View
220
Download
0
Category
Preview:
Citation preview
7/24/2019 Seguridad de La Informacion en Auditorias Clase5
1/13
I S C
C
C A
SEGURIDAD DE LA
INFORMACINEN AUDITORAS
7/24/2019 Seguridad de La Informacion en Auditorias Clase5
2/13
RESPONSABILIDAD POR EL CONTENIDO
Tribunal de Cuentas de la Unin
Secretara General de la Presidencia
Asesora de la Seguridad de la Informacin y Gobernanza de TI
REDACCIN
Rodrigo Melo do Nascimento
REVISIN TCNICA
Gelson HeinricksonGeraldo Magela Lopes de Freitas
Helton Fabiano Garcia
Juliana Belmok Bordin
Luisa Helena Santos Franco
Marisa Alho Maos de Carvalho
Mnica Gomes Ramos Bimbato
ASESORAMIENTO PEDAGGICO
Arthur Colao Pires de Andrade
RESPONSABILIDAD EDITORIAL
Tribunal de Cuentas de la Unin
Secretara General de la PresidenciaInstuto Serzedello Corra
Centro de Documentacin
Editorial del TCU
PROYECTO GRFICO
Ismael Soares Miguel
Paulo Prudncio Soares Brando Filho
Vivian Campelo Fernandes
DIAGRAMACIN
Vanessa Vieira Ferreira da Silva
Se permite la reproduccin, parcial o total, de esta publicacin, sin alteracin del contenido, siempre y cuando se citela fuente y no se ulice con nes comerciales.
Copyright 2014, Tribunal de Cuentas de la Unin
E maial fci didcca. La lma acalizaci ci ail d 2014. La amaci
ii d ailidad xcliva dl a d xa la ici cial dl Tial
d Ca d la Ui.
Atencin!
http://../AppData/Local/Adobe/InDesign/Version%209.0/pt_BR/Caches/InDesign%20ClipboardScrap1.pdfhttp://../AppData/Local/Adobe/InDesign/Version%209.0/pt_BR/Caches/InDesign%20ClipboardScrap1.pdf7/24/2019 Seguridad de La Informacion en Auditorias Clase5
3/13[ 3 ]Clase 5 - Criptografa en Auditoras
CLASE 5 Criptografa en Auditoras
Introduccin
Vimos durante las ltimas clases varios aspectos de seguridad de lainormacin aplicables a la etapa de planificacin y a la etapa de ejecucinde la auditora, incluso con mencin a los cuidados necesarios para lautilizacin de dispositivos mviles y de la computacin en nube.
A partir de esta clase y hasta el final del curso, veremos herramientastecnolgicas especficas aptas para la proteccin de las inormacionesproducidas o recibidas en el contexto de una auditora. Comenzaremos
abordando la criptograa en auditoras.
Para acilitar el estudio, esta clase se organiza de la siguiente orma:
1. Criptografia....................................................................................................... 5
1.1 - Concepto........................................................................................................ 5
1.2 - Modalidades de criptografa ....................................................................... 6
1.2.1 - Criptografa simtrica................................................................................ 6
1.2.2 Criptografa asimtrica............................................................................. 7
1.3 - Criptografa en notebooksy memorias USB................................................. 7
1.4 - Criptografa en correos electrnicos.......................................................... 8
2. Software para criptografa............................................................................ 10
2.1 - TrueCrypt ..................................................................................................... 10
2.2 - Ejercicio prctico......................................................................................... 11
3. Sntesis............................................................................................................. 12
4. Referencias bibliogrficas.............................................................................. 13
7/24/2019 Seguridad de La Informacion en Auditorias Clase5
4/13[ 4 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS
Al final de esta clase, esperamos que sea capaz de:
y describirel concepto y los tipos de criptograa.
y describirlas principales indicaciones de la criptograa simtricay asimtrica en auditoras.
y comprender cmo realizar la criptograa simtrica con elsofwareTrueCrypt.
y manipularel sofware TrueCryptpara proteger inormacionesen computadoras porttiles (notebooks) ypen drives.
7/24/2019 Seguridad de La Informacion en Auditorias Clase5
5/13[ 5 ]Clase 5 - Criptografa en Auditoras
1. Criptograa
Qu es la criptografa?
1.1 - Concepto
La criptograa puede ser definida como la ciencia y el arte de escribirmensajes en orma cirada o en cdigo, y constituye uno de los principalesmecanismos de seguridad para la proteccin de inormaciones en Internet(CERT.BR, 2012).
Se trata de un proceso que permite mezclar los datos que se quierenproteger (el contenido de un archivo, por ejemplo), de orma tal que solo sepueda acceder a los datos originales mediante la posesin o conocimientode una llave, o sea, una clave especfica. De esa orma, la criptograapermite proteger la confidencialidad de las inormaciones no pblicas quese quieren resguardar.
A pesar de parecer algo complicado, relacionado con el mundo de lastransacciones bancarias por Internet, la criptograa puede ormar parteperectamente del da a da de personas no expertas en TI. En verdad, desdeque la humanidad comenz a comunicarse, ueron creadas ormas paraesconder el verdadero sentido de los mensajes. En la obra Libro de losCdigos, por ejemplo, Simon Singh retrata muy bien la historia del arte deescribir secretos desde el Antiguo Egipto hasta la era de Internet, narrandola lucha entre codificadores y desciradores de mensajes a lo largo de lahistoria (SINGH, 2002).
Actualmente, la criptograa ya est integrada o puede ser cilmenteadicionada a la gran mayora de los sistemas operativos y aplicaciones y,
para usarla, muchas veces solo es necesario ajustar algunas configuracioneso hacer algunos clics de mouse. Por medio del uso de la criptograa, esposible (CERT.BR, 2012):
y proteger los datos no pblicos almacenados en una computadora,notebookopen drive;
y crear un rea especfica en una computadora, notebook o pendrive, en la que todas las inormaciones sern almacenadasautomticamente en ormato criptografiado;
y proteger las copias de seguridad (backups) contra accesoindebido;
Se especula que el destino
de la Segunda Guerra
Mundial podra haber sido
otro si los codicadores
Enigma y Purple no
hubiesen sido quebrados
por los aliados. El primero
fue utilizado por los
alemanes y el segundo
por los japoneses en las
operaciones del Pacco.
7/24/2019 Seguridad de La Informacion en Auditorias Clase5
6/13
7/24/2019 Seguridad de La Informacion en Auditorias Clase5
7/13[ 7 ]Clase 5 - Criptografa en Auditoras
1.2.2 Criptografa asimtrica
La criptograa asimtrica (o criptograa de llave pblica) utiliza dosllaves dierentes: una pblica, que puede ser divulgada libremente, y unaprivada, que debe ser mantenida en secreto por su propietario. Cuando unainormacin se codifica con una de las llaves, solamente la otra llave del parpodr decodificarla.
Esta modalidad de criptograa resolvi un problema inherente a lacriptograa simtrica, la cuestin de compartir la llave criptogrfica. En esesentido, en la criptograa asimtrica, una de las llaves es pblica, pudiendoaccederse a ella libremente, por ejemplo, por quien quiera transmitir unmensaje criptografiado al poseedor de la llave privada.
Veremos la certicacin
digital en la prxima
clase.
Garanta de la confidencialidad con criptograa asimtrica
Fuente: ITI, 2012
Adems de proteger inormaciones, esa modalidad de criptograa esla base del certificado digital, recurso que hace viable la firma digital de
documentos y e-mails.
1.3 - Criptografa en notebooksy memorias USB
Una de las ormas ms eficaces de proteger inormaciones no pblicasalmacenadas y transportadas durante el trabajo de campo es el uso de lacriptograa.
Dependiendo del grado de confidencialidad de las inormacionescontenidas en porttiles y/o memorias USB (pen drive), puede serconveniente protegerlas con criptograa. Es posible que haya, incluso,polticas o procedimientos en la EFS en la que usted trabaja que exijan la
7/24/2019 Seguridad de La Informacion en Auditorias Clase5
8/13[ 8 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS
criptograa para algunos casos. Aunque no existan normas al respecto,cabe al auditor evaluar, durante la fiscalizacin, la necesidad de usar o no lacriptograa, dependiendo del impacto que podra haber en el caso de queaccedieran a las inormaciones personas no autorizadas.
Algunas memorias USB orecen criptograa de brica. Endispositivos con esa uncionalidad, es necesario seguir las orientaciones decada abricante para criptografiar y tener acceso a los archivos.
Ejemplo de memoria USB (pen drive) con criptograa incluida
En el ejercicio prctico que se va a realizar al final de esta clase,presentaremos un paso a paso para inserir la uncionalidad de criptograaen un pen drive que no posea originalmente esa uncin, utilizandoel sofware TrueCrypt. Este sofware tambin puede ser utilizado paracriptograa en computadoras y porttiles.
1.4 - Criptografa en correos electrnicos
Por lo general los correos electrnicos circulan por Internet de
orma no protegida, o sea, cualquier interceptor (persona, computadora,proveedor de acceso etc.) entre el emisor y el destinatario final del mensajepuede acceder a su contenido. Por lo tanto, una manera de protegerinormaciones no pblicas enviadas por correo electrnico es el uso de lacriptograa.
Para el uso de criptograa en e-mails, el emisor (persona que envael mensaje) puede usar un sofware de criptograa asimtrica, enviandoel archivo criptografiado como anexo a un destinatario que despus derecibirlo va a decodificar las inormaciones del archivo usando una clave.En este caso, el emisor precisa conocer la llave pblica del receptor. Tambindebe ser previamente combinado el sofware usado para criptografiar/decriptografiar el archivo, para que haya compatibilidad.
7/24/2019 Seguridad de La Informacion en Auditorias Clase5
9/13[ 9 ]Clase 5 - Criptografa en Auditoras
En la criptograa asimtrica, es posible el uso de certificado digital quetiene el dierencial de que las llaves son garantizadas por una tercera parteconfiable (autoridad certificadora). El certificado digital es una especie dedocumento de identidad en el medio digital, que queda almacenado en undispositivo (normalmente, una tarjeta acoplable a un lector conectado auna entrada USB, o un token, que es un dispositivo porttil similar a unpendrive).
El certicado digital
tambin hace viable la
rma digital, como lo
veremos en la prxima
clase.
Antes de instalar el
programa, consulte
el rea de TI de suorganizacin.
Tokencriptogrfico
Con el certificado digital, se puede criptografiar un mensaje (cuerpodel e-mail y adjuntos), sin que sea necesario combinar previamente la clave.En ese caso, tanto el emisor como el receptor del mensaje precisan que suscertificados digitales y sofwares de correo electrnico sean compatiblescon la lectura de mensajes criptografiados con certificado digital, como porejemplo elMicrosof Outlook.
Si no es posible usar un sofware de criptograa asimtrica y/ocertificado digital, se puede usar un sofware de criptograa simtrica(ej.: TrueCrypt), siempre que, previamente al envo del mensaje, emisor yreceptor cuenten con un medio seguro para intercambiar la clave.
Certificado digital e-CPF, con lector USB
7/24/2019 Seguridad de La Informacion en Auditorias Clase5
10/13[ 10 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS
2. Software para criptografa
Sabemos que, aunque el uso de la certificacin digital es una tendencia,no todos cuentan hoy en da con un certificado digital. Lo que no llega a serun problema si el objetivo es exclusivamente proteger la confidencialidadde las inormaciones personales o proesionales de la propia persona,almacenadas en un ordenador porttil o pen drive, como usualmenteocurre en auditoras. En ese caso, es indicado el uso de un sofwareparacriptograa simtrica.
2.1 - TrueCrypt
El TrueCryptes un sofwarepara criptograa simtrica, o sea, permitecodificar y decodificar las inormaciones mediante el uso de una nicaclave. Se trata de un sofwarelibre, o sea, su instalacin y uso son totalmentegratuitos, como lo indica la licencia del programa.
La seguridad orecida por el sofware, as como el hecho de sertotalmente gratuito, permite su uso en equipos y dispositivos tantocorporativos como personales.
Si se opta por el TrueCrypt para la criptograa de inormacionesalmacenadas en notebooks y/o memorias USB durante una auditora, esundamental que el usuario defina una clave segura (vea en el siguientecuadro los consejos para elaborar buenas claves) y que tal clave sea, almismo tiempo, dicil de adivinar y tambin de ser olvidada, de lo contrariono ser posible acceder a las inormaciones posteriormente.
En este curso trabajamos
con el software TrueCrypt,
que est homologado
para uso en el TCU. Esto
no impide la utilizacin
de otros softwares decriptografa disponibles
en el mercado. En caso
de necesidad, consulte el
rea de TI de su EFS.
Consejos prcticos para buenas claves
Para elaborar una buena clave haga lo siguiente (GSI, 2013):
y Evite utilizar palabras que estn en diccionarios, incluso en otros
idiomas;
y Evite claves sencillas como secuencias de letras del alabeto, del teclado
o de nmeros (ej.: abcde, JKLNMO, asdgh, QWER, 123456, 098765);
y Utilice claves diversas en dierentes ambientes (ej.: la clave de su correo
electrnico debe ser dierente a la clave de su cuenta bancaria y de su
tarjeta de crdito);
y Cree claves extensas (se sugiere un mnimo de 8 caracteres), mezclando
letras maysculas y minsculas, nmeros y caracteres especiales (ej:
A*8s#T78).
7/24/2019 Seguridad de La Informacion en Auditorias Clase5
11/13[ 11 ]Clase 5 - Criptografa en Auditoras
2.2 - Ejercicio prctico
La evaluacin relativa a esta clase consistir en un ejercicio prcticocon el sofwareTrueCrypt.
El ejercicio permitir insertar la uncionalidad de criptograa enun pen drive que no posea originalmente esa uncionalidad. Al concluirel ejercicio, ser posible usar criptograa en cualquier computadora oporttil, aunque el TrueCryptno est instalado en el equipo (ser posiblehacer uncionar el programa a partir de la propia memoria USB).
Las orientaciones para
la tarea se encuentran
disponibles en el entorno
del curso.
Slo ser posible ejecutarel programa a partir
de la memoria USB si
el usuario tiene perl
de administrador en el
equipo.
7/24/2019 Seguridad de La Informacion en Auditorias Clase5
12/13[ 12 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS
3. Sntesis
Vimos en esta clase el concepto de criptograa, as como susmodalidades y principales indicaciones para la proteccin de laconfidencialidad de inormaciones producidas o recibidas en auditoras.
En ese contexto, indicamos el sofwareTrueCrypty propusimos unejercicio prctico (que ser detallado en el ambiente del curso), simulandola instalacin y el uso del programa en memorias USB.
En la prxima clase, hablaremos un poco ms acerca de la certificacindigital y sobre lo que viene a ser hash.
7/24/2019 Seguridad de La Informacion en Auditorias Clase5
13/13
4. Referencias bibliogrcas
BRASIL. Tribunal de Cuentas de la Unin. Buenas prcticas de seguridadde la informacin en auditoras. Brasilia: TCU, Asesora de Seguridad de laInormacin y Gobernanza de Tecnologa de la Inormacin (Assig), 2012.
CENTRO DE ESTUDIOS, RESPUESTA Y TRATAMIENTO DEINCIDENTES DE SEGURIDAD EN BRASIL (CERT.BR). Cartilla deSeguridad para Internet. 2 Edicin. Comit Gestor de Internet en Brasil: SoPaulo, 2012. Disponible en: . Consultado el 05 set. 2013.
GABINETE DE SEGURIDAD INSTITUCIONAL DE LA PRESIDENCIADE LA REPBLICA. Departamento de Seguridad de la Inormacin yComunicaciones. Consejos para una buena clave. Disponible en: . Consultado el12 nov. 2013.
_______. Instruccin Normativa GSI/PR n 3, del 6 de marzo de 2013.Disponible en: . Consultado el 21 nov. 2013.
INSTITUTO NACIONAL DE TECNOLOGA DE LA INFORMACIN(ITI). Qu es Certificacin Digital? Brasilia, 2012. Disponible en:.Consultado el 13 nov. 2013.
SINGH, Simon. El Libro de los Cdigos.Record: Rio de Janeiro, 2002.
TRUECRYPT FOUNDATION. TrueCrypt License Version 3.0.Disponibleen: . Consultado el 05 set. 2013.
http://cartilha.cert.br/livro/cartilha-seguranca-internet.pdfhttp://cartilha.cert.br/livro/cartilha-seguranca-internet.pdfhttp://dsic.planalto.gov.br/noticias/47-dicas-para-uma-boa-senhahttp://dsic.planalto.gov.br/noticias/47-dicas-para-uma-boa-senhahttp://dsic.planalto.gov.br/documentos/instrucao_normativa_nr3.pdfhttp://dsic.planalto.gov.br/documentos/instrucao_normativa_nr3.pdfhttp://www.iti.gov.br/images/publicacoes/cartilhas/cartilhaentenda.pdfhttp://www.truecrypt.org/legal/licensehttp://www.truecrypt.org/legal/licensehttp://www.iti.gov.br/images/publicacoes/cartilhas/cartilhaentenda.pdfhttp://dsic.planalto.gov.br/documentos/instrucao_normativa_nr3.pdfhttp://dsic.planalto.gov.br/documentos/instrucao_normativa_nr3.pdfhttp://dsic.planalto.gov.br/noticias/47-dicas-para-uma-boa-senhahttp://dsic.planalto.gov.br/noticias/47-dicas-para-uma-boa-senhahttp://cartilha.cert.br/livro/cartilha-seguranca-internet.pdfhttp://cartilha.cert.br/livro/cartilha-seguranca-internet.pdfRecommended