Вы находитесь на странице: 1из 18

Instituto Serzedello Corra

SEGURIDAD DE LA
INFORMACIN
EN AUDITORAS

Clase 6
Certificado Digital y Hash
en Auditoras

Copyright 2014, Tribunal de Cuentas de la Unin


<www.tcu.gov.br>

Se permite la reproduccin, parcial o total, de esta publicacin, sin alteracin del contenido, siempre y cuando se cite
la fuente y no se utilice con fines comerciales.
RESPONSABILIDAD POR EL CONTENIDO
Tribunal de Cuentas de la Unin
Secretara General de la Presidencia
Asesora de la Seguridad de la Informacin y Gobernanza de TI
REDACCIN
Rodrigo Melo do Nascimento
REVISIN TCNICA
Gelson Heinrickson
Geraldo Magela Lopes de Freitas
Helton Fabiano Garcia
Juliana Belmok Bordin
Luisa Helena Santos Franco
Marisa Alho Mattos de Carvalho
Mnica Gomes Ramos Bimbato
ASESORAMIENTO PEDAGGICO
Arthur Colao Pires de Andrade
RESPONSABILIDAD EDITORIAL
Tribunal de Cuentas de la Unin
Secretara General de la Presidencia
Instituto Serzedello Corra
Centro de Documentacin
Editorial del TCU
PROYECTO GRFICO
Ismael Soares Miguel
Paulo Prudncio Soares Brando Filho
Vivian Campelo Fernandes
DIAGRAMACIN
Vanessa Vieira Ferreira da Silva

Atencin!

Este material tiene funcin didctica. La ltima actualizacin ocurri en abril de 2014. Las afirmaciones y
opiniones son de responsabilidad exclusiva del autor y pueden no expresar la posicin oficial del Tribunal
de Cuentas de la Unin.

CLASE 6 Certificado Digital y Hash en Auditoras


Introduccin
En la ltima clase, vimos cmo la criptografa puede ser utilizada
para la proteccin de la confidencialidad de las informaciones producidas
o recibidas en el contexto de una auditora.
Sabemos, sin embargo, que la confidencialidad es apenas una de las
propiedades de la seguridad de la informacin, tal como vimos en la Clase 1.
En ese sentido, veremos en esta clase las formas de resguardar la
integridad y la autenticidad de la informacin en las fiscalizaciones.
Para facilitar el estudio, esta clase est organizada de la siguiente
forma:
1. Confiabilidad e integridad de las evidencias................................................... 5
1.1 - Confiabilidad de las evidencias......................................................................... 5
1.2 - Garanta de la integridad de las informaciones recibidas................... 8
2. Certificado digital....................................................................................................... 9
2.1 - Concepto...................................................................................................................... 9
2.2 - Modelo Brasileo de Certificacin Digital.................................................. 9
2.3 - Funcionalidades ofrecidas por el certificado digital..........................10
2.4 - Objetivo de la firma digital..............................................................................12
3. Hash....................................................................................................................................... 13
3.1 - Concepto....................................................................................................................13
3.2 - Garanta de la integridad sin certificado digital..................................14
4. Software para Hash...................................................................................................... 15
4.1 - HashCalc........................................................................................................................ 15
4.2 - Ejercicio prctico..................................................................................................15
5. Sntesis ............................................................................................................................16
6. Referencias bibliogrficas.....................................................................................17

Clase 6- - Certificado Digital y Hash en Auditoras

[3]

Al final de esta clase, esperamos que sea capaz de:


yy comprender la importancia de la confiabilidad y de la integridad
de las evidencias obtenidas en auditoras.
yy describir el concepto de certificado digital y las formas en que
dicho instrumento puede ser usado para garantizar integridad
y autenticidad.
yy describir el concepto de hash y como el software HashCalc
puede ser usado para la obtencin segura de informaciones en
auditoras.
yy manejar el software HashCalc para garantizar la integridad de
las evidencias obtenidas en auditoras.

[ 4 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS

1. Confiabilidad e integridad de las evidencias


La confiabilidad de las evidencias es una cuestin de seguridad de la
informacin?
1.1 - Confiabilidad de las evidencias
Evidencias son informaciones obtenidas durante la auditora y usadas
para fundamentar los hallazgos y respaldar las opiniones y las conclusiones
del equipo de auditora (TCU, 2009, p. 28; TCU, 2010a, p. 37).
Las Normas de Auditora del TCU (NAT) definen la confiabilidad
como la garanta de que sern obtenidos los mismos resultados si la
auditora fuera repetida. En los trminos del punto II de la NAT 108, para
obtener evidencias confiables, es importante considerar que:
a) es conveniente usar diferentes fuentes;
b) es interesante usar diferentes abordajes;
c) fuentes externas, en general, son ms confiables que internas;
d) evidencias documentales son ms confiables que orales; y
e) evidencias obtenidas mediante la observacin directa o el anlisis
son ms confiables que las evidencias obtenidas indirectamente.
La concepcin de confiabilidad presenta implcitamente el objetivo
de todo auditor: recoger evidencias capaces de fundamentar los hallazgos y
fortalecer las conclusiones del equipo de auditora.
La confiabilidad de las evidencias es una cuestin de seguridad de la
informacin?
Esta es una pregunta ms filosfica que prctica, pero es innegable su
importancia en auditoras. El objetivo de plantear esta pregunta es llevar
a los auditores a reflexionar sobre el nivel de confiabilidad inherente a las
informaciones recibidas y que integran las evidencias , dependiendo de
las fuentes que las originaron y de los procedimientos de obtencin.

Clase 6- - Certificado Digital y Hash en Auditoras

[5]

Cmo minimizar los riesgos de recibir algo no verdadero?


Es importante tener conciencia de que las informaciones recibidas
como evidencias tienen diferentes niveles de confiabilidad. Esta conciencia
debe estar presente en ocasin de la conduccin de los trabajos y ser
explicitada si correspondiera en el informe de auditora, en trminos
de limitaciones impuestas al trabajo, de acuerdo con lo preconizado por la
NAT 135, in verbis:
135. Las limitaciones impuestas al trabajo, asociadas a la metodologa
utilizada para abordar las cuestiones de auditora, a la confiabilidad o a la
dificultad para la obtencin de datos, as como las limitaciones relacionadas
con el propio alcance del trabajo, tales como reas o aspectos no examinados
en funcin de cualquier tipo de restriccin, deben ser explicitadas en el informe
indicndose los motivos y si eso afect o podra haber afectado los objetivos,
los resultados y las conclusiones de la auditora.

El hecho es que cualquier auditor desea recabar datos confiables


para fundamentar su trabajo y existen maneras de aumentar el grado de
confiabilidad de las informaciones recibidas.
En ese sentido, existen tcnicas indirectas para verificar las
informaciones recogidas. Por ejemplo, se recomienda que el auditor use,
siempre que sea posible, datos brutos en vez de datos trabajados. El objetivo
es, justamente, dificultar la manipulacin de los datos. De esta manera, en
vez de trabajar con los informes generados por el sistema informatizado
del auditado, el auditor puede elaborar sus propios informes a partir de la
base de datos.
El trabajo con los datos brutos de una base de datos es lo que se busca
cuando se aplica el abordaje de auditora de TI denominado auditora de
datos.

[ 6 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS

Datos brutos y datos trabajados


Dato bruto es el que fue almacenado en la base de datos de la
organizacin auditada. Es la informacin ms elemental almacenada en la
base de datos del auditado y que no recibi ningn tratamiento.
Datos trabajados son los que ya pasaron por algn proceso o
decodificacin. Ej.: el comprobante de recibo de la remuneracin percibida
por un empleado es un conjunto de datos trabajados, normalmente resultado
del procesamiento realizado por un sistema que genera rubros y respectivas
descripciones y valores, sumatorios de crditos y dbitos, nombre, unidad,
etc. Esos mismos datos estn almacenados en estado bruto en la base de
datos, probablemente distribuidos en varios archivos o cuadros.
Al examinar un comprobante de remuneracin, el auditor presupone
que los rubros contienen valores y descripciones correctos y que los
sumatorios corresponden a los datos brutos discriminados.
Examinar datos brutos es ms trabajoso, cuesta ms caro y consume
ms tiempo, pero hay una mayor confiabilidad de las evidencias. Cabe
sopesar la relacin costo/beneficio de este trabajo, dependiendo de la
relevancia de la informacin en el contexto de la auditora, del tiempo
disponible y del know-how de los auditores, entre otros aspectos.

Tal procedimento permite ao auditor encontrar eventuais


informaes duplicadas ou inconsistentes, revelando falhas em seu
armazenamento, intencionais ou no.
Cuando los datos que el auditor necesita estn distribuidos en
archivos diferentes, lo ideal es que el equipo de auditora solicite los
archivos en cuestin y haga las verificaciones y cruzamientos, con softwares
apropiados para manipular datos, en vez de solicitar al auditado un informe
ya finalizado. Dicho procedimiento permite que el auditor encuentre
eventuales informaciones duplicadas o inconsistentes, revelando fallas en
su almacenamiento, intencionales o no.
Es conveniente que el equipo de auditora documente la forma
de extraccin de los datos, la fecha en que fueron extrados, eventuales
registros de acceso y los mecanismos de garanta de integridad que fueron
aplicados. Tambin es importante documentar si fueron concedidos a
los auditores perfiles especficos para tener acceso a los datos del sistema
informatizado en cuestin. Todo esto puede ser importante en el caso de
que el organismo auditado cuestione, durante el transcurso del proceso, las
evidencias obtenidas.
Clase 6- - Certificado Digital y Hash en Auditoras

[7]

1.2 - Garanta de la integridad de las informaciones recibidas


En el tpico anterior, destacamos la preocupacin que los auditores
deben tener acerca de la confiabilidad de las informaciones recibidas como
evidencias de la auditora. En este punto, abordaremos el tratamiento que
debe ser dado a esas informaciones, a partir de su obtencin.
Despus de que las informaciones del auditado hayan sido recibidas,
o sea, a partir del momento en que los auditores poseen las informaciones
solicitadas, existen medios para garantizar la integridad de dichas
informaciones, tanto para documentos en impresos en papel, como para
archivos electrnicos.
Qu sera garantizar la integridad de las informaciones recibidas?
Sera garantizar que las informaciones referidas correspondan
exactamente a las que fueron entregadas por el auditado, de forma tal que
no haya ningn tipo de alteracin en trminos de contenido.
Si las informaciones son recibidas en papel, es posible exigir la firma
o el visado del representante del auditado en cada hoja.
En el caso de informacin en medio digital, especialmente cuando se
trata de grandes volmenes de datos, tal como sucede en hojas de clculo,
bases de datos o informes, hay instrumentos tecnolgicos aptos para
asegurar la integridad de esas informaciones.
Se trata del certificado digital y del hash, que vamos a analizar a
continuacin.

[ 8 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS

2. Certificado digital
2.1 - Concepto
Tal como lo mencionamos en la ltima clase, el certificado digital es
una especie de documento de identidad en medio electrnico que posibilita
la identificacin segura del autor de un documento o transaccin en red de
computadoras. Es un archivo electrnico, validado por una tercera parte
confiable (autoridad certificadora), que identifica a una persona natural o
jurdica en Internet (TCU, 2010b).
El certificado digital, como vimos en la ltima clase, es almacenado
en un dispositivo apropiado (Ej.: token, que es un dispositivo criptogrfico
similar a un pendrive; tarjeta con lectora), que es conectado a la entrada
USB de la computadora, permitiendo que el titular del certificado firme
documentos electrnicos por medio del uso de una contrasea personal e
intransferible.
2.2 - Modelo Brasileo de Certificacin Digital
La Infraestructura de Claves Pblicas Brasilea (ICP-Brasil)
instituida por la Medida Provisoria n 2.200-2, del 24 de agosto de 2001 es
una cadena jerarquizada de certificados digitales cuyo objetivo es garantizar
la autenticidad, la integridad y la validez jurdica de documentos en forma
electrnica [...] que utilicen certificados digitales, as como la realizacin de
transacciones electrnicas seguras (art. 1 de la MP n 2.200-2/2001).
El modelo adoptado por Brasil fue el de certificacin con raz nica.
La ICP-Brasil est integrada por una Autoridad Certificadora Raz (AC
Raz), por Autoridades Certificadoras (AC) y por Autoridades de Registro
(AR), en la forma sistematizada a continuacin:
a) Autoridad Certificadora Raz (AC Raz): ubicada en el tope
de la jerarqua de la ICP-Brasil. Ese papel es desempeado por
el Instituto Nacional de Tecnologa de la Informacin (ITI),
autarqua vinculada al Ministerio de Gobernacin (Casa Civil)
de la Presidencia de la Repblica, con la competencia de emitir
certificados digitales para las Autoridades Certificadoras (AC),
de nivel inmediatamente subsecuente, estndole vedado emitir
certificados directamente a usuarios finales. Es el ancla de
confianza del sistema (Menke, 2005, p. 102);

Clase 6- - Certificado Digital y Hash en Auditoras

[9]

b) Autoridades Certificadoras (AC): entidades acreditadas por


la AC Raz para emitir certificados digitales a los respectivos
titulares;
c) Autoridades de Registro (AR): entidades operativamente
vinculadas a una determinada AC, con la competencia de
identificar y registrar presencialmente a los usuarios finales, con
miras a emitir certificados digitales para tales personas por las
AC .

Diseo esquemtico simplificado: estructura de la ICP-Brasil


Fuente: ITI, 2012

Despus que una determinada persona haya recibido el certificado


digital en el mbito de la ICP-Brasil, estar apta para firmar digitalmente
documentos electrnicos, mediante el uso de contrasea personal e
intransferible (cdigo PIN), registrada despus de la emisin del certificado.
2.3 - Funcionalidades ofrecidas por el certificado digital
Tal como lo mencionamos en la ltima clase, si tanto el receptor
como el emisor de un mensaje tienen certificado digital, la transmisin
de las informaciones va correo electrnico podr ser encriptada, lo que
garantiza la confidencialidad de la informacin.
Adems de la criptografa, el certificado permite la firma digital de
documentos electrnicos, por medio de la utilizacin de un par de claves
(clave pblica y clave privada). La clave privada de un certificado digital
tipo A3 queda almacenada exclusivamente en un dispositivo criptogrfico
(ej.: token) y es usada para la aposicin de la firma digital propiamente
dicha en un documento electrnico (la clave privada es protegida y
se tiene acceso a ella por medio de una contrasea comnmente
denominada PIN digitada por el titular del certificado); por otro lado,
[ 10 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS

la clave pblica es colocada a disposicin, por la autoridad certificadora,


de cualquier persona que, por medio de softwares especficos, pueda
verificar la validez de la firma.

Fuente: ITI, 2012

Fuente: ITI, 2012

Si el documento electrnico firmado con certificado digital, por


cualquier razn, fuera adulterado, es decir, aunque un nico elemento
fuera cambiado, suprimido o aadido, la firma digital perder su validez.
En este sentido, la firma digital garantiza la integridad del documento
electrnico. Adems, como la clave privada est almacenada exclusivamente
en un dispositivo criptogrfico de propiedad del titular del certificado y
apenas l conoce el cdigo PIN para usar la clave y firmar el documento, la
autenticidad est garantizada .

Es importante subrayar que la


firma digital, por s sola, no
garantiza la confidencialidad
de las informaciones. Para
garantizar la confidencialidad,
es necesario encriptar el
documento (con certificado
digital o mediante el uso de
software especfico, tal como se
vio en la ltima clase).

Clase 6- - Certificado Digital y Hash en Auditoras [ 11 ]

Cmo es en su pas? Cul es el modelo de certificacin digital


adoptado?

2.4 - Objetivo de la firma digital


El objetivo de la firma digital es garantizar la autenticidad de un
determinado documento electrnico.

En ese caso, tanto el


software de e-mail del
remitente como el del
destinatario deben
ser compatibles con la
funcionalidad de la firma
digital.

En Brasil, el uso de la certificacin digital en el Sector Pblico


todava no est ampliamente difundido. Si el auditado tiene certificado
digital, puede ser interesante solicitarle el encaminamiento de informacin
relevante en el contexto de la auditora por intermedio, por ejemplo, de
correo electrnico firmado digitalmente .
El encaminamiento, realizado por el auditado, de informaciones
firmadas digitalmente dificultar mucho que, posteriormente, el auditado
cuestione la autenticidad y la integridad de esta informacin, porque se
presupone que los documentos electrnicos firmados con certificado
digital son verdaderos en relacin con los signatarios.
En otras palabras, el auditado tendr extremada dificultad para
rehusar la autora de documentos firmados con certificado digital, o sea,
habr una slida garanta de no repudio, dificultando as que el subscritor
de cierto documento refute ser su autor o proveedor.
Sin embargo, aunque el auditado no tenga certificado digital, es posible
garantizar la integridad de determinada informacin por intermedio de la
funcionalidad de hash, tal como ser abordado a continuacin. Obsrvese,
por otro lado, que la autenticidad de las informaciones no es asegurada con
el uso del hash, aisladamente.

[ 12 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS

3. Hash
3.1 - Concepto
El hash no es otra cosa que un algoritmo computacional que barre el
contenido de uno o ms archivos y genera un cdigo nico. Si el contenido
de los archivos sufriera una modificacin, aunque fuera de forma
imperceptible, el nuevo cdigo generado ser diferente del anterior.
Aunque, rigurosamente, el cdigo anteriormente mencionado fuera
el producto del hash (entendido como secuencia de comandos que, al final,
genera un cdigo), es bastante comn afirmar que el hash del archivo tal es
XYZ, o sea, se usa la palabra hash en la prctica como sinnimo del
propio cdigo correspondiente al contenido del archivo. El cdigo de hash
es generado con el auxilio de softwares especficos (ej: HashCalc).

Un algoritmo
computacional es una
secuencia de comandos o
instrucciones ejecutadas
por una computadora.

Es importante subrayar
que es imposible realizar
el camino inverso, o sea, a
partir del cdigo generado
no es posible obtener la
informacin original.

HashCalc es un software
Generacin del cdigo de hash
Fuente: ITI, 2012

libre, segn se menciona


en el item 4 de esta clase.

Clase 6- - Certificado Digital y Hash en Auditoras [ 13 ]

3.2 - Garanta de la integridad sin certificado digital

Evite calcular el hash


de archivos editables
(ej.: archivos Word o
Excel), pues su cdigo
hash puede cambiar si la
fecha y/o hora en que se
ha guardado el archivo se
modifiquen.
Sugerimos que,
previamente al clculo del
hash, el archivo editable
sea transformado a un
archivo en formato PDF.
Para ello, en Word o
Excel, utilice el comando
Guardar como y, a
continuacin, seleccione
como Tipo archivo PDF).

En auditoras, cuando el auditado no tiene certificado digital, podemos


usar el software de hash como instrumento tecnolgico para la garanta de
la integridad de documentos electrnicos.
Para eso, es posible adoptar el siguiente procedimiento, en el caso de
que se reciba del auditado un archivo sin firma digital:

Software de hash
Se aplica el software de hash (ej: HashCalc) sobre el contenido del
archivo, lo que generar un cdigo de hash, o sea, un conjunto de
signos que representa el contenido del archivo.
Declaracin de entrega
El cdigo de hash debe ser copiado a un editor de texto (ej: Microsoft
Word), para que el equipo de auditora elabore un recibo o declaracin
de entrega (vea modelo abajo).

Firma
La declaracin debe ser impresa, para ser firmada por el representante
de la organizacin auditada.
Se sugiere incluir en la
declaracin, para cada
archivo de datos recibido
del organismo auditado,
cdigos hash generados
por al menos dos
algoritmos diferentes (ej.:
MD5 y SHA1), con miras a
reducir la posibilidad de
una eventual alegacin
de que hubo un error de
digitacin del cdigo en la
declaracin.
La relacin costo/beneficio
de este procedimiento es
muy favorable.

MODELO DE DECLARACIN DE ENTREGA


Declaro que el siguiente conjunto de signos corresponde a los cdigos de hash, obtenidos bajo los algoritmos MD5 y SHA1 y utilizando el software HashCalc, relativos al
archivo <NOMBRE DEL ARCHIVO>, recibido el <FECHA>, en ocasin de la fiscalizacin <NOMBRE DE LA FISCALIZACIN>:
* Cdigo de hash MD5 : < CDIGO DE HASH>
* Cdigo de hash SHA1: <CDIGO DE HASH>

[ 14 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS

De esta manera, en el caso de que en el futuro algn gestor de la


organizacin auditada cuestione el contenido de documento anexado a
los autos, basta utilizar el mismo software y el mismo algoritmo (este es
escogido en el propio programa de hash, inmediatamente antes de generar
el cdigo) sobre el archivo en pauta. Si el contenido del archivo no hubiera
sido alterado, el cdigo generado corresponder exactamente al que consta
en la declaracin presentada arriba. Esto servir para refutar una eventual
alegacin de adulteracin.
Los softwares para hash normalmente son capaces de calcular cdigos
en base a diferentes algoritmos matemticos (ej: MD5, SHA1, SHA256,
RIPEMD160). Cada algoritmo genera un hash diferente para cierto archivo
de datos, pero el mismo algoritmo siempre generar el mismo hash para el
mismo archivo.

4. Software para Hash


4.1 - HashCalc
El HashCalc es un software especfico para la obtencin de cdigo de
hash a partir del contenido de un archivo. De acuerdo con la licencia del
programa, se trata de un software libre, debiendo cada licencia gratuita
ser usada en una nica computadora.

En este curso, utilizamos


el software HashCalc, el
que es homologado para
uso en el TCU. Esto no
impide la utilizacin de
otros softwares de hash
disponibles en el mercado.
De ser necesario, consulte
el rea de TI de su EFS.

4.2 - Ejercicio prctico


La evaluacin relativa a esta clase consistir en un ejercicio prctico
con el software HashCalc.
La licencia del software
HashCalc est disponible
en idioma ingls en:
http://www.slavasoft.
com/hashcalc/licenseagreement.htm

Las orientaciones para


la tarea se encuentran
disponibles en el entorno
del curso.
Clase 6- - Certificado Digital y Hash en Auditoras [ 15 ]

5. Sntesis
En esta clase, vimos la importancia de que las informaciones recibidas
en auditoras sean confiables, y mencionamos tcnicas especficas para
aumentar el grado de confiabilidad de las evidencias obtenidas.
Abordamos tambin algunos instrumentos tecnolgicos aptos para
garantizar la integridad de informaciones producidas o recibidas en
auditoras, que son el certificado digital y el software de hash.
Como alternativa para el certificado digital, vimos que un software
de hash puede calcular el cdigo correspondiente al contenido de un
documento. Este cdigo puede ser insertado en una declaracin, que debe
ser firmada por un representante de la organizacin auditada, lo que servir
como garanta al equipo de auditora en el caso de una eventual alegacin
de adulteracin del documento.
La prxima clase ser la ltima de nuestro curso. En ella abordaremos
la seguridad de la informacin en la etapa de informe y la eliminacin
segura de informaciones en auditoras.

[ 16 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS

6. Referencias bibliogrficas
BRASIL. Medida Provisoria n 2.200-2, del 24 de agosto de 2001. Instituye
la Infraestructura de Claves Pblicas Brasilea - ICP-Brasil, transforma el
Instituto Nacional de Tecnologa de la Informacin en autarqua, y establece
otras medidas. Disponible en: <http://www.planalto.gov.br/ccivil_03/mpv/
Antigas_2001/2200-2.htm>. Acceso el 09 set. 2013.
______. Tribunal de Contas da Unio. Padres de auditoria de
conformidade. Resolucin-Segecex n 26, del 19 de julio de 2009.
Disponible
en:
<http://portal2.tcu.gov.br/portal/page/portal/TCU/
comunidades/fiscalizacao_controle/normas_auditoria/BTCU-ESPECIAL02-de-03-02-2010%20Padr%C3%B5es%20de%20Auditoria%20de.pdf>.
Acceso el 13 de nov. 2013.
______. Tribunal de Contas da Unio. Manual de auditoria operacional. 3
edio. Braslia: TCU, Secretaria de Fiscalizao e Avaliao de Programas
de Governo (Seprog), 2010a. Disponible en: <http://portal2.tcu.gov.br/
portal/pls/portal/docs/2058980.PDF>. Acceso el 09 de sept. 2013.
______. Tribunal de Contas da Unio. Certificado digital. Braslia: TCU,
Assessoria de Segurana da Informao e Governana de Tecnologia da
Informao (Assig), 2010b. Folder.
______. Tribunal de Contas da Unio. Normas de Auditoria do Tribunal
de Contas da Unio. Anexo a la Resolucin-TCU n 280/2010, con
redaccin dada por la Resolucin-TCU n 168, del 30 de junio de 2011.
Disponible
en:
<http://portal2.tcu.gov.br/portal/page/portal/TCU/
comunidades/fiscalizacao_controle/normas_auditoria/BTCU-ESPECIAL12-de-05-07-2011%20Normas%20de%20Auditoria.pdf>. Acceso el 12 de
ago. 2013.
______. Tribunal de Contas da Unio. Boas prticas de segurana da
informao em auditorias. Braslia: TCU, Assessoria de Segurana da
Informao e Governana de Tecnologia da Informao (Assig), 2012.
INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAO (ITI).
O que Certificao Digital? Braslia, 2012. Disponible en: <http://www.
iti.gov.br/images/publicacoes/cartilhas/cartilhaentenda.pdf>. Acceso el 13
de nov. 2013.
MENKE, Fabiano. Assinatura eletrnica no Direito brasileiro. So Paulo:
Editora Revista dos Tribunais. 2005.

Clase 6- - Certificado Digital y Hash en Auditoras [ 17 ]

SLAVASOFT. HashCalc License Agreement. End-User License Agreement


for Slavasoft Software. SlavaSoft HashCalc 2.02 (freeware). Disponible en:
<http://www.slavasoft.com/hashcalc/license-agreement.htm>. Acceso el
09 de sept. 2013.

[ 18 ] SEGURIDAD DE LA INFORMACIN EN AUDITORAS