDIDAS DE USO,
DATOS, NEGOCIOS O BENEFICIOS), INDEPENDIENTEMENTE
DE LA TEORA JURDICA, INCLUSO SI DROPBOX FUE
ADVERTIDO ACERCA DE LA POSIBILIDAD DE ESOS DAOS
E INCLUSO SI UN RECURSO NO CUMPLIERA CON SU
PROPSITO ESENCIAL [CONDICIONES DEL SERVICIO DE
DROPBOX]
2) Informacin sobre
automticamente.

el

usuario

son

recopiladas

Uso. Recopilamos informacin de los dispositivos que usas


para acceder a los Servicios y acerca de ellos. Aqu se incluyen las
direcciones IP, el tipo de explorador y dispositivo, la pgina web
que visitaste antes de acceder a nuestros sitios y los identificadores
asociados con tus dispositivos. Es posible que tus dispositivos (segn
la configuracin) tambin transmitan informacin a los Servicios
acerca de tu ubicacin. [Poltica de privacidad de Dropbox]
Observacin: de acuerdo con el Informe del Centro de
Tratamiento de Incidentes de Seguridad de Redes de Computadoras
de la Administracin Pblica Federal (CTIR Gov), de octubre de 2013,
el Dropbox se present como el principal vehculo de diseminacin
de malware en el mbito del Sector Pblico Brasileo.

Clase 4 - Seguridad de la Informacin en Dispositivos Mviles y Computacin en Nube [ 15 ]

En la clase siguiente,
vamos a ver cmo se
usa la criptografia en
auditoras.

Abordamos este tema en


la clase anterior.

Por lo tanto, considerando que, en Brasil, la informacin producida


o recibida en el contexto de una auditora no es pblica, no deben
utilizarse nubes pblicas de uso gratuito para el almacenaje y el acceso a
esa informacin, que se debe guardar preferentemente en pendrives con
criptografa o en el propio notebook de la auditora, tenindose los cuidados
mencionados en esta clase.
Se puede almacenar la informacin en una nube privada, cuando es
ofrecida por la EFS, mediante previa autenticacin del usuario (nombre
de usuario y contrasea) y siempre que el acceso se hace de forma
criptogrfica, debido al riesgo de interceptacin indebida de la informacin.
Otra alternativa es la utilizacin de nube pblica de uso comercial, cuando
contratada y homologada por el rea de TI de la EFS, en caso de que los
niveles de servicio y de seguridad se consideren apropiados para el uso en
auditoras.
No es demasiado recordar que es fundamental que la conexin a
Internet sea fiable. Las conexiones inseguras, como redes wi-fi de hoteles
o las ofrecidas por lan houses o cyber cafs no tienen que ser utilizadas,
porque hay riesgo de la interceptacin de la informacin por terceras partes
no autorizadas.
Otra prctica muy comn entre los usuarios es guardar archivos de
la auditora en servicios gratuitos de correo electrnico disponibles en la
Web para el acceso en momento posterior (esto puede ser hecho cuando la
persona enva un mensaje electrnico a s mismo con uno o ms archivos
adjuntos). Es importante resaltar que tal procedimiento est sujeto a los
mismos riesgos de una nube pblica de uso gratuito, debiendo, por lo tanto,
ser evitado.

[ 16 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS

3. Sntesis
En esta clase, vimos las principales precauciones a ser adoptadas
para el uso seguro de dispositivos mviles en auditoras. As, por ejemplo,
abordamos la importancia para utilizar perfil de usuario comn en el
notebook de la auditora, para proteccin con criptografa a los archivos
almacenados en pendrives y para definir una contrasea de acceso para
smartphones.
Todava vimos el concepto de computacin en nube y como puede ser
utilizada en auditoras, con nfasis especial a la contraindicacin del uso
de nubes pblicas gratuitas (ej.: Google Drive y Dropbox) para almacenar la
informacin relativa a las fiscalizaciones.
En la clase siguiente, abordaremos el uso de la criptografa para
proteger la informacin de la auditora contra el acceso indebido.

Clase 4 - Seguridad de la Informacin en Dispositivos Mviles y Computacin en Nube [ 17 ]

4. Referencias bibliogrficas
BRASIL. Tribunal de Contas da Unio. Boas prticas de segurana da
informao em auditorias. Braslia: TCU, Assessoria de Segurana da
Informao e Governana de Tecnologia da Informao (Assig), 2012.
_____.CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE
INCIDENTES DE SEGURANA NO BRASIL (CERT.br). Cartilha de
Segurana para Internet. 2 Edio. Comit Gestor da Internet no Brasil:
So Paulo, 2012. Disponible en: <http://cartilha.cert.br/livro/cartilhaseguranca-internet.pdf>. Accedido el 05 sep. 2013.
_____.CENTRO DE TRATAMENTO DE INCIDENTES DE SEGURANA
DE REDES DE COMPUTADORES DA ADMINISTRAO PBLICA
FEDERAL (CTIR GOV). Estatsticas de Incidentes de Rede na APF 3
Trimestre/2013. Octubre de 2013. Disponible en: <http://www.ctir.gov.br/
arquivos/estatisticas/2013/Estatisticas_CTIR_Gov_3o_Trimestre_2013.
pdf>. Accedido el 12 nov. 2013.
DROPBOX. Poltica de privacidad de Dropbox. ltima actualizacin:
20 de febrero de 2014. Disponible en: <https://www.dropbox.com/
terms#privacy>. Accedido el 17 abril 2014.
_____. Condiciones del servicio de Dropbox. ltima actualizacin: 20
de febrero de 2014. Disponible en: <https://www.dropbox.com/terms>.
Accedido el 17 abril 2014.
GOOGLE. Condiciones del Servicio de Google. ltima modificacin:
14 de abril de 2014. Disponible en: < http://www.google.com/intl/es-419/
policies/terms/>. Accedido el 17 abril 2014.
MICROSOFT. Cuentas Microsoft: obtener ayuda. Disponible en: <http://
windows.microsoft.com/es-xl/windows-live/microsoft-account-help>.
Accedido el 17 abril 2014.
PECK PINHEIRO, Patricia. Direito Digital Aplicado. Intelligence: So
Paulo, 2012.

[ 18 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS