CXLV. I A R C P C M E · y buenas prácticas TIC aplicables, así como si participó en el Comité...

CXLV. INFORME INDIVIDUAL DE AUDITORÍA,

DERIVADA DE LA REVISIÓN DE LA CUENTA PÚBLICA

DE LA CIUDAD DE MÉXICO CORRESPONDIENTE

AL EJERCICIO DE 2017

1

ÓRGANO POLÍTICO-ADMINISTRATIVO

ALCALDÍA MIGUEL HIDALGO

(ANTES DELEGACIÓN MIGUEL HIDALGO)

AUDITORÍA DE CUMPLIMIENTO CON ENFOQUE EN TECNOLOGÍAS

DE LA INFORMACIÓN Y COMUNICACIONES

Marco Normativo de Gobernanza de Tecnologías

de la Información y Comunicaciones

Auditoría ASCM/84/17

FUNDAMENTO LEGAL

La auditoría se llevó a cabo con fundamento en los artículos 122, apartado A, fracción II,

sexto y séptimo párrafos, en relación con el 74, fracción VI; y 79 de la Constitución Política de

los Estados Unidos Mexicanos; 42, fracción XIX; y 43 del Estatuto de Gobierno del Distrito

Federal; 10, fracción VI, de la Ley Orgánica de la Asamblea Legislativa del Distrito Federal; 1; 2,

fracciones XIII y XLI, inciso a); 3; 8, fracciones I, II, IV, VI, VII, VIII, IX y XXVI; 9; 10, incisos a)

y b); 14, fracciones I, VIII, XVII, XX y XXIV; 22; 24; 27; 28; 30; 32; 33; 34; 35; 36, primer párrafo y

37, fracción II, de la Ley de Fiscalización Superior de la Ciudad de México; y 1; 4; 5, fracción I,

inciso b); 6, fracciones V y VII; y 30 del Reglamento Interior de la Auditoría Superior de la

Ciudad de México.

ANTECEDENTES

Como parte de la Política Informática y Mejora de Tecnologías de la Información, la Oficialía

Mayor (OM) de la Ciudad de México publicó el 18 de septiembre de 2015 en la Gaceta Oficial

del Distrito Federal núm. 179, tomo I, la Normatividad en materia de Administración de

Recursos para las Delegaciones de la Administración Pública del Distrito Federal (Circular Uno

Bis 2015), vigente en 2017, con la que instauró un gobierno electrónico con el uso de recursos

tecnológicos para reducir costos de operación y tiempo de espera, y mejorar la atención al

público, así como para garantizar la atención a la demanda de servicios de Tecnologías

de la Información a los entes públicos del Gobierno de la Ciudad de México.

2

CRITERIOS DE SELECCIÓN

Esta auditoría se propuso de conformidad con los siguientes criterios generales de selección,

contenidos en el Manual de Selección de Auditorías de esta entidad de fiscalización superior:

“Propuesta e Interés Ciudadano”, en virtud de la necesidad de que la Administración Pública de

la Ciudad de México proporcione mejores servicios a la ciudadanía vinculados con las

Tecnologías de la Información y Comunicaciones (TIC), mediante mecanismos oficiales y

documentados que rijan la operación; y debido a su naturaleza e impacto social, el marco

normativo de gobernanza de TIC es de interés para los habitantes de la Delegación

Miguel Hidalgo.

“Presencia y Cobertura”, porque el marco normativo de gobernanza de TIC no ha sido objeto de

fiscalización específica por parte de la Auditoría Superior de la Ciudad de México (ASCM)

y por ser susceptible de auditarse por estar contenido en la Cuenta Pública de la Ciudad

de México.

OBJETIVO

El objetivo de la revisión consistió en verificar que el marco normativo relativo a la gobernanza de

las TIC haya sido implementado en la Delegación Miguel Hidalgo, que establezca los principios

que regirán la gestión TIC con base en lo instaurado por la OM en cumplimiento con la

Ley de Gobierno Electrónico del Distrito Federal y la Normatividad en materia de Administración

de Recursos para las Delegaciones de la Administración Pública del Distrito Federal

(Circular Uno Bis 2015) y en alineación con los estándares y mejores prácticas TIC aplicables.

ALCANCE Y DETERMINACIÓN DE LA MUESTRA

Se revisó que se hayan implementado las políticas informáticas que impactan en una gestión

TIC eficiente, eficaz y confiable en la Delegación Miguel Hidalgo.

De los elementos que integran el objetivo de auditoría, de manera enunciativa, mas no

limitativa se revisó lo siguiente:

3

Gobernanza TIC

Se evaluó si la Delegación Miguel Hidalgo implementó y ejecutó las políticas de gobernanza TIC

establecidas por la OM, en atención a los controles generales alineados con la normatividad

y buenas prácticas TIC aplicables, así como si participó en el Comité de Gobierno Electrónico de

la Ciudad de México.

Desarrollo y Adquisición

Se evaluó si la Delegación Miguel Hidalgo aplicó y desempeñó la normatividad relativa

a desarrollo y adquisición TIC fundada por la OM, en cumplimiento de lo establecido en

la Normatividad en materia de Administración de Recursos para las Delegaciones de la

Administración Pública del Distrito Federal (Circular Uno Bis 2015) y demás normatividad

TIC aplicable.

Continuidad del Servicio y Recuperación de Desastres

Se evaluó si la Delegación Miguel Hidalgo incorporó y utilizó políticas de continuidad del

servicio y recuperación de desastres generadas por la OM, al permitir que la infraestructura

tecnológica del órgano político-administrativo haya proporcionado los servicios de manera

ininterrumpida a la ciudadanía, en alineación con las mejores prácticas y estándares TIC

aplicables.

Seguridad de la Información

Se evaluó si la Delegación Miguel Hidalgo estableció y aplicó las políticas de seguridad de

la información señaladas por la OM para salvaguardar los bienes informáticos y la información

gestionada por el órgano político-administrativo, de acuerdo con los estándares, buenas

prácticas y normas TIC aplicables.

Derivado de los trabajos que se llevaron a cabo en la fase de planeación de la auditoría y

del estudio y evaluación del sistema de control interno, se determinó revisar los procedimientos,

políticas y protocolos relacionados con el marco normativo de gobernanza de TIC que hayan

4

sido aplicados por la Delegación Miguel Hidalgo y para determinar la muestra a revisión,

se aplicaron los siguientes criterios:

1. Se identificaron los procedimientos publicados en el manual administrativo de la Delegación

Miguel Hidalgo que tuvieron relación con el marco normativo de gobernanza de TIC,

así como las políticas internas de seguridad de la información, desarrollo y adquisición

de las TIC, la recuperación de desastres y mantenimiento a la infraestructura de las TIC y los

estándares y mejores prácticas de las TIC aplicables en el rubro a revisión; en especial, lo

establecido en la Ley de Gobierno Electrónico del Distrito Federal, la Normatividad en

materia de Administración de Recursos para las Delegaciones de la Administración Pública

del Distrito Federal (Circular Uno Bis 2015) y las Normas Generales que deberán observarse

en materia de Seguridad de la Información en la Administración Pública del Distrito Federal.

2. Se consideró la aplicación de los procedimientos, políticas, estándares y mejores prácticas

en las áreas de servicio a la ciudadanía, específicamente en la Ventanilla Única

Delegacional (VUD), en el Centro de Servicios y Atención Ciudadana (CESAC) y en el

sitio web de la Delegación Miguel Hidalgo.

3. Se determinó ampliar la muestra original del 30.0% para incrementar el grado de

seguridad en la eficiencia operativa de los controles al 54.8% (17 equipos) del total

de equipamiento de las TIC (31 equipos), utilizados en la atención a la ciudadanía en el

Centro de datos, VUD, CESAC y sitio web. Asimismo, se estableció como muestra

el 100.0% del total de los procedimientos, políticas y estándares TIC (30) para la aplicación

de pruebas de auditoría, como se muestra a continuación:

Número de equipos en la infraestructura TIC utilizada para servicios ciudadanos de la Alcaldía

Universo Muestra

Centro de datos

VUD CESAC Sitio web Total Centro de datos

VUD CESAC Sitio web Total

8 15 7 1 31 4 8 4 1 17

La muestra del universo por auditar se determinó mediante un método de muestreo no

estadístico, con fundamento en la Norma Internacional de Auditoría (NIA) 530, “Muestreo

de Auditoría”, emitida por la Federación Internacional de Contadores (IFAC), la Norma

5

Internacional de las Entidades Fiscalizadoras Superiores (ISSAI) 1530, “Muestreo de

Auditoría”, emitida por el Comité de Normas Profesionales de la Organización Internacional

de Entidades Fiscalizadoras Superiores (INTOSAI), y en el Manual del Proceso General de

Fiscalización de la Auditoría Superior de la Ciudad de México.

Los trabajos de auditoría se efectuaron en la Subdirección de Informática, adscrita a la

Dirección General de Administración Delegacional en la Alcaldía Miguel Hidalgo, por ser

la unidad administrativa con atribuciones y funciones previstas en el manual administrativo

de la Alcaldía Miguel Hidalgo, vigente en 2017, encargada del cumplimiento de la Ley de

Gobierno Electrónico del Distrito Federal, las Normas Generales que deberán observarse

en materia de Seguridad de la Información en la Administración Pública del Distrito Federal,


Administración Pública del Distrito Federal (Circular Uno Bis 2015) y demás normatividad

relativa a la gobernanza TIC, vigente en 2017.

PROCEDIMIENTOS, RESULTADOS Y OBSERVACIONES

Evaluación del Control Interno

1. Resultado

Con la finalidad de evaluar el control interno implementado por sujeto fiscalizado y para disponer

de una base para determinar la naturaleza, extensión y oportunidad de las pruebas de

auditoría, se analizaron las atribuciones del órgano político-administrativo, el marco normativo

y el manual administrativo del sujeto fiscalizado, vigente en 2017; se realizaron entrevistas y se

aplicaron cuestionarios de control interno y de marco normativo de gobernanza de TIC a la

Dirección General de Administración Delegacional, en particular, a los servidores públicos

responsables de la administración, gestión y gobernanza TIC, en relación con los cinco

componentes del control interno (Ambiente de Control, Administración de Riesgos, Actividades

de Control, Información y Comunicación y Supervisión).

La evaluación se realizó tomando como parámetro de referencia el Marco Integrado de

Control Interno para el Sector Público (MICI), que es un documento de carácter técnico

desarrollado por el Grupo de Trabajo de Control Interno del Sistema Nacional de Fiscalización

6

en su quinta reunión plenaria celebrada en 2014 y que tiene por objeto la implementación

de un control interno efectivo como una herramienta fundamental para aportar elementos

que promuevan la consecución de objetivos institucionales, minimicen los riesgos, reduzcan la

probabilidad de ocurrencia de actos de corrupción y fraudes, consideren la integración de

las tecnologías de la información a los procesos institucionales, respalden la integridad y

el comportamiento ético de los servidores públicos y consoliden los procesos de rendición

de cuentas y de transparencia gubernamentales. Asimismo, está diseñado como un modelo de

control interno que puede ser adoptado y adaptado por las instituciones en ámbitos federal, estatal y

municipal, y que gozaría de mayor aceptación e impacto si los distintos niveles de gobierno, en el

ámbito de sus atribuciones, expiden los decretos correspondientes para su aprobación.

Como resultado del análisis de las respuestas a los cuestionarios aplicados, de las entrevistas

realizadas y de la información y documentación proporcionadas por el sujeto fiscalizado,

se determinó lo siguiente:

Ambiente de Control

Se identificaron las unidades administrativas del sujeto fiscalizado que estuvieron relacionadas

con el rubro sujeto a revisión; las funciones, objetivos, actividades y procedimientos aplicados; las

normas, procesos y estructura orgánica que proporcionan la base para llevar a cabo el control

interno en el sujeto fiscalizado, así como la normatividad que otorga disciplina y estructura

para apoyar al personal en la consecución de los objetivos institucionales, y se verificó si

el sujeto fiscalizado ha establecido y mantiene un ambiente de control que implique una

actitud de respaldo hacia el control interno, como se indica a continuación:

1. El sujeto fiscalizado contó en 2017 con la estructura orgánica núm. OPA-MIH-5/180116,

dictaminada favorablemente por la Coordinación General de Modernización Administrativa

(CGMA) y notificada al sujeto fiscalizado por medio del oficio núm. OM/0070/2016 del

25 de enero de 2016, vigente a partir del 18 de enero de 2016.

En dicha estructura orgánica, se previeron una Oficina de la Jefatura Delegacional,

dos Direcciones Generales (de Servicios Jurídicos y de Gobierno, y de Administración

Delegacional) y seis Direcciones Ejecutivas (Jurídica; de Registros y Autorizaciones;

de Obras Públicas; de Servicios Urbanos; de Desarrollo Social y de Servicios Internos).

7

La Subdirección de Informática se encuentra adscrita a la Dirección General de

Administración Delegacional en el órgano político-administrativo.

2. En 2017, el sujeto fiscalizado contó con un manual administrativo elaborado conforme

al dictamen de estructura orgánica núm. OPA-MIH-5/180116, el cual fue registrado

por la CGMA con el núm. MA-10/290716-OPA-MIH-5/180116, y notificado al órgano

político-administrativo mediante el oficio núm. OM/CGMA/1670/2016 del 29 de julio de 2016;

asimismo, en la Gaceta Oficial de la Ciudad de México núm.143, el 23 de agosto

de 2016, se publicó como archivo digital el “Aviso por el que se da a conocer el manual

administrativo del órgano político-administrativo en Miguel Hidalgo”, con vigencia a

partir del día siguiente de su publicación.

El manual citado se integró por los apartados de marco jurídico de actuación; atribuciones;

misión, visión y objetivos institucionales; organigrama de la estructura básica; organización y

procedimientos; glosario y aprobación del manual administrativo.

3. El sujeto fiscalizado tuvo unidades administrativas encargadas de generar información

para cumplir las obligaciones en materia de transparencia y acceso a la información,

fiscalización, rendición de cuentas y armonización contable, así como de administrar

los recursos humanos, financieros y de TIC, por medio de la Subdirección de Informática,

para lo cual implementó tres procedimientos específicos para el rubro de gobernanza

de las TIC que se formalizaron con su registro ante la CGMA y se incorporaron a su

manual administrativo.

Con base en lo anterior, se determinó que el sujeto fiscalizado dispone de una estructura

orgánica, con un manual administrativo dictaminado por la CGMA y con unidades administrativas

encargadas de generar información para cumplir las obligaciones en materia de fiscalización,

rendición de cuentas y armonización contable, así como de administrar los recursos humanos,

financieros y tecnológicos, por lo que ha establecido un ambiente de control que implica

una actitud de respaldo hacia el control interno.

8

Administración de Riesgos

Con relación a si el sujeto fiscalizado cuenta con un proceso para identificar el cumplimiento de

sus objetivos y reúne las bases para desarrollar respuestas apropiadas al riesgo que permitan

administrarlo y controlarlo, se identificó lo siguiente:

1. Los objetivos institucionales del sujeto fiscalizado se encuentran definidos con claridad en

su Programa Delegacional de Desarrollo 2015-2018, publicado en la Gaceta Oficial de

la Ciudad de México núm. 70, tomo I, del 12 de mayo de 2016, de modo que coadyuvan en

la identificación de los riesgos potenciales asociados a éstos y en la determinación de

cómo se gestionarán. Asimismo, el sujeto fiscalizado cuenta con ejes estratégicos asociados

a su mandato legal y alineados con el Programa General de Desarrollo del Distrito

Federal 2013-2018 (PGDDF), publicado en la Gaceta Oficial del Distrito Federal núm. 1689,

tomo II, del 11 de septiembre de 2013, en el que se incluye el rubro de gobernanza de las TIC.

2. Se identificó que en su Programa Operativo Anual (POA), el sujeto fiscalizado cuenta

con ejes estratégicos y metas asociados a su mandato legal y alineados con el PGDDF, los

cuales fueron comunicados de manera formal a sus servidores públicos.

3. La Contraloría Interna del sujeto fiscalizado, adscrita a la Contraloría General de la

Ciudad de México (CGCDMX), de acuerdo con el artículo 113, fracción III, del Reglamento

Interior de la Administración Pública del Distrito Federal vigente en 2017, tiene atribuciones

para revisar e inspeccionar que el órgano político-administrativo cumpla las normas y

disposiciones en materia de TIC, el Órgano Interno de Control no le practicó alguna auditoría

al sujeto fiscalizado relacionada con la gobernanza de las TIC por el ejercicio de 2017.

Con base en lo anterior, se determinó que el sujeto fiscalizado reunió las bases para desarrollar

respuestas al riesgo que permiten administrarlo y controlarlo, ya que comunicó de manera

formal sus objetivos estratégicos y metas, y dispone de un órgano interno de control que

lo vigila, el cual no auditó la gobernanza de las TIC por el ejercicio 2017.

9

Actividades de Control

Las acciones establecidas por el sujeto fiscalizado para prevenir, minimizar y responder

a los riesgos que pudieran afectar el cumplimiento y logro de sus objetivos, en particular a

la eficacia y eficiencia de las operaciones del rubro sujeto a revisión, son las siguientes:

1. En 2017, el sujeto fiscalizado contó con 288 procedimientos elaborados conforme al

dictamen de estructura orgánica núm. OPA-MIH-5/180116, que se integraron al manual

administrativo que la CGMA registró con el núm. MA-10/290716-OPA-MIH-5/180116,

de acuerdo con el oficio núm. OM/CGMA/1670/2016 del 29 de julio de 2016, y fue publicado en

la Gaceta Oficial de la Ciudad de México núm.143, el 23 de agosto de 2016, y de su consulta

se comprobó su publicación y vigencia a partir del día siguiente.

De 288 procedimientos que estuvieron vigentes en 2017, tres estuvieron relacionados

con el rubro auditado, permiten cumplir los objetivos de control y administrar riesgos

inherentes a la gestión de las TIC, y garantizan razonablemente el cumplimiento de

las leyes, reglamentos, normas, políticas y otras disposiciones de observancia obligatoria. Los

tres procedimientos identificados para el rubro de gobernanza de las TIC son los siguientes:

Concepto Procedimiento

Gobernanza TIC; Desarrollo y Adquisición; Continuidad del Servicio y Recuperación de Desastres; y Seguridad de la Información

“Alta en Sistemas de Gestión”

“Desarrollo de Sistemas Informáticos”

“Recuperación de Datos de Unidad ‘Ú’”

2. Para la operación y desarrollo de sus actividades sustantivas, administrativas y financieras,

el órgano político-administrativo contó con el Sistema de Planeación de Recursos

Gubernamentales (SAP-GRP), cuyas políticas y lineamientos de seguridad fueron establecidos

por la Secretaría de Finanzas de la Ciudad de México (SEFIN) como autoridad administradora

del sistema.

Con base en lo anterior, se elaboró una matriz de control para evaluar si los mecanismos

establecidos hicieron factible la administración de los riesgos y se determinó que el sujeto

fiscalizado contó con tres procedimientos para prevenir, minimizar y responder a los riesgos

que pudieran afectar el cumplimiento y logro de sus objetivos, en particular, la eficacia y

eficiencia de las operaciones del rubro sujeto a revisión.

10

Información y Comunicación

Respecto a si el sujeto fiscalizado tuvo mecanismos de comunicación interna que permitan que

la información que se genera al exterior sea apropiada, oportuna, actualizada exacta y

accesible, así como para comunicar internamente al personal los objetivos y responsabilidades,

se observó lo siguiente:

1. En 2017, el órgano político-administrativo difundió su manual administrativo registrado

con el núm. MA-10/290716-OPA-MIH-5/180116, mediante 10 oficios, y en el portal de

transparencia de su página de internet para consulta de sus servidores públicos.

2. En 2017, el sujeto fiscalizado contó con unidades administrativas que se encargaron

de generar la información requerida para el cumplimiento de sus obligaciones en materia de

contabilidad gubernamental, fiscalización y rendición de cuentas, y con el SAP-GRP

para gestionar la información relativa a los recursos humanos, financieros y presupuestales

con unidades administrativas externas, así como con la información generada respecto a

la operación de la gobernanza TIC, por medio de la Subdirección de Tecnologías de la

Información, adscrita a la Dirección General de Administración Delegacional.

Con base en lo anterior, se determinó que el sujeto fiscalizado difundió e incorporó el manual

administrativo registrado con el núm. MA-10/290716-OPA-MIH-5/180116 y lo incorporó en

el portal de transparencia de su página de internet para consulta de sus servidores públicos y

generó información para el cumplimiento de sus obligaciones.

Supervisión

Con relación a si se encuentran identificados los tramos de control y supervisión en los

diferentes niveles jerárquicos para el cumplimiento de los objetivos del sujeto fiscalizado,

se identificó que en términos generales, en los tres procedimientos establecidos en su manual

administrativo registrado por la CGMA aplicables al rubro sujeto a revisión, se encuentran

plasmados los tramos de control y supervisión.

Como resultado del estudio y evaluación del control interno establecido por el sujeto fiscalizado,

una vez recopilada y analizada la información general de las áreas y operaciones sujetas

11

a revisión, a partir del flujo general de las actividades, de los objetivos específicos y mecanismos

de control identificados en cada proceso, así como de la respuesta al cuestionario de control interno

aplicado, se elaboró una matriz de control para evaluar si los mecanismos establecidos

hicieron factible la administración de los riesgos de irregularidades e ineficiencias y si disminuyeron

las debilidades detectadas, y se determinó que el control interno fue apropiado para administrar

los riesgos de irregularidades e ineficiencias a que estuvieron expuestas las actividades y

el cumplimiento de los objetivos del sujeto fiscalizado relacionados con el marco normativo de

gobernanza TIC.

Tanto la ASCM como la CGCDMX no han practicado auditorías al Marco Normativo de

Gobernanza de Tecnologías de la Información y Comunicaciones del sujeto fiscalizado.

Lo anterior, toda vez que de la evaluación del control interno se determinó que el sujeto

fiscalizado propició un ambiente de control que implica una actitud de respaldo hacia el

control interno; consideró los ejes estratégicos asociados a su mandato legal y alineados

al PGDDF; reunió las bases para desarrollar respuestas al riesgo que permiten administrarlo y

controlarlo; contó con procedimientos que permiten prevenir, minimizar y responder a los

riesgos que pudieran afectar el cumplimiento y logro de sus obligaciones y se encuentran

identificados los tramos de control y supervisión en los diferentes niveles jerárquicos para

el cumplimiento de los objetivos del sujeto fiscalizado.

Gobernanza TIC

2. Resultado

Según la Organización Internacional de Entidades Fiscalizadoras INTOSAI, la gobernanza

de TIC puede considerarse como “el marco general que guía las operaciones TIC en una

organización para asegurar que satisface las necesidades de la empresa en el día a día

y que incorpora planes para el crecimiento y futuras necesidades. Es parte de la gestión y

comprende el liderazgo organizacional, las estructuras y procesos institucionales y otros

mecanismos (cumplimiento, recursos, informes y retroalimentación, etc.) que aseguran

que los sistemas de TIC puedan sostener las metas y estrategias organizacionales equilibrando

los riesgos y gestionando eficazmente los recursos. La gobernanza de TIC desempeña

12

un papel clave en la determinación del entorno de control y construye las bases para

establecer prácticas sólidas de control interno e informar a niveles funcionales para la

supervisión y revisión de la administración”.

A fin de constatar que el órgano político-administrativo haya implementado y ejecutado las

políticas de gobernanza TIC establecidas por la OM, acordes con los controles generales

alineados con la normatividad y buenas prácticas TIC aplicables, así como participar en el

Comité de Gobierno Electrónico de la Ciudad de México, el 26 de noviembre de 2018 se

realizó una entrevista a servidores públicos de la Subdirección de Tecnologías de la Información,

adscrita a la Dirección General de Administración Delegacional, así como inspecciones físicas,

para verificar que la Alcaldía haya cumplido con lo establecido en la Normatividad en materia

de Administración de Recursos para las Delegaciones de la Administración Pública del

Distrito Federal, Circular Uno Bis 2015, la Ley de Gobierno Electrónico del Distrito Federal,

lo dispuesto por la OM y demás normatividad relativa a la gobernanza TIC, vigente en 2017. Al

respecto, se determinó lo siguiente:

1. En su manual administrativo con registro núm. MA-10/290716-OPA-MIH-5/180116,

el órgano político-administrativo contó con tres procedimientos TIC y con 27 políticas

de TIC internas, todos vigentes en 2017, de acuerdo con lo siguiente:

a) Del análisis a la información proporcionada por el sujeto fiscalizado se determinó

que tres procedimientos se ajustaron con lo establecido en la Normatividad en materia de

Administración de Recursos para las Delegaciones de la Administración Pública del

Distrito Federal (Circular Uno Bis 2015), vigente en 2017. Asimismo, se verificó

que dos procedimientos y veintisiete políticas de TIC internas se ajustan a las Normas

Generales que deberán Observarse en materia de Seguridad de la Información en

la Administración Pública del Distrito Federal, publicadas en la Gaceta Oficial del

Distrito Federal el 9 de julio de 2007, vigente en 2017.

b) Se verificó que los tres procedimientos y veintisiete políticas de TIC internas, se

alinearon con los controles generales de TIC que especifica la INTOSAI en el WGITA-IDI

Handbook on IT Audit for Supreme Audit Institutions (Manual del Grupo de Trabajo en

Auditoría TIC de la Iniciativa de Desarrollo de la INTOSAI, sobre Auditoría TIC para

13

Instituciones Superiores de Auditoría) de 2014 y en la ISSAI 5300 “Directrices

sobre Auditoría de TIC” de 2016, ambas publicadas, aprobadas y autorizadas por

dicha organización internacional.

Los procedimientos y políticas de TIC internas, aplicados por el órgano político-

administrativo, se muestran en la siguiente tabla:

Procedimiento o política interna de TIC Circular Uno Bis Normas

generales Handbook on IT Audit

Procedimientos manual administrativo

“Alta en Sistemas de Gestión” X X X

“Desarrollo de Sistemas Informáticos” X X X

“Recuperación de Datos de Unidad ‘Ú’” X X

Políticas TIC internas: “Políticas de seguridad de la información”

Política de estructura organizacional de seguridad de la información

X X

Política para uso de dispositivos móviles X X

Política para uso de conexiones remotas X X

Política de desvinculación, licencias, vacaciones, o cambio de labores de los funcionarios y personal provisto por terceros

X X

Políticas de gestión de activos de información X X

Política de uso de periféricos y medios de almacenamiento X X

Política de control de acceso X X

Política de administración de acceso de usuarios X X

Política de uso de privilegios de administración X X

Política de control de acceso a sistemas y aplicativos X X

Política de seguridad para los equipos institucionales X X

Política de protección frente a software malicioso X X

Políticas TIC internas: “Políticas y lineamientos para el uso de bienes y servicios informáticos”

Equipo de Cómputo X X

Impresoras, Escáneres y multifuncionales X X

Requerimientos mínimos para buen uso de consumibles X X

Software X X

Restricción de software X X

Antivirus X X

Respaldos de información X X

Redes de cómputo X X

Uso de internet X X

Sistemas informáticos y Bases de Datos X X

Site X X

Cuenta Gmail X X

Definición de violaciones y sanciones X X

Responsabilidades de los usuarios X X

Control cambios X X

14

Asimismo, del análisis a las respuestas del cuestionario y a las entrevistas realizadas

al personal de la Subdirección de Informática, se constató que el sujeto fiscalizado contó

con procedimientos y políticas TIC internas, por tanto, se determinó que el órgano político-

administrativo dio cumplimiento al artículo 9, fracción II, de la Ley de Gobierno

Electrónico del Distrito Federal, publicada en la Gaceta Oficial del Distrito Federal el

7 de octubre de 2015, vigente en 2017.

2. Mediante el oficio núm. JDMH/2016/OF/066 del 11 de abril de 2016, se verificó que

en 2017 el órgano político-administrativo designó al Subdirector de Tecnologías de la

Información como vocal ante la Comisión de Gobierno Electrónico de la Ciudad de México.

Se determinó que el sujeto fiscalizado tuvo procedimientos relativos a la gobernanza y

gestión de TIC en su manual administrativo y con políticas TIC internas. Asimismo, contó

con un vocal ante la Comisión de Gobierno Electrónico de la Ciudad de México.

Desarrollo y Adquisición de TIC

3. Resultado

De acuerdo con la Normatividad en materia de Administración de Recursos para las

Delegaciones de la Administración Pública del Distrito Federal (Circular Uno Bis 2015),

vigente en 2017, el Plan Estratégico de Tecnologías de la Información y Comunicaciones

(PETIC) es el instrumento de planeación estratégica del desarrollo de las tecnologías de la

información y comunicaciones que deberán realizar las Delegaciones de la Administración

Pública para alinear las acciones y proyectos en materia de informática al PGDDF. Es el

fundamento para la adquisición y arrendamiento de bienes y servicios informáticos y deberá

registrarse ante la Dirección General de Gobernabilidad de Tecnologías de la Información

y Comunicaciones de la Oficialía Mayor (DGGTIC) con el propósito de que se fundamenten

técnicamente las adquisiciones, conforme a las políticas, normas, lineamientos y procedimientos

que para tal efecto emita la Dirección citada.

Con la finalidad que el sujeto fiscalizado haya aplicado y desempeñado la normatividad

relativa a desarrollo y adquisición de TIC establecidas por la OM y demás normatividad de

TIC aplicable, mediante el oficio núm. ACF-B/18/0652 del 2 de julio de 2018, la ASCM

15

solicitó al sujeto fiscalizado la respuesta al cuestionario de TIC, la cual fue proporcionada

con el oficio núm. DMH/DESI/SRF/1152/2018 del 13 de julio de 2018. Al respecto, se determinó

lo siguiente:

1. El órgano político-administrativo no registró, ni sometió para su aprobación el PETIC;

así como, tampoco informó sobre las adquisiciones ante la DGGTIC, por lo que incumplió los

numerales 9.3.3, 9.3.4, 9.3.5, 9.4.16 y 9.4.17, del punto 9, “Tecnologías de la Información y

Comunicaciones de la Administración Pública del Distrito Federal”, correspondiente a


Administración Pública del Distrito Federal (Circular Uno Bis 2015), vigente en 2017,

que establece lo siguiente:

“9.3.3 El PETIC, es el instrumento de planeación estratégica del desarrollo de las

tecnologías de la información y comunicaciones que deberán realizar las Delegaciones de

la APDF para alinear las acciones y proyectos en materia de informática al Programa

General de Desarrollo del Distrito Federal (PGDDF), en concordancia con el modelo

de Gobierno Electrónico contenido en el MEITIC. En el PETIC se referenciarán claramente

las acciones en materia de informática con el soporte hacia las acciones o políticas

del PGDDF.

”9.3.4 El PETIC es el fundamento para la adquisición y arrendamiento de bienes y

servicios informáticos que realicen las Delegaciones. El PETIC deberá ser registrado

ante la DGGTIC con el propósito de que se fundamenten técnicamente las mencionadas

adquisiciones del ejercicio presupuestal.

”9.3.5 Las Delegaciones, a más tardar en el mes de febrero del año en curso, deberán

registrar el PETIC ante la DGGTIC y someterlo a su consideración para su aprobación. El

PETIC deberá realizarse conforme a las políticas, normas, lineamientos y procedimientos

que para tal efecto emita la DGGTIC, asimismo se deberá informar a la DGGTIC

mediante oficio la conclusión del registro del mismo, así como las modificaciones que

sufra a lo largo de su periodo de validez.

”9.4.16 El Informe de Adquisición es el documento que deben presentar las Delegaciones a

través de las DGAD a la DGGTIC, cuando se hayan adquirido bienes o servicios informáticos

16

que han requerido o no dictamen técnico de la DGGTIC conforme a los numerales

anteriores. Dicho informe deberá presentarse con base en los formatos y medios que

para tal efecto sean definidos por la DGGTIC, conforme se publique en la página web

de la OM. Los requisitos para realizar el registro del Informe de Adquisición son los siguientes:

”I.- Ser enviado a la DGGTIC por el Vocal ante la CGEDF;

”II.- Requisitar los formatos establecidos de acuerdo al tipo de bien informático del que

se trata;

”III.- Realizar el registro de los datos del proveedor: Nombre o razón social, domicilio,

RFC, así como la descripción de bienes y costo total de la adquisición.

”9.4.17 Es obligatorio que las Delegaciones registren el Informe de Adquisición ante la

DGGTIC una vez que hayan llevado a cabo la formalización de la adquisición de algún bien

o servicio informático en un lapso no mayor de 30 días hábiles posteriores a la firma

del contrato.”

Asimismo, se verificó que el sujeto fiscalizado haya realizado los dictámenes técnicos

sobre las adquisiciones realizadas ante la DGGTIC; mediante los oficios

núms. OM/DGGTIC/243/2017, OM/DGGTIC/245/2017 del 29 de junio,

OM/DGGTIC/DEGEPTIC/191/2017 del 7 agosto, OM/DGGTIC/DEGEPTIC/271/2017

del 20 de octubre, OM/DGGTIC/DEGEPTIC/304/2017 del 13 de noviembre

y OM/DGGTIC/DEGEPTIC/164/2016 del 15 de noviembre, todos de 2017, la DGGTIC

proporcionó los Dictámenes Técnicos favorables “Licencias de Google G-Suites”, “Licencias

de Antivirus”, “Licencias de uso de programa de cómputo”, “Servicio de Administración

Documental”, “Servicio de Telefonía por VoIP” y “Actualización de licencia de firewall”,

respectivamente, en cumplimiento de la Normatividad en materia de Administración

de Recursos para las Delegaciones de la Administración Pública del Distrito Federal

(Circular Uno Bis 2015) y de la Ley de Gobierno Electrónico del Distrito Federal, ambas

vigentes en 2017.

En la reunión de confronta, celebrada el 14 de febrero de 2019, el Director General de

Administración de la Alcaldía Miguel Hidalgo, en representación del titular del órgano

político-administrativo, mediante el oficio núm. AMH/DGA/252/2019 del 13 de febrero

17

de 2019, proporcionó el oficio núm. DMA/JCRH/093/2019 del 8 de febrero de 2019,

donde el Director de Modernización Administrativa del sujeto fiscalizado anexó el oficio

núm. DMA/LFGF/064/2018 del 12 de marzo de 2018, con el que envió el Informe de

Adquisiciones 2017.

De lo anterior, se observó que la Alcaldía Miguel Hidalgo envió el Informe de Adquisiciones

2017 a la DGGTIC con sello de recibo del 13 de marzo de 2018, por lo que tuvo un

desfase de 378 días naturales, por lo que la presente observación no se modifica.

2. Con objeto de verificar que el sujeto fiscalizado haya implementado y ejecutado en sus sitios

web el marco normativo de gobernanza de TIC, se realizaron inspecciones físicas y

pruebas sustantivas informáticas al centro de datos y al servidor; y se verificó que

el sitio web oficial del sujeto fiscalizado está hospedado en un servidor, que se encuentra en el

centro de datos del órgano político-administrativo. Sin embargo, se observó que el nombre de

dominio del sitio web es https://alcaldia.miguelhidalgo.gob.mx/, por lo anterior el sujeto

fiscalizado incumplió el numeral 9.6.8 de la Normatividad en materia de Administración de

Recursos para las Delegaciones de la Administración Pública del Distrito Federal

(Circular Uno Bis 2015), vigente en 2017, que establece:

“9.6.8 Todos los Sitios de Internet de la APDF deberán responder a un subdominio del

dominio “.df.gob.mx” y del dominio que indique la CGCS conforme a la imagen institucional.”




de 2019, proporcionó el oficio núm. DMA/JCRH/093/2019 del 8 de febrero de 2019, donde

el Director de Modernización Administrativa del sujeto fiscalizado anexó el oficio

núm. DMA/JCRH/101/2018 del 8 de febrero de 2019, en el que solicitó la colaboración

al Titular de la Agencia Digital de Innovación Pública para dar cumplimiento a la

normatividad mencionada.

De lo anterior, se observó que la Alcaldía Miguel Hidalgo solicitó la colaboración al

Titular de la Agencia Digital de Innovación Pública para cumplir la normatividad mencionada,

teniendo sello de recibo del 11 de febrero de 2019, por lo que la presente observación

no se modifica.

18

3. Se realizó la inspección al sitio web y pruebas electrónicas y se observó lo siguiente:

a) Acceso a la información de cada trámite y servicio en un máximo de 3 pasos.

b) No contó con un apartado especial para trámites y servicios en el menú de navegación

principal del sitio.

c) Recuadro de información general sobre trámites y servicios.

d) Los datos de contacto están siempre visibles en todas las páginas de trámites y servicios.

e) Careció de un listado de los trámites y servicios más solicitados.

Todas las ligas estaban funcionando y las páginas tenían información.

Por carecer de un apartado especial para trámites y servicios en el menú de navegación

principal y un listado de los trámites y servicios más solicitados, el órgano político-

administrativo incumplió la sección VI “Apartado para Trámites y Servicios en los

Sitios Web de las Delegaciones” del Manual de Identidad Gráfica de las Unidades de

Atención Ciudadana vigente en 2017, que establece:

“… las delegaciones deben enfocar sus esfuerzos en brindar al ciudadano los elementos

necesarios para la realización de trámites y servicios, a través de elementos gráficos y

contenidos homogéneos.

”En este apartado se establecen los lineamientos de estructura para las páginas de

internet en las secciones donde se publiquen los trámites y servicios de los sitios web

de las Delegaciones Políticas del Distrito Federal.

”Apartado de Menú de navegación: Incluir siempre un apartado especial para trámites

y servicios en el menú de navegación principal del sitio.

”Apartado de Trámites y Servicios: Con base en las estadísticas de acceso a los trámites y

servicios más visitados del portal, así como a los reportes de la VUD y CESAC sobre

los trámites y servicios más solicitados, deberá ubicarse un listado de 5 a 10 trámites

y 5 a 10 servicios.”

19




de 2019, proporcionó el oficio núm. DMA/JCRH/093/2019 del 8 de febrero de 2019, donde

el Director de Modernización Administrativa del sujeto fiscalizado anexó los oficios

núms. OM/CGMA/2393/2017 del 13 de diciembre de 2017 y OM/CGMA/0291/2018 del

26 de febrero de 2018, donde informa que cumplió la normatividad mencionada.

De lo anterior, se constató que la Alcaldía Miguel Hidalgo incumple la normatividad

mencionada, por lo que la presente observación no se modifica.

Por lo anterior, se concluye que el sujeto fiscalizado realizó solicitudes de dictamen técnico, a la

DGGTIC; sin embargo, no registró, ni sometió para su aprobación el PETIC; así como,

informó sobre las adquisiciones ante la DGGTIC con desfase de 378 días naturales, además el

sitio web no responde a un subdominio del dominio “.df.gob.mx”; y el sitio web del órgano

político-administrativo careció de un listado de trámites y servicios más solicitados, y de

un apartado especial para trámites y servicios en el menú de navegación principal del sitio, por

lo que no se otorgó de manera efectiva el servicio a la ciudadanía.

Recomendación ASCM-84-17-1-MH

Es necesario que la Alcaldía Miguel Hidalgo establezca mecanismos de supervisión para

asegurarse de registrar y someter para su aprobación el Plan Estratégico de Tecnologías

de la Información y Comunicaciones; así como, informar de las adquisiciones ante la Dirección

General de Gobernabilidad de Tecnologías de la Información y Comunicaciones, establecido en

la Circular Uno Bis 2015.



asegurarse de observar que el sitio de internet de la Administración Pública del Distrito

Federal responda a un subdominio del dominio “.df.gob.mx” y del dominio que indique la

Coordinación General de Comunicación Social de la Oficialía Mayor conforme a la imagen

institucional de la Ciudad de México, en el plazo establecido en la Circular Uno Bis 2015.

20



asegurarse de contar con un apartado especial para trámites y servicios en el menú de

navegación principal, así como con un listado de los trámites y servicios más solicitados,

de acuerdo con lo establecido en el Manual de Identidad Gráfica de las Unidades de

Atención Ciudadana.

Continuidad del Servicio y Recuperación de Desastres

4. Resultado

De acuerdo con la Normatividad en materia de Administración de Recursos para las

Delegaciones de la Administración Pública del Distrito Federal (Circular Uno Bis 2015),

vigente en 2017, al planear la continuidad de las operaciones, desde un inicio se deben

identificar y especificar los requerimientos y controles de seguridad de la información, así

como asegurar la coordinación con el personal del sujeto fiscalizado y los contactos externos que

participarán en las estrategias de planificación de contingencias, asignando funciones para

cada actividad definida, con el objetivo de minimizar la interrupción de las operaciones y

proteger los procesos que se consideren críticos de los efectos de fallas importantes de

los sistemas de información o desastres, para asegurar su reanudación oportuna.

Con la finalidad de verificar que el sujeto fiscalizado haya acreditado tener planes de

mantenimiento correctivo y preventivo a la infraestructura TIC, conforme a lo establecido

con el marco normativo de gobernanza TIC, el 26 de noviembre de 2018, la ASCM entrevistó a

servidores públicos adscritos a la Subdirección de Informática del sujeto fiscalizado, y realizó

inspecciones físicas, según lo asentado en el acta circunstanciada núm. ACF-B/84-17/18/01 de la

misma fecha. Además, mediante el oficio núm. ACF-B/18/0652 del 2 de julio de 2018, se

envió el cuestionario de TIC, del cual el sujeto fiscalizado proporcionó respuesta mediante

el oficio núm. DMH/DESI/SRF/1152/2018 del 13 de julio de 2018.

De lo anterior, se desprende que el sujeto fiscalizado acreditó disponer de un documento

detallado de las actividades relacionadas con el mantenimiento a la infraestructura tecnológica,

por lo que cumplió el artículo 13, objetivo del apartado 11, “Continuidad de las Operaciones”, de

21

las Normas Generales que deberán Observarse en materia de Seguridad de la Información en

la Administración Pública del Distrito Federal.

Con el objetivo de verificar que el órgano político-administrativo haya incorporado y

utilizado las políticas de continuidad del servicio y recuperación de desastres establecidas

por la OM, y que los servicios electrónicos proporcionados por el sujeto fiscalizado reflejen

la implementación y ejecución del marco normativo de gobernanza TIC, a fin de que la

infraestructura tecnológica del órgano político-administrativo proporcione servicio de manera

ininterrumpida a la ciudadanía, en alineación con las mejores prácticas y estándares de TIC

aplicables, se realizaron inspecciones físicas y pruebas sustantivas informáticas al centro de

datos y a la infraestructura tecnológica, para lo cual se determinó una muestra para

verificar de la siguiente manera:

Número de equipos en la infraestructura TIC utilizada para servicios ciudadanos de la Alcaldía

Universo Muestra

Centro de datos

VUD CESAC Sitio web Centro

de datos VUD CESAC Sitio web

8 15 7 1 4 8 4 1

De su revisión, se determinó lo siguiente:

1. Se identificó que el órgano político-administrativo dispone de un centro de datos que

opera con ocho servidores físicos, del cual se seleccionaron cuatro servidores acordes con

las muestras de auditoria que tienen las siguientes características técnicas:

Servidor Marca

y modelo Procesador Arquitectura

Velocidad del reloj

Núcleos Memoria

caché

Tamaño memoria

RAM

Tamaño de disco

duro Uso

Sistema operativo

UDR, VUD, CRM

Dell Power Edge R710

Intel Xeon 64 bits 2.6 GHz 24 12 Mb 16 GB 1 TB Aplicativos, ventanilla única, UDR (aplicativos PHP), CRM

SUSE Linux

Bolsa de trabajo y reportes crm


Intel Xeon 64 bits 2.6 GHz 24 12 Mb 16 GB 1 TB Bolsa de trabajo y reportes crm

Red Hat Enterprise Linux

Base de datos MySQL


Intel Xeon 64 bits 2.6 GHz 24 12 Mb 16 GB 1 TB Base de datos MySQL

Suse Linux

Página web Dell Power Edge R710

Intel Xeon 64 bits 2.6 GHz 24 12 Mb 16 GB 1 TB Página web Ubuntu

22

Por contar con un centro de datos que le permitió aprovechar al máximo el uso de TIC

y generar las mejores condiciones de comunicación con los ciudadanos, el sujeto

fiscalizado cumplió lo establecido en el artículo 35, fracción II, de la Ley de Gobierno

Electrónico del Distrito Federal, vigente en 2017.

Asimismo, de la entrevista a los servidores públicos adscritos a la Subdirección de Informática

del órgano político-administrativo, así como de las inspecciones físicas realizadas y

formalizadas en el acta circunstanciada núm. ACF-B/84-17/18/1 del 26 de noviembre

2018, se observó que el centro de datos tuvo energía eléctrica polarizada y aterrizada

para evitar que la infraestructura de TIC sufra daños en caso de alguna situación adversa, en

cumplimiento de lo establecido en el artículo 13, objetivo del apartado 6.2, “Seguridad

del Equipamiento”, de las Normas Generales que deberán Observarse en materia de

Seguridad de la Información en la Administración Pública del Distrito Federal, vigentes

en 2017 y se alineó con la norma BICSI (Building Industry Consulting Service International,

por sus siglas en inglés, Servicio de Consultoría de la Industria de Construcción Internacional)

en su apartado 9.9.1.

Se verificó que el órgano político-administrativo contó con el documento denominado

“Plan de Recuperación en caso de Desastre”, que está orientado a la detección y evaluación

de incidentes y daños, y dispuso de una política interna en materia de gobernanza de

TIC referente a la realización de respaldos de la información para generar copias de seguridad

de sistemas, aplicaciones, datos y documentación de acuerdo con una planificación definida,

lo que disminuye el riesgo de interrupción en la continuidad del servicio, por lo que el sujeto

fiscalizado cumplió el numeral 11.1.1, “Planeación de la Continuidad de las Operaciones”

de las Normas Generales que deberán observarse en materia de Seguridad de la Información

en la Administración Pública del Distrito Federal, vigente en 2017, y se alineó a las mejores

prácticas de Control Objectives for Information and related Technology (COBIT 5), en

el control DSS04.07.

El sujeto fiscalizado contó con una herramienta de monitoreo de redes denominada

NAGIOS que vigila los equipos (hardware) y servicios (software), así como los servidores,

enrutadores y enlaces, a fin de detectar actividades no autorizadas y, en su caso,

23

procedimientos formales para que de forma periódica se revisen las bitácoras de

auditoría de los recursos críticos de TIC.

2. De la muestra de auditoría se analizaron cuatro equipos utilizados en el Centro de

Servicios y Atención Ciudadana (CESAC), y ocho en la Ventanilla Única Delegacional

(VUD), cuyas características técnicas son las siguientes:

Equipos en VUD

Equipos de cómputo Procesador Memoria RAM Disco Duro

Marca / Modelo Procesador Arquitectura Velocidad de reloj

Núcleos Memoria caché

Tamaño Tipo Velocidad Tamaño Interfaz RPM Velocidad de transferencia

Lenovo 10GSA0PWLS.

Intel Core i3-6300 64 bits 3.8 GHz 2 4 MB 4 GB DDR4 1200.5 MHz 500 GB SATA 7200 6 Gbps

Lenovo 10GSA0PWLS.


Lenovo

10GSA0PWLS.

Intel Core

i3-6300 64 bits 3.8 GHz 2 4 MB 4 GB DDR4 1200.5 MHz 500 GB SATA 7200 6 Gbps

Lenovo 10GSA0PWLS.


Lenovo 10GSA0PWLS.


Lenovo 10GSA0PWLS.


Lenovo 10GSA0PWLS.


Lenovo 10GSA0PWLS.


RPM: Revoluciones por minuto.

Equipos en CESAC

Equipos de cómputo Procesador Memoria RAM Disco Duro

Marca / Modelo Procesador Arquitectura Velocidad del reloj

Núcleos Memoria caché

Tamaño Tipo Velocidad Tamaño Interfaz RPM Velocidad de transferencia

Lenovo 10GSA0PWLS


Lenovo 10GSA0PWLS


Lenovo 10GSA0PWLS


Lenovo 10GSA0PWLS


RPM: Revoluciones por minuto.

Con la finalidad de verificar que los equipos de VUD y CESAC tuvieran energía eléctrica

polarizada y aterrizada que permitiera evitar daños en los equipos, se entrevistó a los servidores

públicos adscritos a la Subdirección de Informática del órgano político-administrativo, y se

realizó una inspección física, formalizadas mediante acta circunstanciada núm. ASCM/84-17/18/03

del 8 de enero de 2019; de lo anterior se desprende que el órgano político-administrativo tuvo

24

energía eléctrica polarizada y aterrizada en los equipos, en cumplimiento del artículo 13,

numeral 6, subnumeral 6.2, “Seguridad del Equipamiento”, de las Normas Generales que

deberán observarse en materia de Seguridad de la Información en la Administración Pública del

Distrito Federal, vigentes en 2017.

Por lo anterior, se determinó que el sujeto fiscalizado contó con un centro de datos que le

permite aprovechar al máximo el uso de TIC y generar las mejores condiciones de comunicación

con los ciudadanos; además de un plan de recuperación de desastres, con energía eléctrica

polarizada y aterrizada para evitar que la infraestructura de TIC sufra daños en caso de

alguna situación adversa; contó con una herramienta de monitoreo que le permita supervisar los

recursos críticos de TIC, así como la realización de mantenimiento preventivo y correctivo

a los equipos de cómputo. Asimismo, dispuso de un plan de mantenimiento preventivo y

correctivo de la infraestructura tecnológica que ayude en minimizar las interrupciones de

las operaciones.

Seguridad de la Información

5. Resultado

De acuerdo con la Information Systems Audit and Control Association (ISACA), la seguridad de la

información es “la protección de activos de información, a través del tratamiento de amenazas

que ponen en riesgo la información que es procesada, almacenada y transportada por los

sistemas de información que se encuentran interconectados”.

De acuerdo con las Normas Generales que deberán observarse en materia de Seguridad

de la Información en la Administración Pública del Distrito Federal, el objetivo de una política de

seguridad es establecer, desde el más alto nivel de la administración, la relevancia, el soporte, el

compromiso y la comunicación a todos los empleados y terceros con los que interactúa,

en relación con la seguridad de la información, en consideración de los requerimientos

institucionales y el marco normativo aplicable.

Con la finalidad de verificar que el órgano político-administrativo haya establecido y aplicado las

políticas de seguridad de TIC señaladas por la OM para salvaguardar los bienes informáticos y la

información gestionada, de acuerdo con los estándares, buenas prácticas y normas de TIC

25

aplicables, el 26 de noviembre de 2018, la ASCM realizó inspecciones físicas y una entrevista a

servidores públicos adscritos a la Subdirección de Informática del órgano político-

administrativo, como se asentó en el acta circunstanciada núm. ASCM/84-17/18/01 de la misma

fecha; además, mediante el oficio núm. ACF-B/18/0652 del 2 de julio de 2018, se aplicó

al sujeto fiscalizado el cuestionario de TIC, al cual dio respuesta con el oficio

núm. DMH/DESI/SRF/1152/2018. Al respecto, se determinó lo siguiente:

1. De las respuestas al cuestionario, se observó que el sujeto fiscalizado contó con los

documentos referentes a políticas de seguridad de la información, denominados “Políticas de

Seguridad de la Información” y “Políticas y Lineamientos para el uso de bienes y servicios

informáticos”, los cuales son de uso interno y se sujetan a lo establecido en las

Normas Generales que deberán Observarse en materia de Seguridad de la Información en

la Administración Pública del Distrito Federal, vigentes en 2017.

2. Como resultado de las inspecciones físicas a la infraestructura tecnológica del órgano

político-administrativo, se observó que en el CESAC y la VUD no tuvieron una política

documentada de escritorio limpio y pantalla limpia, lo que puede derivar en un riesgo

de accesos no autorizados a tales equipos, por lo que incumplió el artículo 13,

apartado 8.3, “Responsabilidad de Usuarios”, numeral 8.3.2, “Escritorio limpio y pantalla

limpia”, de las Normas Generales que deberán observarse en materia de Seguridad de la

Información en la Administración Pública del Distrito Federal, vigentes en 2017, que establecen:

“Artículo 13. Cuando el personal no se encuentre en su área de trabajo o se aleje por

un tiempo considerable, no debe dejar al alcance información sensible o confidencial

en cualquier forma (papel, dispositivos de memoria removibles, monitores de computadoras,

entre otros).

”Numeral 8.3.2 Se debe establecer una política de escritorio y monitor limpios para

reducir el riesgo de accesos y divulgación no autorizados, pérdida y daño de información.”


Administración de la Alcaldía Miguel Hidalgo, en representación del titular del órgano político-

administrativo, mediante el oficio núm. AMH/DGA/252/2019 del 13 de febrero de 2019, proporcionó

el oficio núm. DMA/JCRH/093/2019 del 8 de febrero de 2019, donde el Director de Modernización

26

Administrativa del sujeto fiscalizado informó “que sean las áreas de referencia las que atiendan la

solicitud de información.”

De lo anterior, se observó que la Alcaldía Miguel Hidalgo, careció de una política documentada de

escritorio limpio y pantalla limpia, por lo que la presente observación no se modifica.

Por lo anterior, se concluye que el sujeto fiscalizado acreditó disponer de políticas de seguridad de

la información; sin embargo, careció de una política de escritorio limpio y pantalla limpia.



asegurarse de contar con una política documentada de escritorio limpio y pantalla limpia,

establecido en las Normas Generales que deberán observarse en materia de Seguridad

de la Información en la Administración Pública del Distrito Federal.

RESUMEN DE OBSERVACIONES Y ACCIONES

Se determinaron cinco resultados, que generaron cuatro observaciones, las cuales corresponden

a cuatro recomendaciones.

La información contenida en el presente apartado refleja las acciones derivadas de las

auditorías que hasta el momento se han detectado por la práctica de pruebas y procedimientos

de auditoría; sin embargo, podrían sumarse observaciones y acciones adicionales a las

señaladas, producto de los procesos institucionales, de la recepción de denuncias, y de

las funciones de investigación y sustanciación a cargo de esta entidad de fiscalización

superior de la Ciudad de México.

JUSTIFICACIONES Y ACLARACIONES

La documentación proporcionada a esta entidad de fiscalización superior de la Ciudad

de México por el sujeto fiscalizado en la reunión de confronta fue analizada con el fin de

determinar la procedencia de desvirtuar o modificar las observaciones incorporadas por

la Auditoría Superior de la Ciudad de México en el Informe de Resultados de Auditoría para

27

Confronta, cuyo resultado se plasma en el presente Informe Individual que forma parte del

Informe General Ejecutivo del Resultado de la Fiscalización Superior de la Cuenta Pública

de la Ciudad de México.

En atención a las observaciones señaladas, el sujeto fiscalizado remitió el oficio

núm. AMH/DGA/252/2019 del 13 de febrero de 2019, mediante el cual presentó información y

documentación con el propósito de atender lo observado; no obstante, derivado del análisis

efectuado por la unidad administrativa de auditoría a la información y documentación

proporcionadas por el sujeto fiscalizado, se advierte que los resultados tres y cinco se

consideran no desvirtuados.

PERSONAS SERVIDORAS PÚBLICAS A CARGO DE REALIZAR LA AUDITORÍA

En cumplimiento del artículo 36, párrafo decimotercero, de la Ley de Fiscalización Superior

de la Ciudad de México, se enlistan los nombres y cargos de las personas servidoras públicas de

la Auditoría Superior de la Ciudad de México involucradas en la realización de la auditoría:

Persona servidora pública Cargo

Fase de planeación

Mtro. Sergio Jesús González Muñoz Director General

Mtro. Édgar Alan Apantenco Belmont Director “C” de Auditoría

Mtro. Fidel López Gaona Subdirector de Área

L.A. Jorge Alejandro Jurado Rentería Jefe de Unidad Departamental

C.P. Víctor Erik Briseño Sánchez Auditor Fiscalizador “C”

Fases de planeación y ejecución

L.C. María Guadalupe Xolalpa García Encargada del Despacho de la Dirección General

Mtro. Fidel López Gaona Subdirector de Área



Confronta y fase de elaboración de informes

C.P. Adriana Julián Nava Directora General

Lic. Jaime Mundo Ortega Director “C” de Auditoría

Lic. Juan José Vera Figueroa Subdirector de Área



CXLV. I A R C P C M E · y buenas prácticas TIC aplicables, así como si participó en el Comité...

Documents

Transcript of CXLV. I A R C P C M E · y buenas prácticas TIC aplicables, así como si participó en el Comité...