Академический Документы
Профессиональный Документы
Культура Документы
SEGURIDAD DE LA
INFORMACIN
EN AUDITORAS
Clase 6
Certificado Digital y Hash
en Auditoras
Se permite la reproduccin, parcial o total, de esta publicacin, sin alteracin del contenido, siempre y cuando se cite
la fuente y no se utilice con fines comerciales.
RESPONSABILIDAD POR EL CONTENIDO
Tribunal de Cuentas de la Unin
Secretara General de la Presidencia
Asesora de la Seguridad de la Informacin y Gobernanza de TI
REDACCIN
Rodrigo Melo do Nascimento
REVISIN TCNICA
Gelson Heinrickson
Geraldo Magela Lopes de Freitas
Helton Fabiano Garcia
Juliana Belmok Bordin
Luisa Helena Santos Franco
Marisa Alho Mattos de Carvalho
Mnica Gomes Ramos Bimbato
ASESORAMIENTO PEDAGGICO
Arthur Colao Pires de Andrade
RESPONSABILIDAD EDITORIAL
Tribunal de Cuentas de la Unin
Secretara General de la Presidencia
Instituto Serzedello Corra
Centro de Documentacin
Editorial del TCU
PROYECTO GRFICO
Ismael Soares Miguel
Paulo Prudncio Soares Brando Filho
Vivian Campelo Fernandes
DIAGRAMACIN
Vanessa Vieira Ferreira da Silva
Atencin!
Este material tiene funcin didctica. La ltima actualizacin ocurri en abril de 2014. Las afirmaciones y
opiniones son de responsabilidad exclusiva del autor y pueden no expresar la posicin oficial del Tribunal
de Cuentas de la Unin.
[3]
[5]
[7]
2. Certificado digital
2.1 - Concepto
Tal como lo mencionamos en la ltima clase, el certificado digital es
una especie de documento de identidad en medio electrnico que posibilita
la identificacin segura del autor de un documento o transaccin en red de
computadoras. Es un archivo electrnico, validado por una tercera parte
confiable (autoridad certificadora), que identifica a una persona natural o
jurdica en Internet (TCU, 2010b).
El certificado digital, como vimos en la ltima clase, es almacenado
en un dispositivo apropiado (Ej.: token, que es un dispositivo criptogrfico
similar a un pendrive; tarjeta con lectora), que es conectado a la entrada
USB de la computadora, permitiendo que el titular del certificado firme
documentos electrnicos por medio del uso de una contrasea personal e
intransferible.
2.2 - Modelo Brasileo de Certificacin Digital
La Infraestructura de Claves Pblicas Brasilea (ICP-Brasil)
instituida por la Medida Provisoria n 2.200-2, del 24 de agosto de 2001 es
una cadena jerarquizada de certificados digitales cuyo objetivo es garantizar
la autenticidad, la integridad y la validez jurdica de documentos en forma
electrnica [...] que utilicen certificados digitales, as como la realizacin de
transacciones electrnicas seguras (art. 1 de la MP n 2.200-2/2001).
El modelo adoptado por Brasil fue el de certificacin con raz nica.
La ICP-Brasil est integrada por una Autoridad Certificadora Raz (AC
Raz), por Autoridades Certificadoras (AC) y por Autoridades de Registro
(AR), en la forma sistematizada a continuacin:
a) Autoridad Certificadora Raz (AC Raz): ubicada en el tope
de la jerarqua de la ICP-Brasil. Ese papel es desempeado por
el Instituto Nacional de Tecnologa de la Informacin (ITI),
autarqua vinculada al Ministerio de Gobernacin (Casa Civil)
de la Presidencia de la Repblica, con la competencia de emitir
certificados digitales para las Autoridades Certificadoras (AC),
de nivel inmediatamente subsecuente, estndole vedado emitir
certificados directamente a usuarios finales. Es el ancla de
confianza del sistema (Menke, 2005, p. 102);
[9]
3. Hash
3.1 - Concepto
El hash no es otra cosa que un algoritmo computacional que barre el
contenido de uno o ms archivos y genera un cdigo nico. Si el contenido
de los archivos sufriera una modificacin, aunque fuera de forma
imperceptible, el nuevo cdigo generado ser diferente del anterior.
Aunque, rigurosamente, el cdigo anteriormente mencionado fuera
el producto del hash (entendido como secuencia de comandos que, al final,
genera un cdigo), es bastante comn afirmar que el hash del archivo tal es
XYZ, o sea, se usa la palabra hash en la prctica como sinnimo del
propio cdigo correspondiente al contenido del archivo. El cdigo de hash
es generado con el auxilio de softwares especficos (ej: HashCalc).
Un algoritmo
computacional es una
secuencia de comandos o
instrucciones ejecutadas
por una computadora.
Es importante subrayar
que es imposible realizar
el camino inverso, o sea, a
partir del cdigo generado
no es posible obtener la
informacin original.
HashCalc es un software
Generacin del cdigo de hash
Fuente: ITI, 2012
Software de hash
Se aplica el software de hash (ej: HashCalc) sobre el contenido del
archivo, lo que generar un cdigo de hash, o sea, un conjunto de
signos que representa el contenido del archivo.
Declaracin de entrega
El cdigo de hash debe ser copiado a un editor de texto (ej: Microsoft
Word), para que el equipo de auditora elabore un recibo o declaracin
de entrega (vea modelo abajo).
Firma
La declaracin debe ser impresa, para ser firmada por el representante
de la organizacin auditada.
Se sugiere incluir en la
declaracin, para cada
archivo de datos recibido
del organismo auditado,
cdigos hash generados
por al menos dos
algoritmos diferentes (ej.:
MD5 y SHA1), con miras a
reducir la posibilidad de
una eventual alegacin
de que hubo un error de
digitacin del cdigo en la
declaracin.
La relacin costo/beneficio
de este procedimiento es
muy favorable.
5. Sntesis
En esta clase, vimos la importancia de que las informaciones recibidas
en auditoras sean confiables, y mencionamos tcnicas especficas para
aumentar el grado de confiabilidad de las evidencias obtenidas.
Abordamos tambin algunos instrumentos tecnolgicos aptos para
garantizar la integridad de informaciones producidas o recibidas en
auditoras, que son el certificado digital y el software de hash.
Como alternativa para el certificado digital, vimos que un software
de hash puede calcular el cdigo correspondiente al contenido de un
documento. Este cdigo puede ser insertado en una declaracin, que debe
ser firmada por un representante de la organizacin auditada, lo que servir
como garanta al equipo de auditora en el caso de una eventual alegacin
de adulteracin del documento.
La prxima clase ser la ltima de nuestro curso. En ella abordaremos
la seguridad de la informacin en la etapa de informe y la eliminacin
segura de informaciones en auditoras.
6. Referencias bibliogrficas
BRASIL. Medida Provisoria n 2.200-2, del 24 de agosto de 2001. Instituye
la Infraestructura de Claves Pblicas Brasilea - ICP-Brasil, transforma el
Instituto Nacional de Tecnologa de la Informacin en autarqua, y establece
otras medidas. Disponible en: <http://www.planalto.gov.br/ccivil_03/mpv/
Antigas_2001/2200-2.htm>. Acceso el 09 set. 2013.
______. Tribunal de Contas da Unio. Padres de auditoria de
conformidade. Resolucin-Segecex n 26, del 19 de julio de 2009.
Disponible
en:
<http://portal2.tcu.gov.br/portal/page/portal/TCU/
comunidades/fiscalizacao_controle/normas_auditoria/BTCU-ESPECIAL02-de-03-02-2010%20Padr%C3%B5es%20de%20Auditoria%20de.pdf>.
Acceso el 13 de nov. 2013.
______. Tribunal de Contas da Unio. Manual de auditoria operacional. 3
edio. Braslia: TCU, Secretaria de Fiscalizao e Avaliao de Programas
de Governo (Seprog), 2010a. Disponible en: <http://portal2.tcu.gov.br/
portal/pls/portal/docs/2058980.PDF>. Acceso el 09 de sept. 2013.
______. Tribunal de Contas da Unio. Certificado digital. Braslia: TCU,
Assessoria de Segurana da Informao e Governana de Tecnologia da
Informao (Assig), 2010b. Folder.
______. Tribunal de Contas da Unio. Normas de Auditoria do Tribunal
de Contas da Unio. Anexo a la Resolucin-TCU n 280/2010, con
redaccin dada por la Resolucin-TCU n 168, del 30 de junio de 2011.
Disponible
en:
<http://portal2.tcu.gov.br/portal/page/portal/TCU/
comunidades/fiscalizacao_controle/normas_auditoria/BTCU-ESPECIAL12-de-05-07-2011%20Normas%20de%20Auditoria.pdf>. Acceso el 12 de
ago. 2013.
______. Tribunal de Contas da Unio. Boas prticas de segurana da
informao em auditorias. Braslia: TCU, Assessoria de Segurana da
Informao e Governana de Tecnologia da Informao (Assig), 2012.
INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAO (ITI).
O que Certificao Digital? Braslia, 2012. Disponible en: <http://www.
iti.gov.br/images/publicacoes/cartilhas/cartilhaentenda.pdf>. Acceso el 13
de nov. 2013.
MENKE, Fabiano. Assinatura eletrnica no Direito brasileiro. So Paulo:
Editora Revista dos Tribunais. 2005.