AUDITORIA INFORMATICA

AUDITORIA INFORMATICA

Omar R. Fiallos Salgado

30721169

Tarea #1: Analisis de lasNormativa 2005

vs 2022 - TIC

Viernes 29 de Julio del 2022

AUDITORIA INFORMATICA

INTRODUCCION
El objetivo de la presente tarea es denotar los cambios significativos y lo rescatable
que se puede mantener de la Normativa emitida en el 2005 y de su anexo en el
2012 que suman 17 años de diferencia entre la inicial y el borrador actual que esta
en ultima fase de aprobacion. A continuacion una breve descripcion y comentarios
de los elementos rescatables y/o importantes de ambos documentos.
AUDITORIA INFORMATICA

¿Cuáles son sus consideraciones de ambas normativas?

Quiero ser objetivo y puntual en mis opiniones puesto que literal tengo más de 5
años de tener discrepancias y limitantes debido a la Normativa 2005 y su Anexo
2012, con esto quiero decir que a pesar de ser una normativa basada en las buenas
prácticas y principios de seguridad TIC, tiene un desfase muy grande en cuanto a lo
permisivo de sus reglas y lo limitado del uso de la tecnología, la cual tiene una línea
de limitantes engorrosas y obsoletas.
A pesar de tener los estándares ISO17799-2000 y Principios del código de Basilea,
la previa de la Normativa 2022 rompe el esquema y actualiza por completo la
gestión TIC iniciando por involucrar un departamento o un individuo que controle
y se enfoque exclusivamente en el riesgo tecnológico.
Comparando ambas normativas, la actual nos demuestra un considerable avance
en todas sus permisivas que debieron nacer progresivamente hace mucho, por
ejemplo, el enfoque marcado que habla de la Ciber Seguridad, La famosa Nube y la
inclusión de Dispositivos Electrónicos que apoyan la llegada del doble factor de
autentificación y los dispositivos biométricos para un control y reemplazo de la
firma manuscrita.

¿Qué mantendría de la normativa anterior?

Creo que, si bien es cierto, a pesar de su obsolescencia en gran parte de sus
restricciones o reglas, no deja de nacer de un esquema basado en las buenas
prácticas, por lo cual, a pesar de tener instrucciones, reglas o parámetros básicos.
No dejan estos de ser la base o clave para el robustecimiento de toda la estructura.
Por Ejemplo: Contraseñas seguras, periodos cortos de cambio de contraseña,
accesos restrictos, enlaces limitados, información encriptada, respaldos en
diferentes zonas geográficas y medios, DC acondicionados y climatizados, canales
de comunicación y réplicas de BD o Contingencias. Entre otros.
AUDITORIA INFORMATICA

¿Qué cambios favorables le ve a la nueva normativa?

Muchos, primeramente, el tema Cloud, un dolor de cabeza poder migrar a Clouds
los servicios sin incumplir las restricciones actuales. Con esta nueva normativa nos
permite implementar e incursionar en el mundo de la nube abrazando todo
siempre a lo tecnológico y cibernético con la vigila de la ciber seguridad y el riesgo
tecnológico. Ampara y protege mucho al cliente final en los servicios de
tercerización, pero de igual manera obliga a buscar proveedores que cumplan el
estándar mínimo para poder exteriorizar los servicios y así mantener una alta
disponibilidad.

¿Qué propuestas haría para mejorar la nueva normativa?

Puede quizas sonar algo absurdo o innecesario, pero soy partidario de incluir
siempre las raices o lo basico de unas buenas practicas en cuanto a TIC respecta,
me refiero a incoporar las instrucciones y parametros de contraseñas seguras,
Respaldos, Canales de servicio, Firewalls, tiempos de cierre de sesion, antivirus,
encriptados, internet.

Porque siento que a pesar de ser cosas que van implicitas, con la normativa que
entrara en vigencia pronto, describe que quedaran obsoletas estas dos anteriores
para ser unicamente la actual la que este vigente y domine el control de los
parametros o reglas a seguir.