Post on 03-Feb-2020
CXLV. INFORME INDIVIDUAL DE AUDITORÍA,
DERIVADA DE LA REVISIÓN DE LA CUENTA PÚBLICA
DE LA CIUDAD DE MÉXICO CORRESPONDIENTE
AL EJERCICIO DE 2017
1
ÓRGANO POLÍTICO-ADMINISTRATIVO
ALCALDÍA MIGUEL HIDALGO
(ANTES DELEGACIÓN MIGUEL HIDALGO)
AUDITORÍA DE CUMPLIMIENTO CON ENFOQUE EN TECNOLOGÍAS
DE LA INFORMACIÓN Y COMUNICACIONES
Marco Normativo de Gobernanza de Tecnologías
de la Información y Comunicaciones
Auditoría ASCM/84/17
FUNDAMENTO LEGAL
La auditoría se llevó a cabo con fundamento en los artículos 122, apartado A, fracción II,
sexto y séptimo párrafos, en relación con el 74, fracción VI; y 79 de la Constitución Política de
los Estados Unidos Mexicanos; 42, fracción XIX; y 43 del Estatuto de Gobierno del Distrito
Federal; 10, fracción VI, de la Ley Orgánica de la Asamblea Legislativa del Distrito Federal; 1; 2,
fracciones XIII y XLI, inciso a); 3; 8, fracciones I, II, IV, VI, VII, VIII, IX y XXVI; 9; 10, incisos a)
y b); 14, fracciones I, VIII, XVII, XX y XXIV; 22; 24; 27; 28; 30; 32; 33; 34; 35; 36, primer párrafo y
37, fracción II, de la Ley de Fiscalización Superior de la Ciudad de México; y 1; 4; 5, fracción I,
inciso b); 6, fracciones V y VII; y 30 del Reglamento Interior de la Auditoría Superior de la
Ciudad de México.
ANTECEDENTES
Como parte de la Política Informática y Mejora de Tecnologías de la Información, la Oficialía
Mayor (OM) de la Ciudad de México publicó el 18 de septiembre de 2015 en la Gaceta Oficial
del Distrito Federal núm. 179, tomo I, la Normatividad en materia de Administración de
Recursos para las Delegaciones de la Administración Pública del Distrito Federal (Circular Uno
Bis 2015), vigente en 2017, con la que instauró un gobierno electrónico con el uso de recursos
tecnológicos para reducir costos de operación y tiempo de espera, y mejorar la atención al
público, así como para garantizar la atención a la demanda de servicios de Tecnologías
de la Información a los entes públicos del Gobierno de la Ciudad de México.
2
CRITERIOS DE SELECCIÓN
Esta auditoría se propuso de conformidad con los siguientes criterios generales de selección,
contenidos en el Manual de Selección de Auditorías de esta entidad de fiscalización superior:
“Propuesta e Interés Ciudadano”, en virtud de la necesidad de que la Administración Pública de
la Ciudad de México proporcione mejores servicios a la ciudadanía vinculados con las
Tecnologías de la Información y Comunicaciones (TIC), mediante mecanismos oficiales y
documentados que rijan la operación; y debido a su naturaleza e impacto social, el marco
normativo de gobernanza de TIC es de interés para los habitantes de la Delegación
Miguel Hidalgo.
“Presencia y Cobertura”, porque el marco normativo de gobernanza de TIC no ha sido objeto de
fiscalización específica por parte de la Auditoría Superior de la Ciudad de México (ASCM)
y por ser susceptible de auditarse por estar contenido en la Cuenta Pública de la Ciudad
de México.
OBJETIVO
El objetivo de la revisión consistió en verificar que el marco normativo relativo a la gobernanza de
las TIC haya sido implementado en la Delegación Miguel Hidalgo, que establezca los principios
que regirán la gestión TIC con base en lo instaurado por la OM en cumplimiento con la
Ley de Gobierno Electrónico del Distrito Federal y la Normatividad en materia de Administración
de Recursos para las Delegaciones de la Administración Pública del Distrito Federal
(Circular Uno Bis 2015) y en alineación con los estándares y mejores prácticas TIC aplicables.
ALCANCE Y DETERMINACIÓN DE LA MUESTRA
Se revisó que se hayan implementado las políticas informáticas que impactan en una gestión
TIC eficiente, eficaz y confiable en la Delegación Miguel Hidalgo.
De los elementos que integran el objetivo de auditoría, de manera enunciativa, mas no
limitativa se revisó lo siguiente:
3
Gobernanza TIC
Se evaluó si la Delegación Miguel Hidalgo implementó y ejecutó las políticas de gobernanza TIC
establecidas por la OM, en atención a los controles generales alineados con la normatividad
y buenas prácticas TIC aplicables, así como si participó en el Comité de Gobierno Electrónico de
la Ciudad de México.
Desarrollo y Adquisición
Se evaluó si la Delegación Miguel Hidalgo aplicó y desempeñó la normatividad relativa
a desarrollo y adquisición TIC fundada por la OM, en cumplimiento de lo establecido en
la Normatividad en materia de Administración de Recursos para las Delegaciones de la
Administración Pública del Distrito Federal (Circular Uno Bis 2015) y demás normatividad
TIC aplicable.
Continuidad del Servicio y Recuperación de Desastres
Se evaluó si la Delegación Miguel Hidalgo incorporó y utilizó políticas de continuidad del
servicio y recuperación de desastres generadas por la OM, al permitir que la infraestructura
tecnológica del órgano político-administrativo haya proporcionado los servicios de manera
ininterrumpida a la ciudadanía, en alineación con las mejores prácticas y estándares TIC
aplicables.
Seguridad de la Información
Se evaluó si la Delegación Miguel Hidalgo estableció y aplicó las políticas de seguridad de
la información señaladas por la OM para salvaguardar los bienes informáticos y la información
gestionada por el órgano político-administrativo, de acuerdo con los estándares, buenas
prácticas y normas TIC aplicables.
Derivado de los trabajos que se llevaron a cabo en la fase de planeación de la auditoría y
del estudio y evaluación del sistema de control interno, se determinó revisar los procedimientos,
políticas y protocolos relacionados con el marco normativo de gobernanza de TIC que hayan
4
sido aplicados por la Delegación Miguel Hidalgo y para determinar la muestra a revisión,
se aplicaron los siguientes criterios:
1. Se identificaron los procedimientos publicados en el manual administrativo de la Delegación
Miguel Hidalgo que tuvieron relación con el marco normativo de gobernanza de TIC,
así como las políticas internas de seguridad de la información, desarrollo y adquisición
de las TIC, la recuperación de desastres y mantenimiento a la infraestructura de las TIC y los
estándares y mejores prácticas de las TIC aplicables en el rubro a revisión; en especial, lo
establecido en la Ley de Gobierno Electrónico del Distrito Federal, la Normatividad en
materia de Administración de Recursos para las Delegaciones de la Administración Pública
del Distrito Federal (Circular Uno Bis 2015) y las Normas Generales que deberán observarse
en materia de Seguridad de la Información en la Administración Pública del Distrito Federal.
2. Se consideró la aplicación de los procedimientos, políticas, estándares y mejores prácticas
en las áreas de servicio a la ciudadanía, específicamente en la Ventanilla Única
Delegacional (VUD), en el Centro de Servicios y Atención Ciudadana (CESAC) y en el
sitio web de la Delegación Miguel Hidalgo.
3. Se determinó ampliar la muestra original del 30.0% para incrementar el grado de
seguridad en la eficiencia operativa de los controles al 54.8% (17 equipos) del total
de equipamiento de las TIC (31 equipos), utilizados en la atención a la ciudadanía en el
Centro de datos, VUD, CESAC y sitio web. Asimismo, se estableció como muestra
el 100.0% del total de los procedimientos, políticas y estándares TIC (30) para la aplicación
de pruebas de auditoría, como se muestra a continuación:
Número de equipos en la infraestructura TIC utilizada para servicios ciudadanos de la Alcaldía
Universo Muestra
Centro de datos
VUD CESAC Sitio web Total Centro de datos
VUD CESAC Sitio web Total
8 15 7 1 31 4 8 4 1 17
La muestra del universo por auditar se determinó mediante un método de muestreo no
estadístico, con fundamento en la Norma Internacional de Auditoría (NIA) 530, “Muestreo
de Auditoría”, emitida por la Federación Internacional de Contadores (IFAC), la Norma
5
Internacional de las Entidades Fiscalizadoras Superiores (ISSAI) 1530, “Muestreo de
Auditoría”, emitida por el Comité de Normas Profesionales de la Organización Internacional
de Entidades Fiscalizadoras Superiores (INTOSAI), y en el Manual del Proceso General de
Fiscalización de la Auditoría Superior de la Ciudad de México.
Los trabajos de auditoría se efectuaron en la Subdirección de Informática, adscrita a la
Dirección General de Administración Delegacional en la Alcaldía Miguel Hidalgo, por ser
la unidad administrativa con atribuciones y funciones previstas en el manual administrativo
de la Alcaldía Miguel Hidalgo, vigente en 2017, encargada del cumplimiento de la Ley de
Gobierno Electrónico del Distrito Federal, las Normas Generales que deberán observarse
en materia de Seguridad de la Información en la Administración Pública del Distrito Federal,
la Normatividad en materia de Administración de Recursos para las Delegaciones de la
Administración Pública del Distrito Federal (Circular Uno Bis 2015) y demás normatividad
relativa a la gobernanza TIC, vigente en 2017.
PROCEDIMIENTOS, RESULTADOS Y OBSERVACIONES
Evaluación del Control Interno
1. Resultado
Con la finalidad de evaluar el control interno implementado por sujeto fiscalizado y para disponer
de una base para determinar la naturaleza, extensión y oportunidad de las pruebas de
auditoría, se analizaron las atribuciones del órgano político-administrativo, el marco normativo
y el manual administrativo del sujeto fiscalizado, vigente en 2017; se realizaron entrevistas y se
aplicaron cuestionarios de control interno y de marco normativo de gobernanza de TIC a la
Dirección General de Administración Delegacional, en particular, a los servidores públicos
responsables de la administración, gestión y gobernanza TIC, en relación con los cinco
componentes del control interno (Ambiente de Control, Administración de Riesgos, Actividades
de Control, Información y Comunicación y Supervisión).
La evaluación se realizó tomando como parámetro de referencia el Marco Integrado de
Control Interno para el Sector Público (MICI), que es un documento de carácter técnico
desarrollado por el Grupo de Trabajo de Control Interno del Sistema Nacional de Fiscalización
6
en su quinta reunión plenaria celebrada en 2014 y que tiene por objeto la implementación
de un control interno efectivo como una herramienta fundamental para aportar elementos
que promuevan la consecución de objetivos institucionales, minimicen los riesgos, reduzcan la
probabilidad de ocurrencia de actos de corrupción y fraudes, consideren la integración de
las tecnologías de la información a los procesos institucionales, respalden la integridad y
el comportamiento ético de los servidores públicos y consoliden los procesos de rendición
de cuentas y de transparencia gubernamentales. Asimismo, está diseñado como un modelo de
control interno que puede ser adoptado y adaptado por las instituciones en ámbitos federal, estatal y
municipal, y que gozaría de mayor aceptación e impacto si los distintos niveles de gobierno, en el
ámbito de sus atribuciones, expiden los decretos correspondientes para su aprobación.
Como resultado del análisis de las respuestas a los cuestionarios aplicados, de las entrevistas
realizadas y de la información y documentación proporcionadas por el sujeto fiscalizado,
se determinó lo siguiente:
Ambiente de Control
Se identificaron las unidades administrativas del sujeto fiscalizado que estuvieron relacionadas
con el rubro sujeto a revisión; las funciones, objetivos, actividades y procedimientos aplicados; las
normas, procesos y estructura orgánica que proporcionan la base para llevar a cabo el control
interno en el sujeto fiscalizado, así como la normatividad que otorga disciplina y estructura
para apoyar al personal en la consecución de los objetivos institucionales, y se verificó si
el sujeto fiscalizado ha establecido y mantiene un ambiente de control que implique una
actitud de respaldo hacia el control interno, como se indica a continuación:
1. El sujeto fiscalizado contó en 2017 con la estructura orgánica núm. OPA-MIH-5/180116,
dictaminada favorablemente por la Coordinación General de Modernización Administrativa
(CGMA) y notificada al sujeto fiscalizado por medio del oficio núm. OM/0070/2016 del
25 de enero de 2016, vigente a partir del 18 de enero de 2016.
En dicha estructura orgánica, se previeron una Oficina de la Jefatura Delegacional,
dos Direcciones Generales (de Servicios Jurídicos y de Gobierno, y de Administración
Delegacional) y seis Direcciones Ejecutivas (Jurídica; de Registros y Autorizaciones;
de Obras Públicas; de Servicios Urbanos; de Desarrollo Social y de Servicios Internos).
7
La Subdirección de Informática se encuentra adscrita a la Dirección General de
Administración Delegacional en el órgano político-administrativo.
2. En 2017, el sujeto fiscalizado contó con un manual administrativo elaborado conforme
al dictamen de estructura orgánica núm. OPA-MIH-5/180116, el cual fue registrado
por la CGMA con el núm. MA-10/290716-OPA-MIH-5/180116, y notificado al órgano
político-administrativo mediante el oficio núm. OM/CGMA/1670/2016 del 29 de julio de 2016;
asimismo, en la Gaceta Oficial de la Ciudad de México núm.143, el 23 de agosto
de 2016, se publicó como archivo digital el “Aviso por el que se da a conocer el manual
administrativo del órgano político-administrativo en Miguel Hidalgo”, con vigencia a
partir del día siguiente de su publicación.
El manual citado se integró por los apartados de marco jurídico de actuación; atribuciones;
misión, visión y objetivos institucionales; organigrama de la estructura básica; organización y
procedimientos; glosario y aprobación del manual administrativo.
3. El sujeto fiscalizado tuvo unidades administrativas encargadas de generar información
para cumplir las obligaciones en materia de transparencia y acceso a la información,
fiscalización, rendición de cuentas y armonización contable, así como de administrar
los recursos humanos, financieros y de TIC, por medio de la Subdirección de Informática,
para lo cual implementó tres procedimientos específicos para el rubro de gobernanza
de las TIC que se formalizaron con su registro ante la CGMA y se incorporaron a su
manual administrativo.
Con base en lo anterior, se determinó que el sujeto fiscalizado dispone de una estructura
orgánica, con un manual administrativo dictaminado por la CGMA y con unidades administrativas
encargadas de generar información para cumplir las obligaciones en materia de fiscalización,
rendición de cuentas y armonización contable, así como de administrar los recursos humanos,
financieros y tecnológicos, por lo que ha establecido un ambiente de control que implica
una actitud de respaldo hacia el control interno.
8
Administración de Riesgos
Con relación a si el sujeto fiscalizado cuenta con un proceso para identificar el cumplimiento de
sus objetivos y reúne las bases para desarrollar respuestas apropiadas al riesgo que permitan
administrarlo y controlarlo, se identificó lo siguiente:
1. Los objetivos institucionales del sujeto fiscalizado se encuentran definidos con claridad en
su Programa Delegacional de Desarrollo 2015-2018, publicado en la Gaceta Oficial de
la Ciudad de México núm. 70, tomo I, del 12 de mayo de 2016, de modo que coadyuvan en
la identificación de los riesgos potenciales asociados a éstos y en la determinación de
cómo se gestionarán. Asimismo, el sujeto fiscalizado cuenta con ejes estratégicos asociados
a su mandato legal y alineados con el Programa General de Desarrollo del Distrito
Federal 2013-2018 (PGDDF), publicado en la Gaceta Oficial del Distrito Federal núm. 1689,
tomo II, del 11 de septiembre de 2013, en el que se incluye el rubro de gobernanza de las TIC.
2. Se identificó que en su Programa Operativo Anual (POA), el sujeto fiscalizado cuenta
con ejes estratégicos y metas asociados a su mandato legal y alineados con el PGDDF, los
cuales fueron comunicados de manera formal a sus servidores públicos.
3. La Contraloría Interna del sujeto fiscalizado, adscrita a la Contraloría General de la
Ciudad de México (CGCDMX), de acuerdo con el artículo 113, fracción III, del Reglamento
Interior de la Administración Pública del Distrito Federal vigente en 2017, tiene atribuciones
para revisar e inspeccionar que el órgano político-administrativo cumpla las normas y
disposiciones en materia de TIC, el Órgano Interno de Control no le practicó alguna auditoría
al sujeto fiscalizado relacionada con la gobernanza de las TIC por el ejercicio de 2017.
Con base en lo anterior, se determinó que el sujeto fiscalizado reunió las bases para desarrollar
respuestas al riesgo que permiten administrarlo y controlarlo, ya que comunicó de manera
formal sus objetivos estratégicos y metas, y dispone de un órgano interno de control que
lo vigila, el cual no auditó la gobernanza de las TIC por el ejercicio 2017.
9
Actividades de Control
Las acciones establecidas por el sujeto fiscalizado para prevenir, minimizar y responder
a los riesgos que pudieran afectar el cumplimiento y logro de sus objetivos, en particular a
la eficacia y eficiencia de las operaciones del rubro sujeto a revisión, son las siguientes:
1. En 2017, el sujeto fiscalizado contó con 288 procedimientos elaborados conforme al
dictamen de estructura orgánica núm. OPA-MIH-5/180116, que se integraron al manual
administrativo que la CGMA registró con el núm. MA-10/290716-OPA-MIH-5/180116,
de acuerdo con el oficio núm. OM/CGMA/1670/2016 del 29 de julio de 2016, y fue publicado en
la Gaceta Oficial de la Ciudad de México núm.143, el 23 de agosto de 2016, y de su consulta
se comprobó su publicación y vigencia a partir del día siguiente.
De 288 procedimientos que estuvieron vigentes en 2017, tres estuvieron relacionados
con el rubro auditado, permiten cumplir los objetivos de control y administrar riesgos
inherentes a la gestión de las TIC, y garantizan razonablemente el cumplimiento de
las leyes, reglamentos, normas, políticas y otras disposiciones de observancia obligatoria. Los
tres procedimientos identificados para el rubro de gobernanza de las TIC son los siguientes:
Concepto Procedimiento
Gobernanza TIC; Desarrollo y Adquisición; Continuidad del Servicio y Recuperación de Desastres; y Seguridad de la Información
“Alta en Sistemas de Gestión”
“Desarrollo de Sistemas Informáticos”
“Recuperación de Datos de Unidad ‘Ú’”
2. Para la operación y desarrollo de sus actividades sustantivas, administrativas y financieras,
el órgano político-administrativo contó con el Sistema de Planeación de Recursos
Gubernamentales (SAP-GRP), cuyas políticas y lineamientos de seguridad fueron establecidos
por la Secretaría de Finanzas de la Ciudad de México (SEFIN) como autoridad administradora
del sistema.
Con base en lo anterior, se elaboró una matriz de control para evaluar si los mecanismos
establecidos hicieron factible la administración de los riesgos y se determinó que el sujeto
fiscalizado contó con tres procedimientos para prevenir, minimizar y responder a los riesgos
que pudieran afectar el cumplimiento y logro de sus objetivos, en particular, la eficacia y
eficiencia de las operaciones del rubro sujeto a revisión.
10
Información y Comunicación
Respecto a si el sujeto fiscalizado tuvo mecanismos de comunicación interna que permitan que
la información que se genera al exterior sea apropiada, oportuna, actualizada exacta y
accesible, así como para comunicar internamente al personal los objetivos y responsabilidades,
se observó lo siguiente:
1. En 2017, el órgano político-administrativo difundió su manual administrativo registrado
con el núm. MA-10/290716-OPA-MIH-5/180116, mediante 10 oficios, y en el portal de
transparencia de su página de internet para consulta de sus servidores públicos.
2. En 2017, el sujeto fiscalizado contó con unidades administrativas que se encargaron
de generar la información requerida para el cumplimiento de sus obligaciones en materia de
contabilidad gubernamental, fiscalización y rendición de cuentas, y con el SAP-GRP
para gestionar la información relativa a los recursos humanos, financieros y presupuestales
con unidades administrativas externas, así como con la información generada respecto a
la operación de la gobernanza TIC, por medio de la Subdirección de Tecnologías de la
Información, adscrita a la Dirección General de Administración Delegacional.
Con base en lo anterior, se determinó que el sujeto fiscalizado difundió e incorporó el manual
administrativo registrado con el núm. MA-10/290716-OPA-MIH-5/180116 y lo incorporó en
el portal de transparencia de su página de internet para consulta de sus servidores públicos y
generó información para el cumplimiento de sus obligaciones.
Supervisión
Con relación a si se encuentran identificados los tramos de control y supervisión en los
diferentes niveles jerárquicos para el cumplimiento de los objetivos del sujeto fiscalizado,
se identificó que en términos generales, en los tres procedimientos establecidos en su manual
administrativo registrado por la CGMA aplicables al rubro sujeto a revisión, se encuentran
plasmados los tramos de control y supervisión.
Como resultado del estudio y evaluación del control interno establecido por el sujeto fiscalizado,
una vez recopilada y analizada la información general de las áreas y operaciones sujetas
11
a revisión, a partir del flujo general de las actividades, de los objetivos específicos y mecanismos
de control identificados en cada proceso, así como de la respuesta al cuestionario de control interno
aplicado, se elaboró una matriz de control para evaluar si los mecanismos establecidos
hicieron factible la administración de los riesgos de irregularidades e ineficiencias y si disminuyeron
las debilidades detectadas, y se determinó que el control interno fue apropiado para administrar
los riesgos de irregularidades e ineficiencias a que estuvieron expuestas las actividades y
el cumplimiento de los objetivos del sujeto fiscalizado relacionados con el marco normativo de
gobernanza TIC.
Tanto la ASCM como la CGCDMX no han practicado auditorías al Marco Normativo de
Gobernanza de Tecnologías de la Información y Comunicaciones del sujeto fiscalizado.
Lo anterior, toda vez que de la evaluación del control interno se determinó que el sujeto
fiscalizado propició un ambiente de control que implica una actitud de respaldo hacia el
control interno; consideró los ejes estratégicos asociados a su mandato legal y alineados
al PGDDF; reunió las bases para desarrollar respuestas al riesgo que permiten administrarlo y
controlarlo; contó con procedimientos que permiten prevenir, minimizar y responder a los
riesgos que pudieran afectar el cumplimiento y logro de sus obligaciones y se encuentran
identificados los tramos de control y supervisión en los diferentes niveles jerárquicos para
el cumplimiento de los objetivos del sujeto fiscalizado.
Gobernanza TIC
2. Resultado
Según la Organización Internacional de Entidades Fiscalizadoras INTOSAI, la gobernanza
de TIC puede considerarse como “el marco general que guía las operaciones TIC en una
organización para asegurar que satisface las necesidades de la empresa en el día a día
y que incorpora planes para el crecimiento y futuras necesidades. Es parte de la gestión y
comprende el liderazgo organizacional, las estructuras y procesos institucionales y otros
mecanismos (cumplimiento, recursos, informes y retroalimentación, etc.) que aseguran
que los sistemas de TIC puedan sostener las metas y estrategias organizacionales equilibrando
los riesgos y gestionando eficazmente los recursos. La gobernanza de TIC desempeña
12
un papel clave en la determinación del entorno de control y construye las bases para
establecer prácticas sólidas de control interno e informar a niveles funcionales para la
supervisión y revisión de la administración”.
A fin de constatar que el órgano político-administrativo haya implementado y ejecutado las
políticas de gobernanza TIC establecidas por la OM, acordes con los controles generales
alineados con la normatividad y buenas prácticas TIC aplicables, así como participar en el
Comité de Gobierno Electrónico de la Ciudad de México, el 26 de noviembre de 2018 se
realizó una entrevista a servidores públicos de la Subdirección de Tecnologías de la Información,
adscrita a la Dirección General de Administración Delegacional, así como inspecciones físicas,
para verificar que la Alcaldía haya cumplido con lo establecido en la Normatividad en materia
de Administración de Recursos para las Delegaciones de la Administración Pública del
Distrito Federal, Circular Uno Bis 2015, la Ley de Gobierno Electrónico del Distrito Federal,
lo dispuesto por la OM y demás normatividad relativa a la gobernanza TIC, vigente en 2017. Al
respecto, se determinó lo siguiente:
1. En su manual administrativo con registro núm. MA-10/290716-OPA-MIH-5/180116,
el órgano político-administrativo contó con tres procedimientos TIC y con 27 políticas
de TIC internas, todos vigentes en 2017, de acuerdo con lo siguiente:
a) Del análisis a la información proporcionada por el sujeto fiscalizado se determinó
que tres procedimientos se ajustaron con lo establecido en la Normatividad en materia de
Administración de Recursos para las Delegaciones de la Administración Pública del
Distrito Federal (Circular Uno Bis 2015), vigente en 2017. Asimismo, se verificó
que dos procedimientos y veintisiete políticas de TIC internas se ajustan a las Normas
Generales que deberán Observarse en materia de Seguridad de la Información en
la Administración Pública del Distrito Federal, publicadas en la Gaceta Oficial del
Distrito Federal el 9 de julio de 2007, vigente en 2017.
b) Se verificó que los tres procedimientos y veintisiete políticas de TIC internas, se
alinearon con los controles generales de TIC que especifica la INTOSAI en el WGITA-IDI
Handbook on IT Audit for Supreme Audit Institutions (Manual del Grupo de Trabajo en
Auditoría TIC de la Iniciativa de Desarrollo de la INTOSAI, sobre Auditoría TIC para
13
Instituciones Superiores de Auditoría) de 2014 y en la ISSAI 5300 “Directrices
sobre Auditoría de TIC” de 2016, ambas publicadas, aprobadas y autorizadas por
dicha organización internacional.
Los procedimientos y políticas de TIC internas, aplicados por el órgano político-
administrativo, se muestran en la siguiente tabla:
Procedimiento o política interna de TIC Circular Uno Bis Normas
generales Handbook on IT Audit
Procedimientos manual administrativo
“Alta en Sistemas de Gestión” X X X
“Desarrollo de Sistemas Informáticos” X X X
“Recuperación de Datos de Unidad ‘Ú’” X X
Políticas TIC internas: “Políticas de seguridad de la información”
Política de estructura organizacional de seguridad de la información
X X
Política para uso de dispositivos móviles X X
Política para uso de conexiones remotas X X
Política de desvinculación, licencias, vacaciones, o cambio de labores de los funcionarios y personal provisto por terceros
X X
Políticas de gestión de activos de información X X
Política de uso de periféricos y medios de almacenamiento X X
Política de control de acceso X X
Política de administración de acceso de usuarios X X
Política de uso de privilegios de administración X X
Política de control de acceso a sistemas y aplicativos X X
Política de seguridad para los equipos institucionales X X
Política de protección frente a software malicioso X X
Políticas TIC internas: “Políticas y lineamientos para el uso de bienes y servicios informáticos”
Equipo de Cómputo X X
Impresoras, Escáneres y multifuncionales X X
Requerimientos mínimos para buen uso de consumibles X X
Software X X
Restricción de software X X
Antivirus X X
Respaldos de información X X
Redes de cómputo X X
Uso de internet X X
Sistemas informáticos y Bases de Datos X X
Site X X
Cuenta Gmail X X
Definición de violaciones y sanciones X X
Responsabilidades de los usuarios X X
Control cambios X X
14
Asimismo, del análisis a las respuestas del cuestionario y a las entrevistas realizadas
al personal de la Subdirección de Informática, se constató que el sujeto fiscalizado contó
con procedimientos y políticas TIC internas, por tanto, se determinó que el órgano político-
administrativo dio cumplimiento al artículo 9, fracción II, de la Ley de Gobierno
Electrónico del Distrito Federal, publicada en la Gaceta Oficial del Distrito Federal el
7 de octubre de 2015, vigente en 2017.
2. Mediante el oficio núm. JDMH/2016/OF/066 del 11 de abril de 2016, se verificó que
en 2017 el órgano político-administrativo designó al Subdirector de Tecnologías de la
Información como vocal ante la Comisión de Gobierno Electrónico de la Ciudad de México.
Se determinó que el sujeto fiscalizado tuvo procedimientos relativos a la gobernanza y
gestión de TIC en su manual administrativo y con políticas TIC internas. Asimismo, contó
con un vocal ante la Comisión de Gobierno Electrónico de la Ciudad de México.
Desarrollo y Adquisición de TIC
3. Resultado
De acuerdo con la Normatividad en materia de Administración de Recursos para las
Delegaciones de la Administración Pública del Distrito Federal (Circular Uno Bis 2015),
vigente en 2017, el Plan Estratégico de Tecnologías de la Información y Comunicaciones
(PETIC) es el instrumento de planeación estratégica del desarrollo de las tecnologías de la
información y comunicaciones que deberán realizar las Delegaciones de la Administración
Pública para alinear las acciones y proyectos en materia de informática al PGDDF. Es el
fundamento para la adquisición y arrendamiento de bienes y servicios informáticos y deberá
registrarse ante la Dirección General de Gobernabilidad de Tecnologías de la Información
y Comunicaciones de la Oficialía Mayor (DGGTIC) con el propósito de que se fundamenten
técnicamente las adquisiciones, conforme a las políticas, normas, lineamientos y procedimientos
que para tal efecto emita la Dirección citada.
Con la finalidad que el sujeto fiscalizado haya aplicado y desempeñado la normatividad
relativa a desarrollo y adquisición de TIC establecidas por la OM y demás normatividad de
TIC aplicable, mediante el oficio núm. ACF-B/18/0652 del 2 de julio de 2018, la ASCM
15
solicitó al sujeto fiscalizado la respuesta al cuestionario de TIC, la cual fue proporcionada
con el oficio núm. DMH/DESI/SRF/1152/2018 del 13 de julio de 2018. Al respecto, se determinó
lo siguiente:
1. El órgano político-administrativo no registró, ni sometió para su aprobación el PETIC;
así como, tampoco informó sobre las adquisiciones ante la DGGTIC, por lo que incumplió los
numerales 9.3.3, 9.3.4, 9.3.5, 9.4.16 y 9.4.17, del punto 9, “Tecnologías de la Información y
Comunicaciones de la Administración Pública del Distrito Federal”, correspondiente a
la Normatividad en materia de Administración de Recursos para las Delegaciones de la
Administración Pública del Distrito Federal (Circular Uno Bis 2015), vigente en 2017,
que establece lo siguiente:
“9.3.3 El PETIC, es el instrumento de planeación estratégica del desarrollo de las
tecnologías de la información y comunicaciones que deberán realizar las Delegaciones de
la APDF para alinear las acciones y proyectos en materia de informática al Programa
General de Desarrollo del Distrito Federal (PGDDF), en concordancia con el modelo
de Gobierno Electrónico contenido en el MEITIC. En el PETIC se referenciarán claramente
las acciones en materia de informática con el soporte hacia las acciones o políticas
del PGDDF.
”9.3.4 El PETIC es el fundamento para la adquisición y arrendamiento de bienes y
servicios informáticos que realicen las Delegaciones. El PETIC deberá ser registrado
ante la DGGTIC con el propósito de que se fundamenten técnicamente las mencionadas
adquisiciones del ejercicio presupuestal.
”9.3.5 Las Delegaciones, a más tardar en el mes de febrero del año en curso, deberán
registrar el PETIC ante la DGGTIC y someterlo a su consideración para su aprobación. El
PETIC deberá realizarse conforme a las políticas, normas, lineamientos y procedimientos
que para tal efecto emita la DGGTIC, asimismo se deberá informar a la DGGTIC
mediante oficio la conclusión del registro del mismo, así como las modificaciones que
sufra a lo largo de su periodo de validez.
”9.4.16 El Informe de Adquisición es el documento que deben presentar las Delegaciones a
través de las DGAD a la DGGTIC, cuando se hayan adquirido bienes o servicios informáticos
16
que han requerido o no dictamen técnico de la DGGTIC conforme a los numerales
anteriores. Dicho informe deberá presentarse con base en los formatos y medios que
para tal efecto sean definidos por la DGGTIC, conforme se publique en la página web
de la OM. Los requisitos para realizar el registro del Informe de Adquisición son los siguientes:
”I.- Ser enviado a la DGGTIC por el Vocal ante la CGEDF;
”II.- Requisitar los formatos establecidos de acuerdo al tipo de bien informático del que
se trata;
”III.- Realizar el registro de los datos del proveedor: Nombre o razón social, domicilio,
RFC, así como la descripción de bienes y costo total de la adquisición.
”9.4.17 Es obligatorio que las Delegaciones registren el Informe de Adquisición ante la
DGGTIC una vez que hayan llevado a cabo la formalización de la adquisición de algún bien
o servicio informático en un lapso no mayor de 30 días hábiles posteriores a la firma
del contrato.”
Asimismo, se verificó que el sujeto fiscalizado haya realizado los dictámenes técnicos
sobre las adquisiciones realizadas ante la DGGTIC; mediante los oficios
núms. OM/DGGTIC/243/2017, OM/DGGTIC/245/2017 del 29 de junio,
OM/DGGTIC/DEGEPTIC/191/2017 del 7 agosto, OM/DGGTIC/DEGEPTIC/271/2017
del 20 de octubre, OM/DGGTIC/DEGEPTIC/304/2017 del 13 de noviembre
y OM/DGGTIC/DEGEPTIC/164/2016 del 15 de noviembre, todos de 2017, la DGGTIC
proporcionó los Dictámenes Técnicos favorables “Licencias de Google G-Suites”, “Licencias
de Antivirus”, “Licencias de uso de programa de cómputo”, “Servicio de Administración
Documental”, “Servicio de Telefonía por VoIP” y “Actualización de licencia de firewall”,
respectivamente, en cumplimiento de la Normatividad en materia de Administración
de Recursos para las Delegaciones de la Administración Pública del Distrito Federal
(Circular Uno Bis 2015) y de la Ley de Gobierno Electrónico del Distrito Federal, ambas
vigentes en 2017.
En la reunión de confronta, celebrada el 14 de febrero de 2019, el Director General de
Administración de la Alcaldía Miguel Hidalgo, en representación del titular del órgano
político-administrativo, mediante el oficio núm. AMH/DGA/252/2019 del 13 de febrero
17
de 2019, proporcionó el oficio núm. DMA/JCRH/093/2019 del 8 de febrero de 2019,
donde el Director de Modernización Administrativa del sujeto fiscalizado anexó el oficio
núm. DMA/LFGF/064/2018 del 12 de marzo de 2018, con el que envió el Informe de
Adquisiciones 2017.
De lo anterior, se observó que la Alcaldía Miguel Hidalgo envió el Informe de Adquisiciones
2017 a la DGGTIC con sello de recibo del 13 de marzo de 2018, por lo que tuvo un
desfase de 378 días naturales, por lo que la presente observación no se modifica.
2. Con objeto de verificar que el sujeto fiscalizado haya implementado y ejecutado en sus sitios
web el marco normativo de gobernanza de TIC, se realizaron inspecciones físicas y
pruebas sustantivas informáticas al centro de datos y al servidor; y se verificó que
el sitio web oficial del sujeto fiscalizado está hospedado en un servidor, que se encuentra en el
centro de datos del órgano político-administrativo. Sin embargo, se observó que el nombre de
dominio del sitio web es https://alcaldia.miguelhidalgo.gob.mx/, por lo anterior el sujeto
fiscalizado incumplió el numeral 9.6.8 de la Normatividad en materia de Administración de
Recursos para las Delegaciones de la Administración Pública del Distrito Federal
(Circular Uno Bis 2015), vigente en 2017, que establece:
“9.6.8 Todos los Sitios de Internet de la APDF deberán responder a un subdominio del
dominio “.df.gob.mx” y del dominio que indique la CGCS conforme a la imagen institucional.”
En la reunión de confronta, celebrada el 14 de febrero de 2019, el Director General de
Administración de la Alcaldía Miguel Hidalgo, en representación del titular del órgano
político-administrativo, mediante el oficio núm. AMH/DGA/252/2019 del 13 de febrero
de 2019, proporcionó el oficio núm. DMA/JCRH/093/2019 del 8 de febrero de 2019, donde
el Director de Modernización Administrativa del sujeto fiscalizado anexó el oficio
núm. DMA/JCRH/101/2018 del 8 de febrero de 2019, en el que solicitó la colaboración
al Titular de la Agencia Digital de Innovación Pública para dar cumplimiento a la
normatividad mencionada.
De lo anterior, se observó que la Alcaldía Miguel Hidalgo solicitó la colaboración al
Titular de la Agencia Digital de Innovación Pública para cumplir la normatividad mencionada,
teniendo sello de recibo del 11 de febrero de 2019, por lo que la presente observación
no se modifica.
18
3. Se realizó la inspección al sitio web y pruebas electrónicas y se observó lo siguiente:
a) Acceso a la información de cada trámite y servicio en un máximo de 3 pasos.
b) No contó con un apartado especial para trámites y servicios en el menú de navegación
principal del sitio.
c) Recuadro de información general sobre trámites y servicios.
d) Los datos de contacto están siempre visibles en todas las páginas de trámites y servicios.
e) Careció de un listado de los trámites y servicios más solicitados.
Todas las ligas estaban funcionando y las páginas tenían información.
Por carecer de un apartado especial para trámites y servicios en el menú de navegación
principal y un listado de los trámites y servicios más solicitados, el órgano político-
administrativo incumplió la sección VI “Apartado para Trámites y Servicios en los
Sitios Web de las Delegaciones” del Manual de Identidad Gráfica de las Unidades de
Atención Ciudadana vigente en 2017, que establece:
“… las delegaciones deben enfocar sus esfuerzos en brindar al ciudadano los elementos
necesarios para la realización de trámites y servicios, a través de elementos gráficos y
contenidos homogéneos.
”En este apartado se establecen los lineamientos de estructura para las páginas de
internet en las secciones donde se publiquen los trámites y servicios de los sitios web
de las Delegaciones Políticas del Distrito Federal.
”Apartado de Menú de navegación: Incluir siempre un apartado especial para trámites
y servicios en el menú de navegación principal del sitio.
”Apartado de Trámites y Servicios: Con base en las estadísticas de acceso a los trámites y
servicios más visitados del portal, así como a los reportes de la VUD y CESAC sobre
los trámites y servicios más solicitados, deberá ubicarse un listado de 5 a 10 trámites
y 5 a 10 servicios.”
19
En la reunión de confronta, celebrada el 14 de febrero de 2019, el Director General de
Administración de la Alcaldía Miguel Hidalgo, en representación del titular del órgano
político-administrativo, mediante el oficio núm. AMH/DGA/252/2019 del 13 de febrero
de 2019, proporcionó el oficio núm. DMA/JCRH/093/2019 del 8 de febrero de 2019, donde
el Director de Modernización Administrativa del sujeto fiscalizado anexó los oficios
núms. OM/CGMA/2393/2017 del 13 de diciembre de 2017 y OM/CGMA/0291/2018 del
26 de febrero de 2018, donde informa que cumplió la normatividad mencionada.
De lo anterior, se constató que la Alcaldía Miguel Hidalgo incumple la normatividad
mencionada, por lo que la presente observación no se modifica.
Por lo anterior, se concluye que el sujeto fiscalizado realizó solicitudes de dictamen técnico, a la
DGGTIC; sin embargo, no registró, ni sometió para su aprobación el PETIC; así como,
informó sobre las adquisiciones ante la DGGTIC con desfase de 378 días naturales, además el
sitio web no responde a un subdominio del dominio “.df.gob.mx”; y el sitio web del órgano
político-administrativo careció de un listado de trámites y servicios más solicitados, y de
un apartado especial para trámites y servicios en el menú de navegación principal del sitio, por
lo que no se otorgó de manera efectiva el servicio a la ciudadanía.
Recomendación ASCM-84-17-1-MH
Es necesario que la Alcaldía Miguel Hidalgo establezca mecanismos de supervisión para
asegurarse de registrar y someter para su aprobación el Plan Estratégico de Tecnologías
de la Información y Comunicaciones; así como, informar de las adquisiciones ante la Dirección
General de Gobernabilidad de Tecnologías de la Información y Comunicaciones, establecido en
la Circular Uno Bis 2015.
Recomendación ASCM-84-17-2-MH
Es necesario que la Alcaldía Miguel Hidalgo establezca mecanismos de supervisión para
asegurarse de observar que el sitio de internet de la Administración Pública del Distrito
Federal responda a un subdominio del dominio “.df.gob.mx” y del dominio que indique la
Coordinación General de Comunicación Social de la Oficialía Mayor conforme a la imagen
institucional de la Ciudad de México, en el plazo establecido en la Circular Uno Bis 2015.
20
Recomendación ASCM-84-17-3-MH
Es necesario que la Alcaldía Miguel Hidalgo establezca mecanismos de supervisión para
asegurarse de contar con un apartado especial para trámites y servicios en el menú de
navegación principal, así como con un listado de los trámites y servicios más solicitados,
de acuerdo con lo establecido en el Manual de Identidad Gráfica de las Unidades de
Atención Ciudadana.
Continuidad del Servicio y Recuperación de Desastres
4. Resultado
De acuerdo con la Normatividad en materia de Administración de Recursos para las
Delegaciones de la Administración Pública del Distrito Federal (Circular Uno Bis 2015),
vigente en 2017, al planear la continuidad de las operaciones, desde un inicio se deben
identificar y especificar los requerimientos y controles de seguridad de la información, así
como asegurar la coordinación con el personal del sujeto fiscalizado y los contactos externos que
participarán en las estrategias de planificación de contingencias, asignando funciones para
cada actividad definida, con el objetivo de minimizar la interrupción de las operaciones y
proteger los procesos que se consideren críticos de los efectos de fallas importantes de
los sistemas de información o desastres, para asegurar su reanudación oportuna.
Con la finalidad de verificar que el sujeto fiscalizado haya acreditado tener planes de
mantenimiento correctivo y preventivo a la infraestructura TIC, conforme a lo establecido
con el marco normativo de gobernanza TIC, el 26 de noviembre de 2018, la ASCM entrevistó a
servidores públicos adscritos a la Subdirección de Informática del sujeto fiscalizado, y realizó
inspecciones físicas, según lo asentado en el acta circunstanciada núm. ACF-B/84-17/18/01 de la
misma fecha. Además, mediante el oficio núm. ACF-B/18/0652 del 2 de julio de 2018, se
envió el cuestionario de TIC, del cual el sujeto fiscalizado proporcionó respuesta mediante
el oficio núm. DMH/DESI/SRF/1152/2018 del 13 de julio de 2018.
De lo anterior, se desprende que el sujeto fiscalizado acreditó disponer de un documento
detallado de las actividades relacionadas con el mantenimiento a la infraestructura tecnológica,
por lo que cumplió el artículo 13, objetivo del apartado 11, “Continuidad de las Operaciones”, de
21
las Normas Generales que deberán Observarse en materia de Seguridad de la Información en
la Administración Pública del Distrito Federal.
Con el objetivo de verificar que el órgano político-administrativo haya incorporado y
utilizado las políticas de continuidad del servicio y recuperación de desastres establecidas
por la OM, y que los servicios electrónicos proporcionados por el sujeto fiscalizado reflejen
la implementación y ejecución del marco normativo de gobernanza TIC, a fin de que la
infraestructura tecnológica del órgano político-administrativo proporcione servicio de manera
ininterrumpida a la ciudadanía, en alineación con las mejores prácticas y estándares de TIC
aplicables, se realizaron inspecciones físicas y pruebas sustantivas informáticas al centro de
datos y a la infraestructura tecnológica, para lo cual se determinó una muestra para
verificar de la siguiente manera:
Número de equipos en la infraestructura TIC utilizada para servicios ciudadanos de la Alcaldía
Universo Muestra
Centro de datos
VUD CESAC Sitio web Centro
de datos VUD CESAC Sitio web
8 15 7 1 4 8 4 1
De su revisión, se determinó lo siguiente:
1. Se identificó que el órgano político-administrativo dispone de un centro de datos que
opera con ocho servidores físicos, del cual se seleccionaron cuatro servidores acordes con
las muestras de auditoria que tienen las siguientes características técnicas:
Servidor Marca
y modelo Procesador Arquitectura
Velocidad del reloj
Núcleos Memoria
caché
Tamaño memoria
RAM
Tamaño de disco
duro Uso
Sistema operativo
UDR, VUD, CRM
Dell Power Edge R710
Intel Xeon 64 bits 2.6 GHz 24 12 Mb 16 GB 1 TB Aplicativos, ventanilla única, UDR (aplicativos PHP), CRM
SUSE Linux
Bolsa de trabajo y reportes crm
Dell Power Edge R710
Intel Xeon 64 bits 2.6 GHz 24 12 Mb 16 GB 1 TB Bolsa de trabajo y reportes crm
Red Hat Enterprise Linux
Base de datos MySQL
Dell Power Edge R710
Intel Xeon 64 bits 2.6 GHz 24 12 Mb 16 GB 1 TB Base de datos MySQL
Suse Linux
Página web Dell Power Edge R710
Intel Xeon 64 bits 2.6 GHz 24 12 Mb 16 GB 1 TB Página web Ubuntu
22
Por contar con un centro de datos que le permitió aprovechar al máximo el uso de TIC
y generar las mejores condiciones de comunicación con los ciudadanos, el sujeto
fiscalizado cumplió lo establecido en el artículo 35, fracción II, de la Ley de Gobierno
Electrónico del Distrito Federal, vigente en 2017.
Asimismo, de la entrevista a los servidores públicos adscritos a la Subdirección de Informática
del órgano político-administrativo, así como de las inspecciones físicas realizadas y
formalizadas en el acta circunstanciada núm. ACF-B/84-17/18/1 del 26 de noviembre
2018, se observó que el centro de datos tuvo energía eléctrica polarizada y aterrizada
para evitar que la infraestructura de TIC sufra daños en caso de alguna situación adversa, en
cumplimiento de lo establecido en el artículo 13, objetivo del apartado 6.2, “Seguridad
del Equipamiento”, de las Normas Generales que deberán Observarse en materia de
Seguridad de la Información en la Administración Pública del Distrito Federal, vigentes
en 2017 y se alineó con la norma BICSI (Building Industry Consulting Service International,
por sus siglas en inglés, Servicio de Consultoría de la Industria de Construcción Internacional)
en su apartado 9.9.1.
Se verificó que el órgano político-administrativo contó con el documento denominado
“Plan de Recuperación en caso de Desastre”, que está orientado a la detección y evaluación
de incidentes y daños, y dispuso de una política interna en materia de gobernanza de
TIC referente a la realización de respaldos de la información para generar copias de seguridad
de sistemas, aplicaciones, datos y documentación de acuerdo con una planificación definida,
lo que disminuye el riesgo de interrupción en la continuidad del servicio, por lo que el sujeto
fiscalizado cumplió el numeral 11.1.1, “Planeación de la Continuidad de las Operaciones”
de las Normas Generales que deberán observarse en materia de Seguridad de la Información
en la Administración Pública del Distrito Federal, vigente en 2017, y se alineó a las mejores
prácticas de Control Objectives for Information and related Technology (COBIT 5), en
el control DSS04.07.
El sujeto fiscalizado contó con una herramienta de monitoreo de redes denominada
NAGIOS que vigila los equipos (hardware) y servicios (software), así como los servidores,
enrutadores y enlaces, a fin de detectar actividades no autorizadas y, en su caso,
23
procedimientos formales para que de forma periódica se revisen las bitácoras de
auditoría de los recursos críticos de TIC.
2. De la muestra de auditoría se analizaron cuatro equipos utilizados en el Centro de
Servicios y Atención Ciudadana (CESAC), y ocho en la Ventanilla Única Delegacional
(VUD), cuyas características técnicas son las siguientes:
Equipos en VUD
Equipos de cómputo Procesador Memoria RAM Disco Duro
Marca / Modelo Procesador Arquitectura Velocidad de reloj
Núcleos Memoria caché
Tamaño Tipo Velocidad Tamaño Interfaz RPM Velocidad de transferencia
Lenovo 10GSA0PWLS.
Intel Core i3-6300 64 bits 3.8 GHz 2 4 MB 4 GB DDR4 1200.5 MHz 500 GB SATA 7200 6 Gbps
Lenovo 10GSA0PWLS.
Intel Core i3-6300 64 bits 3.8 GHz 2 4 MB 4 GB DDR4 1200.5 MHz 500 GB SATA 7200 6 Gbps
Lenovo
10GSA0PWLS.
Intel Core
i3-6300 64 bits 3.8 GHz 2 4 MB 4 GB DDR4 1200.5 MHz 500 GB SATA 7200 6 Gbps
Lenovo 10GSA0PWLS.
Intel Core i3-6300 64 bits 3.8 GHz 2 4 MB 4 GB DDR4 1200.5 MHz 500 GB SATA 7200 6 Gbps
Lenovo 10GSA0PWLS.
Intel Core i3-6300 64 bits 3.8 GHz 2 4 MB 4 GB DDR4 1200.5 MHz 500 GB SATA 7200 6 Gbps
Lenovo 10GSA0PWLS.
Intel Core i3-6300 64 bits 3.8 GHz 2 4 MB 4 GB DDR4 1200.5 MHz 500 GB SATA 7200 6 Gbps
Lenovo 10GSA0PWLS.
Intel Core i3-6300 64 bits 3.8 GHz 2 4 MB 4 GB DDR4 1200.5 MHz 500 GB SATA 7200 6 Gbps
Lenovo 10GSA0PWLS.
Intel Core i3-6300 64 bits 3.8 GHz 2 4 MB 4 GB DDR4 1200.5 MHz 500 GB SATA 7200 6 Gbps
RPM: Revoluciones por minuto.
Equipos en CESAC
Equipos de cómputo Procesador Memoria RAM Disco Duro
Marca / Modelo Procesador Arquitectura Velocidad del reloj
Núcleos Memoria caché
Tamaño Tipo Velocidad Tamaño Interfaz RPM Velocidad de transferencia
Lenovo 10GSA0PWLS
Intel Core i3-6300 64 bits 3.8 GHz 2 4 MB 4 GB DDR4 1200.5 MHz 500 GB SATA 7200 6 Gbps
Lenovo 10GSA0PWLS
Intel Core i3-6300 64 bits 3.8 GHz 2 4 MB 4 GB DDR4 1200.5 MHz 500 GB SATA 7200 6 Gbps
Lenovo 10GSA0PWLS
Intel Core i3-6300 64 bits 3.8 GHz 2 4 MB 4 GB DDR4 1200.5 MHz 500 GB SATA 7200 6 Gbps
Lenovo 10GSA0PWLS
Intel Core i3-6300 64 bits 3.8 GHz 2 4 MB 4 GB DDR4 1200.5 MHz 500 GB SATA 7200 6 Gbps
RPM: Revoluciones por minuto.
Con la finalidad de verificar que los equipos de VUD y CESAC tuvieran energía eléctrica
polarizada y aterrizada que permitiera evitar daños en los equipos, se entrevistó a los servidores
públicos adscritos a la Subdirección de Informática del órgano político-administrativo, y se
realizó una inspección física, formalizadas mediante acta circunstanciada núm. ASCM/84-17/18/03
del 8 de enero de 2019; de lo anterior se desprende que el órgano político-administrativo tuvo
24
energía eléctrica polarizada y aterrizada en los equipos, en cumplimiento del artículo 13,
numeral 6, subnumeral 6.2, “Seguridad del Equipamiento”, de las Normas Generales que
deberán observarse en materia de Seguridad de la Información en la Administración Pública del
Distrito Federal, vigentes en 2017.
Por lo anterior, se determinó que el sujeto fiscalizado contó con un centro de datos que le
permite aprovechar al máximo el uso de TIC y generar las mejores condiciones de comunicación
con los ciudadanos; además de un plan de recuperación de desastres, con energía eléctrica
polarizada y aterrizada para evitar que la infraestructura de TIC sufra daños en caso de
alguna situación adversa; contó con una herramienta de monitoreo que le permita supervisar los
recursos críticos de TIC, así como la realización de mantenimiento preventivo y correctivo
a los equipos de cómputo. Asimismo, dispuso de un plan de mantenimiento preventivo y
correctivo de la infraestructura tecnológica que ayude en minimizar las interrupciones de
las operaciones.
Seguridad de la Información
5. Resultado
De acuerdo con la Information Systems Audit and Control Association (ISACA), la seguridad de la
información es “la protección de activos de información, a través del tratamiento de amenazas
que ponen en riesgo la información que es procesada, almacenada y transportada por los
sistemas de información que se encuentran interconectados”.
De acuerdo con las Normas Generales que deberán observarse en materia de Seguridad
de la Información en la Administración Pública del Distrito Federal, el objetivo de una política de
seguridad es establecer, desde el más alto nivel de la administración, la relevancia, el soporte, el
compromiso y la comunicación a todos los empleados y terceros con los que interactúa,
en relación con la seguridad de la información, en consideración de los requerimientos
institucionales y el marco normativo aplicable.
Con la finalidad de verificar que el órgano político-administrativo haya establecido y aplicado las
políticas de seguridad de TIC señaladas por la OM para salvaguardar los bienes informáticos y la
información gestionada, de acuerdo con los estándares, buenas prácticas y normas de TIC
25
aplicables, el 26 de noviembre de 2018, la ASCM realizó inspecciones físicas y una entrevista a
servidores públicos adscritos a la Subdirección de Informática del órgano político-
administrativo, como se asentó en el acta circunstanciada núm. ASCM/84-17/18/01 de la misma
fecha; además, mediante el oficio núm. ACF-B/18/0652 del 2 de julio de 2018, se aplicó
al sujeto fiscalizado el cuestionario de TIC, al cual dio respuesta con el oficio
núm. DMH/DESI/SRF/1152/2018. Al respecto, se determinó lo siguiente:
1. De las respuestas al cuestionario, se observó que el sujeto fiscalizado contó con los
documentos referentes a políticas de seguridad de la información, denominados “Políticas de
Seguridad de la Información” y “Políticas y Lineamientos para el uso de bienes y servicios
informáticos”, los cuales son de uso interno y se sujetan a lo establecido en las
Normas Generales que deberán Observarse en materia de Seguridad de la Información en
la Administración Pública del Distrito Federal, vigentes en 2017.
2. Como resultado de las inspecciones físicas a la infraestructura tecnológica del órgano
político-administrativo, se observó que en el CESAC y la VUD no tuvieron una política
documentada de escritorio limpio y pantalla limpia, lo que puede derivar en un riesgo
de accesos no autorizados a tales equipos, por lo que incumplió el artículo 13,
apartado 8.3, “Responsabilidad de Usuarios”, numeral 8.3.2, “Escritorio limpio y pantalla
limpia”, de las Normas Generales que deberán observarse en materia de Seguridad de la
Información en la Administración Pública del Distrito Federal, vigentes en 2017, que establecen:
“Artículo 13. Cuando el personal no se encuentre en su área de trabajo o se aleje por
un tiempo considerable, no debe dejar al alcance información sensible o confidencial
en cualquier forma (papel, dispositivos de memoria removibles, monitores de computadoras,
entre otros).
”Numeral 8.3.2 Se debe establecer una política de escritorio y monitor limpios para
reducir el riesgo de accesos y divulgación no autorizados, pérdida y daño de información.”
En la reunión de confronta, celebrada el 14 de febrero de 2019, el Director General de
Administración de la Alcaldía Miguel Hidalgo, en representación del titular del órgano político-
administrativo, mediante el oficio núm. AMH/DGA/252/2019 del 13 de febrero de 2019, proporcionó
el oficio núm. DMA/JCRH/093/2019 del 8 de febrero de 2019, donde el Director de Modernización
26
Administrativa del sujeto fiscalizado informó “que sean las áreas de referencia las que atiendan la
solicitud de información.”
De lo anterior, se observó que la Alcaldía Miguel Hidalgo, careció de una política documentada de
escritorio limpio y pantalla limpia, por lo que la presente observación no se modifica.
Por lo anterior, se concluye que el sujeto fiscalizado acreditó disponer de políticas de seguridad de
la información; sin embargo, careció de una política de escritorio limpio y pantalla limpia.
Recomendación ASCM-84-17-4-MH
Es necesario que la Alcaldía Miguel Hidalgo establezca mecanismos de supervisión para
asegurarse de contar con una política documentada de escritorio limpio y pantalla limpia,
establecido en las Normas Generales que deberán observarse en materia de Seguridad
de la Información en la Administración Pública del Distrito Federal.
RESUMEN DE OBSERVACIONES Y ACCIONES
Se determinaron cinco resultados, que generaron cuatro observaciones, las cuales corresponden
a cuatro recomendaciones.
La información contenida en el presente apartado refleja las acciones derivadas de las
auditorías que hasta el momento se han detectado por la práctica de pruebas y procedimientos
de auditoría; sin embargo, podrían sumarse observaciones y acciones adicionales a las
señaladas, producto de los procesos institucionales, de la recepción de denuncias, y de
las funciones de investigación y sustanciación a cargo de esta entidad de fiscalización
superior de la Ciudad de México.
JUSTIFICACIONES Y ACLARACIONES
La documentación proporcionada a esta entidad de fiscalización superior de la Ciudad
de México por el sujeto fiscalizado en la reunión de confronta fue analizada con el fin de
determinar la procedencia de desvirtuar o modificar las observaciones incorporadas por
la Auditoría Superior de la Ciudad de México en el Informe de Resultados de Auditoría para
27
Confronta, cuyo resultado se plasma en el presente Informe Individual que forma parte del
Informe General Ejecutivo del Resultado de la Fiscalización Superior de la Cuenta Pública
de la Ciudad de México.
En atención a las observaciones señaladas, el sujeto fiscalizado remitió el oficio
núm. AMH/DGA/252/2019 del 13 de febrero de 2019, mediante el cual presentó información y
documentación con el propósito de atender lo observado; no obstante, derivado del análisis
efectuado por la unidad administrativa de auditoría a la información y documentación
proporcionadas por el sujeto fiscalizado, se advierte que los resultados tres y cinco se
consideran no desvirtuados.
PERSONAS SERVIDORAS PÚBLICAS A CARGO DE REALIZAR LA AUDITORÍA
En cumplimiento del artículo 36, párrafo decimotercero, de la Ley de Fiscalización Superior
de la Ciudad de México, se enlistan los nombres y cargos de las personas servidoras públicas de
la Auditoría Superior de la Ciudad de México involucradas en la realización de la auditoría:
Persona servidora pública Cargo
Fase de planeación
Mtro. Sergio Jesús González Muñoz Director General
Mtro. Édgar Alan Apantenco Belmont Director “C” de Auditoría
Mtro. Fidel López Gaona Subdirector de Área
L.A. Jorge Alejandro Jurado Rentería Jefe de Unidad Departamental
C.P. Víctor Erik Briseño Sánchez Auditor Fiscalizador “C”
Fases de planeación y ejecución
L.C. María Guadalupe Xolalpa García Encargada del Despacho de la Dirección General
Mtro. Fidel López Gaona Subdirector de Área
L.A. Jorge Alejandro Jurado Rentería Jefe de Unidad Departamental
C.P. Víctor Erik Briseño Sánchez Auditor Fiscalizador “C”
Confronta y fase de elaboración de informes
C.P. Adriana Julián Nava Directora General
Lic. Jaime Mundo Ortega Director “C” de Auditoría
Lic. Juan José Vera Figueroa Subdirector de Área
L.A. Jorge Alejandro Jurado Rentería Jefe de Unidad Departamental
C.P. Víctor Erik Briseño Sánchez Auditor Fiscalizador “C”