cxxi. i a r c p c m enormativo de gobernanza de tic es de interés para los habitantes de la...
TRANSCRIPT
CXXI. INFORME INDIVIDUAL DE AUDITORÍA,
DERIVADA DE LA REVISIÓN DE LA CUENTA PÚBLICA
DE LA CIUDAD DE MÉXICO CORRESPONDIENTE
AL EJERCICIO DE 2017
1
ÓRGANO POLÍTICO-ADMINISTRATIVO
ALCALDÍA XOCHIMILCO (ANTES DELEGACIÓN XOCHIMILCO)
AUDITORÍA DE CUMPLIMIENTO CON ENFOQUE EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES
Marco Normativo de Gobernanza de Tecnologías de la Información y Comunicaciones
Auditoría ASCM/104/17
FUNDAMENTO LEGAL
La auditoría se llevó a cabo con fundamento en los artículos 122, apartado A, fracción II,
sexto y séptimo párrafos, en relación con el 74, fracción VI; y 79, de la Constitución Política de
los Estados Unidos Mexicanos; 42, fracción XIX; y 43 del Estatuto de Gobierno del Distrito
Federal; 10, fracción VI, de la Ley Orgánica de la Asamblea Legislativa del Distrito Federal;
1; 2, fracciones XIII y XLI, inciso a); 3; 8, fracciones I, II, IV, VI, IX, XXVI y XXXIII; 9; 10, incisos
a) y b); 14, fracciones I, VIII, XVII, XX y XXIV; 22; 24; 27; 28; 30; 32; 33; 34; 35; 36, primer
párrafo; 37, fracción II; 61; y 62 de la Ley de Fiscalización Superior de la Ciudad de México;
y 1; 4; 5, fracción I, inciso b); 6, fracciones V y VII; y 30 del Reglamento Interior de la Auditoría
Superior de la Ciudad de México.
ANTECEDENTES
Como parte de la Política Informática y Mejora de Tecnologías de la Información, la Oficialía
Mayor (OM) de la Ciudad de México publicó el 18 de septiembre de 2015 en la Gaceta Oficial
del Distrito Federal, núm. 179, Tomo I, la Normatividad en materia de Administración de Recursos
para las Delegaciones de la Administración Pública del Distrito Federal (Circular Uno Bis 2015),
vigente en 2017, con la que instauró un gobierno electrónico con el uso de recursos tecnológicos
para reducir costos de operación y tiempo de espera, y mejorar la atención al público; así
como para garantizar la atención a la demanda de servicios de Tecnologías de la Información
a los entes públicos del Gobierno de la Ciudad de México.
2
CRITERIOS DE SELECCIÓN
Esta auditoría se propuso de conformidad con los siguientes criterios generales de selección,
contenidos en el Manual de Selección de Auditorías de esta entidad de fiscalización superior:
“Propuesta e Interés Ciudadano”, en virtud de la necesidad de que la Administración Pública de
la Ciudad de México proporcione mejores servicios a la ciudadanía en vinculación con las
Tecnologías de la Información y Comunicaciones (TIC), mediante mecanismos oficiales y
documentados que rijan la operación; y de que por su naturaleza e impacto social, el marco
normativo de gobernanza de TIC es de interés para los habitantes de la Delegación Xochimilco.
“Presencia y Cobertura”, porque el marco normativo de gobernanza de TIC no ha sido objeto
de fiscalización específica por parte de la Auditoría Superior de la Ciudad de México y por
ser susceptible de auditarse por estar contenido en la Cuenta Pública de la Ciudad de México.
OBJETIVO
El objetivo de la revisión consistió en verificar que el marco normativo relativo a la gobernanza
de las TIC haya sido implementado en la Delegación Xochimilco, que establezca los principios
que regirán la gestión TIC con base en lo instaurado por la Oficialía Mayor en cumplimiento con
la Ley de Gobierno Electrónico del Distrito Federal y la Normatividad en materia de
Administración de Recursos para las Delegaciones de la Administración Pública del Distrito
Federal (Circular Uno Bis 2015) y en alineación con los estándares y mejores prácticas TIC
aplicables.
ALCANCE Y DETERMINACIÓN DE LA MUESTRA
Se revisó que se hayan implementado políticas informáticas que impactaran en una gestión TIC
eficiente, eficaz y confiable en la Delegación Xochimilco.
De los elementos que integran el objetivo de auditoría, de manera enunciativa, más no limitativa
se revisó lo siguiente:
3
Gobernanza TIC
Se evaluó si la Delegación Xochimilco implementó y ejecutó las políticas de gobernanza TIC,
establecidas por la OM, acordes con los controles generales alineados con la normatividad y
buenas prácticas TIC aplicables, así como si participó en el Comité de Gobierno Electrónico de
la Ciudad de México.
Desarrollo y Adquisición
Se evaluó si la Delegación Xochimilco aplicó y desempeñó la normatividad relativa a desarrollo
y adquisición TIC fundadas por la Oficialía Mayor, en cumplimiento con lo establecido en
la Normatividad en materia de Administración de Recursos para las Delegaciones de la
Administración Pública del Distrito Federal (Circular Uno Bis 2015) y demás normatividad
TIC aplicable.
Continuidad del Servicio y Recuperación de Desastres
Se evaluó si la Delegación Xochimilco incorporó y utilizó las políticas de continuidad del servicio
y recuperación de desastres generadas por la OM, a fin de permitir que la infraestructura
tecnológica del órgano político-administrativo brindara los servicios de manera ininterrumpida a
la ciudadanía, en alineación con las mejores prácticas y estándares TIC aplicable.
Seguridad de la Información
Se evaluó si la Delegación Xochimilco estableció y aplicó las políticas de seguridad de la
información señaladas por la OM para salvaguardar los bienes informáticos y la información
gestionada por el órgano político-administrativo, de acuerdo con los estándares, buenas
prácticas y normas TIC aplicables.
Derivado de los trabajos que se llevaron a cabo en la fase de planeación de la auditoría y
del estudio y evaluación del sistema de control interno, se determinó revisar los procedimientos,
políticas y protocolos relacionados con el marco normativo de gobernanza de TIC que hayan
sido aplicados por la Delegación Xochimilco.
4
Para determinar la muestra de los procedimientos, políticas y protocolos sujetos a revisión, se
aplicaron los siguientes criterios:
1. Se identificaron los procedimientos publicados en el manual administrativo de la Delegación
Xochimilco que tuvieron relación con el marco normativo de gobernanza de TIC, así
como las políticas internas de seguridad de la información, desarrollo y adquisición de
las TIC, la recuperación de desastres y mantenimiento a la infraestructura de las TIC y
los estándares y mejores prácticas de las TIC aplicables en el rubro a revisión; en especial, lo
establecido en Ley de Gobierno Electrónico del Distrito Federal, la Normatividad en materia de
Administración de Recursos para las Delegaciones de la Administración Pública del Distrito
Federal (Circular Uno Bis 2015) y las Normas Generales que deberán observarse en materia
de Seguridad de la Información en la Administración Pública del Distrito Federal.
2. Se consideró la aplicación de los procedimientos, políticas, estándares y mejores prácticas
en las áreas de servicio a la ciudadanía, específicamente en la Ventanilla Única Delegacional
(VUD), en el Centro de Servicios y Atención Ciudadana (CESAC) y en el sitio web de
la Delegación Xochimilco.
3. Se determinó ampliar la muestra original del 30.0%, para incrementar el grado de seguridad
en la eficiencia operativa de los controles al 48.4% (15 equipos) del total de equipamiento de
las TIC (31 equipos) utilizado en la atención a la ciudadanía en el Centro de Datos, VUD,
CESAC y sitio web; asimismo, se estableció como muestra el 100.0% del total de los
procedimientos, políticas y estándares TIC (17) para la aplicación de pruebas de auditoría,
como se muestra a continuación:
Número de equipos en la infraestructura TIC utilizada para servicios ciudadanos de la Alcaldía
Universo Muestra
Centro de datos
VUD CESAC Sitio web Total Centro
de datos VUD CESAC Sitio web Total
6 13 11 1 31 3 6 5 1 15
La muestra del universo por auditar se determinó mediante un método de muestreo no
estadístico, con fundamento en la Norma Internacional de Auditoría (NIA) 530, “Muestreo
de Auditoría”, emitida por la Federación Internacional de Contadores (IFAC); en la Norma
5
Internacional de las Entidades Fiscalizadoras Superiores (ISSAI) 1530, “Muestreo de Auditoría”,
emitida por el Comité de Normas Profesionales de la Organización Internacional de Entidades
Fiscalizadoras Superiores (INTOSAI); y en el Manual del Proceso General de Fiscalización de
la Auditoría Superior de la Ciudad de México.
Los trabajos de auditoría se efectuaron en la Subdirección de Informática, adscrita a la
Dirección General de Administración en la Alcaldía Xochimilco por ser la unidad administrativa
con atribuciones y funciones previstas en el manual administrativo de esa Alcaldía, vigente
en 2017, encargada del cumplimiento de la Ley de Gobierno Electrónico del Distrito Federal, las
Normas Generales que deberán observarse en materia de Seguridad de la Información en
la Administración Pública del Distrito Federal, la Normatividad en materia de Administración de
Recursos para las Delegaciones de la Administración Pública del Distrito Federal (Circular
Uno Bis 2015) y demás normatividad relativa a la gobernanza TIC, vigente en 2017.
PROCEDIMIENTOS, RESULTADOS Y OBSERVACIONES
Evaluación del Control Interno
1. Resultado
Con la finalidad de evaluar el control interno implementado por el sujeto fiscalizado y para
contar con una base para determinar la naturaleza, extensión y oportunidad de las pruebas de
auditoría, se analizaron las atribuciones del órgano político-administrativo, el marco normativo y
su manual administrativo del sujeto fiscalizado, vigentes en 2017; se realizaron entrevistas
y se aplicaron cuestionarios de control interno y de marco normativo de gobernanza de TIC a la
Oficina de la Jefatura Delegacional y a la Dirección General de Administración, en particular, a los
servidores públicos responsables de la administración, gestión y gobernanza TIC, en relación
con los cinco componentes del control interno (Ambiente de Control, Administración de Riesgos,
Actividades de Control, Información y Comunicación y Supervisión).
La evaluación se realizó tomando como parámetro de referencia el Marco Integrado de
Control Interno para el Sector Público (MICI), que es un documento de carácter técnico
que fue desarrollado por el Grupo de Trabajo de Control Interno del Sistema Nacional de
Fiscalización en su quinta reunión plenaria celebrada en 2014 y que tiene por objeto
6
la implementación de un control interno efectivo como una herramienta fundamental para
aportar elementos que promuevan la consecución de objetivos institucionales, minimicen
los riesgos, reduzcan la probabilidad de ocurrencia de actos de corrupción y fraudes, consideren
la integración de las tecnologías de la información a los procesos institucionales, respalden la
integridad y el comportamiento ético de los servidores públicos y consoliden los procesos
de rendición de cuentas y de transparencia gubernamentales; asimismo, está diseñado como
un modelo de control interno que puede ser adoptado y adaptado por las instituciones en
ámbitos federal, estatal y municipal. El marco referido gozaría de mayor aceptación e impacto si
los distintos niveles de gobierno, en el ámbito de sus atribuciones, expidieran los decretos
correspondientes para su aprobación.
Como resultado del análisis de las respuestas a los cuestionarios aplicados, de las entrevistas
realizadas y de la información y documentación proporcionadas por el sujeto fiscalizado,
se determinó lo siguiente:
Ambiente de Control
Se identificaron las unidades administrativas del sujeto fiscalizado que estuvieron relacionadas
con el rubro sujeto a revisión; las funciones, objetivos, actividades y procedimientos aplicados; las
normas, procesos y estructura orgánica que proporcionan la base para llevar a cabo el control
interno en el sujeto fiscalizado; así como la normatividad que proporciona disciplina y estructura
para apoyar al personal en la consecución de los objetivos institucionales; y se verificó si
el sujeto fiscalizado estableció y mantiene un ambiente de control que implique una actitud de
respaldo hacia el control interno, como se indica a continuación:
1. El sujeto fiscalizado contó en 2017 con la estructura orgánica núm. OPA-XOCH-15/010715,
dictaminada favorablemente por la Coordinación General de Modernización Administrativa
(CGMA) y notificada al sujeto fiscalizado por medio del oficio núm. OM/0416/2015 del
30 de junio de 2015, vigente a partir del 1o. de julio de 2015.
En dicha estructura orgánica, se previeron una oficina de la Jefatura Delegacional y
seis Direcciones Generales (Jurídica y de Gobierno, de Administración, de Obras
y Desarrollo Urbano, de Servicios Urbanos, de Desarrollo Social y de Medio Ambiente y
Desarrollo Sustentable).
7
La Subdirección de Informática se encuentra adscrita a la Dirección General de
Administración en el órgano político-administrativo.
2. En 2017, el sujeto fiscalizado dispuso de un manual administrativo elaborado conforme al
dictamen de estructura orgánica núm. OPA-XOCH-15/010715, el cual fue registrado
por la CGMA con el núm. MA-05/110416-OPA-XOCH-15/010715 y notificado al sujeto
fiscalizado mediante el oficio núm. OM/CGMA/0753/2016 del 11 de abril de 2016. En
la Gaceta Oficial de la Ciudad de México del 29 de abril de 2016, se publicó el “Aviso
por el que se da a conocer el Enlace Electrónico donde podrá ser consultado
el Manual Administrativo de la Delegación Xochimilco, con número de registro
MA-05/110416-OPA-XOCH-15/010715”, en cuya consulta se verificó su publicación y
vigencia a partir del día siguiente.
Posteriormente, con el oficio núm. XOCH13-100/667/2016 de noviembre de 2016, el
titular del sujeto fiscalizado solicitó a la CGMA la cancelación del procedimiento “Apoyo a
Maestros Jubilados”. Como resultado de dicha actualización el sujeto fiscalizado obtuvo el
registro núm. MA-17/011216-OPA-XOCH-15/010715-A1, notificado al sujeto fiscalizado
con el oficio núm. OM/CGMA/2360/2016 del 1o. de diciembre de 2016. En la Gaceta
Oficial de la Ciudad de México núm. 229 del 26 de diciembre de 2016, se publicó
el “Aviso por el que se da a conocer el Enlace Electrónico donde podrá ser consultado el
Manual Administrativo de la Delegación Xochimilco con registro de actualización
MA-17/011216-OPA-XOCH-15/010715-A1.” En la consulta del enlace citado, se verificó su
publicación y vigencia a partir del día siguiente.
El manual citado, junto con su actualización, se integró por los apartados de marco jurídico
de actuación; atribuciones; misión, visión y objetivos institucionales; organigrama de la
estructura básica; organización y procedimientos; glosario y aprobación del manual
administrativo.
3. El sujeto fiscalizado contó con unidades administrativas encargadas de generar información
para cumplir las obligaciones en materia de transparencia y acceso a la información,
fiscalización, rendición de cuentas y armonización contable, así como de administrar
los recursos humanos, financieros y de TIC, por medio de la Subdirección de Informática,
8
para lo cual implementó dos procedimientos específicos para el rubro de gobernanza
de las TIC, que se formalizaron con su registro ante la CGMA y se incorporaron a su
manual administrativo.
Con base en lo anterior, se determinó que el sujeto fiscalizado dispuso de una estructura
orgánica, de un manual administrativo dictaminado por la CGMA y de unidades administrativas
encargadas de generar información para cumplir las obligaciones en materia de fiscalización,
rendición de cuentas y armonización contable, así como de administrar los recursos humanos,
financieros y tecnológicos, por lo que ha establecido un ambiente de control que implica
una actitud de respaldo hacia el control interno.
Administración de Riesgos
Con relación a si el sujeto fiscalizado contó con un proceso para identificar el cumplimiento de
sus objetivos y reunió las bases para desarrollar respuestas apropiadas al riesgo que permitan
administrarlo y controlarlo, se identificó lo siguiente:
1. Los objetivos institucionales del sujeto fiscalizado no se encuentran definidos toda vez
que careció del Programa Delegacional de Desarrollo 2015-2018, de modo que no tiene un
documento que coadyuve en la identificación de los riesgos potenciales asociados a
éstos y en la determinación de cómo se gestionarán; no obstante, se identificó que en
su Programa Operativo Anual (POA) el sujeto fiscalizado cuenta con ejes estratégicos
asociados a su mandato legal y alineados al Programa General de Desarrollo del
Distrito Federal 2013-2018 (PGDDF), publicado en la Gaceta Oficial del Distrito Federal
núm. 1689, Tomo II del 11 de septiembre de 2013, en el que se incluye el rubro de gobernanza
de las TIC, los cuales fueron comunicados de manera formal a sus servidores públicos.
Por carecer del Programa Delegacional de Desarrollo 2015-2018, el sujeto fiscalizado
incumplió el primer párrafo del artículo 28 BIS y 31 de la Ley de Planeación del Desarrollo
del Distrito Federal publicada en la Gaceta Oficial del Distrito Federal, núm. 16, del
27 de enero de 2000, vigente en 2017, que establecen:
9
“Artículo 28 BIS. Los titulares de los órganos políticos-administrativos deberán presentar el
proyecto de Programa Delegacional de la demarcación a su cargo al Jefe de Gobierno, a
más tardar el día 5 de enero del año inmediato siguiente al de su toma de posesión.”
“Artículo 31. El programa delegacional de cada demarcación territorial contendrá como
mínimo:
”I. Los antecedentes; el diagnóstico económico, social y territorial del desarrollo de la
demarcación; la proyección de tendencias y los escenarios previsibles; así como el
contexto regional y nacional del desarrollo;
”II. Los lineamientos contenidos en el Programa General y los programas que deban
ser observados por la demarcación territorial;
”III. La imagen objetivo que consistirá en lo que el propio programa pretende lograr en
su ámbito espacial y temporal de validez;
”IV. La estrategia del órgano político-administrativo con base en la orientación establecida
en los componentes rectores contenidos en el Programa General;
”V. La definición de objetivos y prioridades del desarrollo de mediano y largo plazo;
”VI. Las metas generales que permitan la evaluación sobre el grado de avance en la
ejecución del programa delegacional;
”VII. La definición de los programas parciales que deban realizarse en la demarcación
territorial;
”VIII. La previsión de programas especiales para la coordinación con otros órganos político-
administrativos y las responsabilidades para su instrumentación.”
En la reunión de confronta, celebrada el 7 de febrero de 2019, la Directora General de
Administración de la Alcaldía Xochimilco, en representación del titular del órgano político-
administrativo, mediante el oficio núm. XOCH13-DGA-537-2019 del 6 de febrero de 2019,
10
proporcionó el oficio núm. XOCH13/DRM/3651/2019 del 6 de febrero de 2019, donde
el Director de Recursos Materiales y Servicios Generales del sujeto fiscalizado, no
presentó respuesta alguna.
De lo anterior, la hoy Alcaldía Xochimilco no presentó ninguna respuesta, por lo que la
presente observación no se modifica.
2. La Contraloría Interna del sujeto fiscalizado, adscrita a la entonces Contraloría General
de la Ciudad de México (CGCDMX), de acuerdo con el artículo 113, fracción III, del
Reglamento Interior de la Administración Pública del Distrito Federal vigente en 2017,
contó con atribuciones para revisar e inspeccionar que el órgano político-administrativo
cumpla las normas y disposiciones en materia de TIC. El órgano interno de control no
practicó auditoría al sujeto fiscalizado relacionada con la gobernanza de las TIC por el
ejercicio de 2017.
Con base en lo anterior, aun cuando el sujeto fiscalizado no dispuso del Programa de
Desarrollo Delegacional 2015-2018, de acuerdo con los artículos 28 BIS y 31, de la Ley de
Planeación del Desarrollo del Distrito Federal, en su POA consideró los ejes estratégicos
asociados a su mandato legal y alineados al PGDDF 2013-2018; y dispuso de un órgano interno
de control que lo vigila, el cual no auditó la gobernanza de las TIC por el ejercicio de 2017.
Actividades de Control
Las acciones establecidas por el sujeto fiscalizado para prevenir, minimizar y responder
a los riesgos que pudieran afectar el cumplimiento y logro de sus objetivos, en particular a
la eficacia y eficiencia de las operaciones del rubro sujeto a revisión, son las siguientes:
1. En 2017, el sujeto fiscalizado dispuso de 177 procedimientos elaborados conforme
al dictamen de estructura orgánica núm. OPA-XOCH-15/010715, que se integraron al manual
administrativo que la CGMA registró con el núm. MA-17/011216-OPA-XOCH-15/010715-A1,
de acuerdo con el oficio núm. OM/CGMA/2360/2016 del 1o. de diciembre de 2016, cuyo
enlace electrónico http://www.xochimilco.gob.mx fue publicado en la Gaceta Oficial
11
de la Ciudad de México núm. 229 el 26 de diciembre de 2016, y de su consulta se
comprobó su publicación y vigencia a partir del día siguiente.
De 177 procedimientos que estuvieron vigentes en 2017, tres estuvieron relacionados
con el rubro auditado. Dichos procedimientos permiten cumplir los objetivos de control
y administrar riesgos inherentes a la gestión de las TIC y garantizan razonablemente
el cumplimiento de las leyes, reglamentos, normas, políticas y otras disposiciones de
observancia obligatoria. Los tres procedimientos identificados para el rubro de gobernanza
de las TIC fueron los siguientes:
Concepto Procedimiento
Gobernanza TIC, Desarrollo y Adquisición, Continuidad del Servicio y Recuperación de Desastres, y Seguridad de la Información
“Baja de Equipo de Cómputo”
“Atención de Solicitudes Relacionadas con Servicios de Internet y Telecomunicaciones”
“Desarrollo de Sistemas Informáticos”
2. Para la operación y desarrollo de sus actividades sustantivas, administrativas y financieras,
el órgano político-administrativo contó con el Sistema de Planeación de Recursos
Gubernamentales (SAP-GRP), cuyas políticas y lineamientos de seguridad, fueron establecidos
por la entonces Secretaría de Finanzas (SEFIN) como autoridad administradora del sistema.
Con base en lo anterior, se elaboró una matriz de control para evaluar si los mecanismos
establecidos hicieron factible la administración de los riesgos. Al respecto, se determinó
que el sujeto fiscalizado contó con dos procedimientos para prevenir, minimizar y responder
a los riesgos que pudieran afectar el cumplimiento y logro de sus objetivos, en particular,
la eficacia y eficiencia de las operaciones del rubro sujeto a revisión.
Información y Comunicación
Respecto a si el sujeto fiscalizado dispuso de mecanismos de comunicación interna que
permitieran que la información que se genera al exterior fuera apropiada, oportuna, actualizada
exacta y accesible, así como para comunicar internamente al personal los objetivos
y responsabilidades, se observó lo siguiente:
12
1. En 2017, el órgano político-administrativo difundió su manual administrativo registrado
con el núm. MA-17/011216-OPA-XOCH-15/010715-A1, mediante el oficio circular
núm. XOCH13-100/005/2017 del 2 de enero de 2017 y lo incorporó a su portal de
transparencia de la página de internet del órgano político-administrativo para consulta
de sus servidores públicos.
2. En 2017, el sujeto fiscalizado contó con unidades administrativas que se encargaron
de generar la información requerida para el cumplimiento de sus obligaciones en
materia de contabilidad gubernamental, fiscalización y rendición de cuentas, y con el
SAP-GRP para gestionar la información relativa a los recursos humanos, financieros
y presupuestales con unidades administrativas externas; así como con la información
generada respecto a la operación de la gobernanza TIC, por conducto de la Subdirección de
Informática.
Con base en lo anterior, se determinó que el órgano político-administrativo difundió el
manual administrativo registrado con el núm. MA-17/011216-OPA-XOCH-15/010715-A1 y
lo incorporó en el portal de transparencia de su página de internet para consulta de sus
servidores públicos y dispuso de unidades administrativas para generar información necesaria,
veraz y suficiente para el cumplimiento de sus obligaciones. Sin embargo, no generó información
oportuna.
Supervisión
Con relación a si se encuentran identificados los tramos de control y supervisión en los diferentes
niveles jerárquicos para el cumplimiento de los objetivos del sujeto fiscalizado, se identificó que,
en términos generales, en los tres procedimientos establecidos en su manual administrativo
registrado por la CGMA, aplicables al rubro sujeto a revisión se encuentran plasmados
tramos de control y supervisión.
Procedimientos establecidos en su manual administrativo
“Baja de Equipo de Cómputo”
“Atención de Solicitudes Relacionadas con Servicios de Internet y Telecomunicaciones”
“Desarrollo de Sistemas Informáticos”
13
En el estudio y evaluación del control interno establecido por el sujeto fiscalizado, una vez
recopilada y analizada la información general de las áreas y operaciones sujetas a revisión, a
partir del flujo general de las áreas y operaciones sujetas a revisión, a partir del flujo general de
las actividades, de los objetivos específicos y mecanismos de control identificados en cada
proceso, así como de la respuesta al cuestionario de control interno aplicado, se elaboró
una matriz de control para evaluar si los mecanismos establecidos hicieron factible la
administración de los riesgos de irregularidades e ineficiencias y si disminuyeron las debilidades
detectadas, y se determinó que el control interno fue apropiado para administrar los riesgos de
irregularidades e ineficiencias a que estuvieron expuestas las actividades y el cumplimiento de los
objetivos del sujeto fiscalizado relacionados con el marco normativo de gobernanza TIC.
Tanto la ASCM como la entonces CGCDMX no han practicado auditorías al Marco Normativo
de Gobernanza de Tecnologías de la Información y Comunicaciones.
Lo anterior, toda vez que de la evaluación del control interno se determinó que el sujeto
fiscalizado propició un ambiente de control que implica una actitud de respaldo hacia el control
interno, consideró los ejes estratégicos asociados a su mandato legal y alineados al
PGDDF 2013-2018, aun cuando careció del Programa Delegacional de Desarrollo 2015-2018,
reunió las bases para desarrollar respuestas al riesgo que permiten administrarlo y controlarlo,
contó con procedimientos que permiten prevenir, minimizar y responder a los riesgos que
pudieran afectar el cumplimiento y logro de sus obligaciones y se encuentran identificados
los tramos de control y supervisión en los diferentes niveles jerárquicos para el cumplimiento
de los objetivos del sujeto fiscalizado.
En la revisión de la Cuenta Pública 2016, en el informe final de la auditoría ASCM/79/16,
practicada a la Delegación Xochimilco, resultado núm. 1, recomendación ASCM-79-16-1-XOC,
se considera el mecanismo para contar con los lineamientos del Programa Delegacional
de Desarrollo, consistente en establecer el control para asegurarse de que se elabore y remita
su Programa Delegacional de Desarrollo al Jefe de Gobierno de la Ciudad de México, a
más tardar el día 5 de enero del año inmediato siguiente al de la toma de posesión del titular del
órgano político-administrativo de acuerdo con la Ley de Planeación del Desarrollo del Distrito
Federal, por lo que se dará tratamiento a dicha circunstancia como parte de la recomendación
citada.
14
Gobernanza de TIC
2. Resultado
Según la INTOSAI, la gobernanza de TIC puede considerarse como “el marco general que
guía las operaciones TIC en una organización para asegurar que satisface las necesidades de la
empresa en el día a día y que incorpora planes para el crecimiento y futuras necesidades.
Es parte de la gestión y comprende el liderazgo organizacional, las estructuras y procesos
institucionales y otros mecanismos (cumplimiento, recursos, informes y retroalimentación, etc.)
que aseguran que los sistemas de TIC puedan sostener las metas y estrategias organizacionales
equilibrando los riesgos y gestionando eficazmente los recursos. La gobernanza de TIC
desempeña un papel clave en la determinación del entorno de control y construye las
bases para establecer prácticas sólidas de control interno e informar a niveles funcionales
para la supervisión y revisión de la administración”.
A fin de constatar que el órgano político-administrativo haya implementado y ejecutado las
políticas de gobernanza de TIC, establecidas por la OM, acordes con los controles generales
alineados con la normatividad y buenas prácticas TIC aplicables, así como participado en
el Comité de Gobierno Electrónico de la Ciudad de México, se realizó una entrevista a servidores
públicos adscritos a la Subdirección de Informática del órgano político-administrativo, el
28 de noviembre de 2018, e inspecciones físicas, como se asentó en el acta circunstanciada
núm. ACF-B/104-17/18/01 de la misma fecha, para verificar que el sujeto fiscalizado haya
cumplido la Normatividad en materia de Administración de Recursos para las Delegaciones de
la Administración Pública del Distrito Federal (Circular Uno Bis 2015), la Ley de Gobierno
Electrónico del Distrito Federal, publicada en la Gaceta Oficial del Distrito Federal el
7 de octubre de 2015, lo dispuesto por la OM y demás normatividad relativa a la gobernanza de
TIC vigente en 2017. Al respecto, se determinó lo siguiente:
1. En su manual administrativo con registro núm. MA-17/011216-OPA-XOCH-15/010715-A1,
el órgano político-administrativo contó con tres procedimientos relacionados con la gestión
y gobernanza TIC y con 14 políticas de TIC internas, todos vigentes en 2017, de cuyo
análisis, se determinó lo siguiente:
15
a) En el análisis de la información proporcionada por el sujeto fiscalizado, se determinó
que un procedimiento y una política de TIC interna se ajustaron con lo establecido
en la Normatividad en materia de Administración de Recursos para las Delegaciones de
la Administración Pública del Distrito Federal (Circular Uno Bis 2015), vigente en 2017.
Asimismo, se verificó que dos procedimientos y 14 políticas de TIC internas se
ajustan a las Normas Generales que deberán observarse en materia de Seguridad
de la Información en la Administración Pública del Distrito Federal, publicadas en
la Gaceta Oficial del Distrito Federal el 9 de julio de 2007, vigente en 2017.
b) Se verificó que los 3 procedimientos y las 14 políticas de TIC internas se alinearon con
los controles generales de TIC que especifica la INTOSAI en el WGITA-IDI Handbook on
IT Audit for Supreme Audit Institutions (Manual del Grupo de Trabajo en Auditoría
TIC de la Iniciativa de Desarrollo de la INTOSAI, sobre Auditoría TIC para Instituciones
Superiores de Auditoría) de 2014 y en la ISSAI 5300, “Directrices sobre Auditoría
de TIC” de 2016, ambas publicadas, aprobadas y autorizadas por dicha organización
internacional.
Los procedimientos y políticas TIC internas, aplicadas por el órgano político-administrativo,
se muestran en la siguiente tabla:
Procedimiento o política interna de TIC Circular Uno Bis Normas
Generales Handbook on IT Audit
Procedimientos manual administrativo
“Baja de Equipo de Cómputo” X X
“Atención de Solicitudes Relacionadas con Servicios de Internet y Telecomunicaciones”
X X
“Desarrollo de Sistemas Informáticos” X X
Políticas TIC internas
“Del Equipo de Comunicaciones” X X
“De los Mantenimientos” X X
“Acceso a la Red de Datos” X X
“Del Crecimiento de la Red” X X
“Administración” X
“Seguridad de la Información” X X
“Acceso a Internet” X X
“Correo Electrónico Institucional” X X X
Continúa…
16
… Continuación
Procedimiento o política interna de TIC Circular Uno Bis Normas
Generales Handbook on IT Audit
“Uso de la Infraestructura Informática y de Comunicaciones”
X X
“Redes de Área Local” X X
“Sobre el Mantenimiento y Buen Uso de la Infraestructura” X X
“Desarrollo de Sistemas” X X
“Modificación y/o Ampliación de un Sistema” X X
“Alta, Modificación o Baja de Usuarios de un Sistema” X X
En el análisis de las respuestas al cuestionario y a las entrevistas realizadas al
personal de la Subdirección de Informática, se constató que el sujeto fiscalizado
dispuso de procedimientos y políticas TIC internas. Por ello, el órgano político-
administrativo cumplió el artículo 9, inciso II, de la Ley de Gobierno Electrónico del
Distrito Federal vigente en 2017.
2. Mediante el oficio núm. XOCH13/100/079/2017 del 17 de enero de 2017, se comunicó
la designación del Subdirector de Informática como vocal ante la Comisión de Gobierno
Electrónico de la Ciudad de México.
Se determinó que el sujeto fiscalizado contó con procedimientos relativos a la gobernanza
y gestión TIC en su manual administrativo y con políticas de TIC internas; y con un vocal
ante la Comisión de Gobierno Electrónico de la Ciudad de México.
Desarrollo y Adquisición de TIC
3. Resultado
De acuerdo con la Normatividad en materia de Administración de Recursos para las
Delegaciones de la Administración Pública del Distrito Federal (Circular Uno Bis 2015),
vigente en 2017, el Plan Estratégico de Tecnologías de la Información y Comunicaciones
(PETIC) es el instrumento de planeación estratégica del desarrollo de las tecnologías de la
información y comunicaciones que deberán realizar las Delegaciones de la Administración
Pública para alinear las acciones y proyectos en materia de informática al PGDDF 2013-2018.
Dicho instrumento es el fundamento para la adquisición y arrendamiento de bienes y servicios
informáticos y deberá registrarse ante la Dirección General de Gobernabilidad de Tecnologías
17
de la Información y Comunicaciones (DGGTIC), con el propósito de que se fundamenten
técnicamente las mencionadas adquisiciones, conforme a las políticas, normas, lineamientos
y procedimientos que para tal efecto emita la Dirección citada.
Con la finalidad que el sujeto fiscalizado haya aplicado y desempeñado la normatividad
relativa a desarrollo y adquisición de TIC establecidas por la OM y demás normatividad de
TIC aplicable, la ASCM solicitó al ente auditado, mediante el oficio núm. ACF-B/18/0657
del 2 de julio de 2018, la respuesta al cuestionario de TIC. Dicha respuesta fue proporcionada con
el oficio núm. XOCH13/DGA/2811/2018 del 13 de julio de 2018. Al respecto, se determinó
lo siguiente:
1. El órgano político-administrativo no registró, ni sometió para su aprobación el PETIC;
así como, tampoco informó de las adquisiciones ante la DGGTIC, por lo que incumplió
los numerales 9.3.3, 9.3.4, 9.3.5, 9.4.16 y 9.4.17 del punto 9, “Tecnologías de la Información
y Comunicaciones de la Administración Pública del Distrito Federal”, correspondiente
a la Normatividad en materia de Administración de Recursos para las Delegaciones de la
Administración Pública del Distrito Federal (Circular Uno Bis 2015), vigente en 2017,
que establece lo siguiente:
“9.3.3 El Plan Estratégico de Tecnologías de la Información y Comunicaciones (PETIC), es
el instrumento de planeación estratégica del desarrollo de las tecnologías de la información y
comunicaciones que deberán realizar las Delegaciones de la APDF para alinear las
acciones y proyectos en materia de informática al Programa General de Desarrollo del
Distrito Federal (PGDDF), en concordancia con el modelo de Gobierno Electrónico
contenido en el MEITIC. En el PETIC se referenciarán claramente las acciones en materia de
informática con el soporte hacia las acciones o políticas del PGDDF.”
“9.3.4 El PETIC es el fundamento para la adquisición y arrendamiento de bienes y servicios
informáticos que realicen las Delegaciones. El PETIC deberá ser registrado ante la
DGGTIC con el propósito de que se fundamenten técnicamente las mencionadas adquisiciones
del ejercicio presupuestal.”
“9.3.5 Las Delegaciones, a más tardar en el mes de febrero del año en curso, deberán
registrar el PETIC ante la DGGTIC y someterlo a su consideración para su aprobación.
El PETIC deberá realizarse conforme a las políticas, normas, lineamientos y procedimientos
18
que para tal efecto emita la DGGTIC, asimismo se deberá informar a la DGGTIC mediante
oficio la conclusión del registro del mismo, así como las modificaciones que sufra a lo largo
de su periodo de validez.”
“9.4.16 El Informe de Adquisición es el documento que deben presentar las Delegaciones a
través de las DGAD a la DGGTIC, cuando se hayan adquirido bienes o servicios informáticos
que han requerido o no dictamen técnico de la DGGTIC conforme a los numerales anteriores.
Dicho informe deberá presentarse con base en los formatos y medios que para tal efecto
sean definidos por la DGGTIC, conforme se publique en la página web de la OM. Los
requisitos para realizar el registro del Informe de Adquisición son los siguientes:
”I.- Ser enviado a la DGGTIC por el Vocal ante la CGEDF;
”II.- Requisitar los formatos establecidos de acuerdo al tipo de bien informático del que
se trata;
”III.- Realizar el registro de los datos del proveedor: Nombre o razón social, domicilio, RFC,
así como la descripción de bienes y costo total de la adquisición.”
“9.4.17 Es obligatorio que las Delegaciones registren el Informe de Adquisición ante la
DGGTIC una vez que hayan llevado a cabo la formalización de la adquisición de algún bien
o servicio informático en un lapso no mayor de 30 días hábiles posteriores a la firma
del contrato.”
En la reunión de confronta, celebrada el 7 de febrero de 2019, la Directora General de
Administración de la Alcaldía Xochimilco, en representación del titular del órgano político-
administrativo, mediante el oficio núm. XOCH13-DGA-537-2019 del 6 de febrero de 2019,
proporcionó el oficio núm. XOCH13/DRM/3651/2019 del 6 de febrero de 2019, donde
el Director de Recursos Materiales y Servicios Generales del sujeto fiscalizado, informó que,
“debido a la restructuración de la Jefatura de Gobierno, ha sido imposible tener contacto
con el personal de la DGGTIC para solicitar las claves que darán acceso al PETIC (Plan
Estratégico de Tecnologías de la Información) e informar a esa DGGTIC la conclusión
del registro del mismo, así como las modificaciones que sufra a lo largo de su periodo de
validez.”
19
De lo anterior, se desprende que la Alcaldía Xochimilco no registró, ni sometió para su
aprobación el PETIC; así como, tampoco informó de las adquisiciones ante la DGGTIC, por
lo que la presente observación no se modifica.
2. Con objeto de verificar que el sujeto fiscalizado haya implementado y ejecutado en sus
sitios web el marco normativo de gobernanza de TIC, se realizaron inspecciones físicas y
pruebas sustantivas informáticas al centro de datos y al servidor. De lo anterior, se observó
que el centro de datos careció de un servidor propio que hospedara el sitio web del
órgano político-administrativo, pues se encuentra hospedado en un servidor externo.
Por lo anterior, el órgano político-administrativo incumplió la fracción V, del artículo 35
de la Ley de Gobierno Electrónico del Distrito Federal; así como, el numeral 9.6.14 de
la Normatividad en materia de Administración de Recursos para las Delegaciones de la
Administración Pública del Distrito Federal (Circular Uno Bis 2015), ambas vigentes en 2017,
que establecen:
“Artículo 35. La Administración Pública deberá contar con la infraestructura que le permita
aprovechar al máximo el uso de las tecnologías de la información y comunicaciones y
generar las condiciones de comunicación con los ciudadanos. Para tal efecto, deberá:
V. Procurar el uso de tecnologías que permitan la consolidación, eficiencia, eficacia y ahorro
en costos de transacción.”
“9.6.14 La OM, a través de la DGGTIC, proporcionará el servicio de hospedaje de sitios de
Internet a las Delegaciones que así lo soliciten.”
Se verificó que el nombre de dominio del sitio web del sujeto fiscalizado es
www.xochimilco.gob.mx, por lo que incumplió el numeral 9.6.8 de la Normatividad en
materia de Administración de Recursos para las Delegaciones de la Administración
Pública del Distrito Federal (Circular Uno Bis 2015), vigente en 2017, que establece:
“9.6.8 Todos los Sitios de Internet de la APDF deberán responder a un subdominio del
dominio ‘.df.gob.mx՚ y del dominio que indique la CGCS conforme a la imagen institucional.”
En la reunión de confronta, celebrada el 7 de febrero de 2019, la Directora General de
Administración de la Alcaldía Xochimilco, en representación del titular del órgano político-
20
administrativo, mediante el oficio núm. XOCH13-DGA-537-2019 del 6 de febrero de 2019,
proporcionó el oficio núm. XOCH13/DRM/3651/2019 del 6 de febrero de 2019, donde
el Director de Recursos Materiales y Servicios Generales del sujeto fiscalizado informó que
“debido a la restructuración de la Jefatura de Gobierno, ha sido imposible tener contacto
con el personal de la DGGTIC para solicitar el servicio de hospedaje del sitio web de esta
Alcaldía y los requisitos para ello.” También informó que “en cuanto se tenga el hospedaje de
la página web de esta Alcaldía en la DGGTIC, la propia DGGTIC procederá a poner el
dominio correcto.”
Al respecto, se observó que la Alcaldía Xochimilco, en el centro de datos, careció de
un servidor propio que hospedara el sitio web del órgano político-administrativo y el
nombre de dominio del sitio web del sujeto fiscalizado es www.xochimilco.gob.mx, por
lo que la presente observación no se modifica.
3. Se realizó inspección y pruebas electrónicas al sitio web mismo, en las cuales, se observó
lo siguiente:
a) Dispuso de acceso a la información de cada trámite y servicio en un máximo de
tres pasos.
b) Contó con un apartado especial para trámites y servicios en el menú de navegación
principal del sitio.
c) Tiene un recuadro de información general sobre trámites y servicios.
d) Los datos de contacto no están siempre visibles en todas las páginas de trámites
y servicios.
e) Contó con un listado de los trámites y servicios más solicitados.
f) No tuvo ligas rotas o enlaces a archivos rotos.
De lo anterior se desprende que el sitio web oficial del órgano político-administrativo cumplió el
Manual de Identidad Gráfica para las Unidades de Atención Ciudadana (UNAC) publicado
en la Gaceta Oficial del Distrito Federal núm. 141 del 27 de julio de 2015, vigente en 2017, en lo
que respecta a navegación, puesto que se brinda de manera efectiva el servicio a la ciudadanía.
21
El sitio web oficial cumple lo establecido en el UNAC; sin embargo, el sujeto fiscalizado no
registró, ni sometió para su aprobación el PETIC; así como, tampoco informó de las
adquisiciones ante la DGGTIC; asimismo, se verificó que el órgano político-administrativo
careció de un servidor propio en su centro de datos para el hospedaje de su sitio web.
Recomendación ASCM-104-17-1-XOC
Es necesario que la Alcaldía Xochimilco establezca mecanismos de supervisión para asegurarse
de registrar y someter para su aprobación el Plan Estratégico de Tecnologías de la Información y
Comunicaciones; así como, informar de las adquisiciones ante la Dirección General de
Gobernabilidad de Tecnologías de la Información y Comunicaciones, conforme la Normatividad
en materia de Administración de Recursos para las Delegaciones de la Administración
Pública del Distrito Federal (Circular Uno Bis 2015).
Recomendación ASCM-104-17-2-XOC
Es necesario que la Alcaldía Xochimilco establezca mecanismos de supervisión para asegurarse
de que el centro de datos cuente con un servidor propio que hospede el sitio web del
órgano político-administrativo, de conformidad con la normatividad aplicable.
Recomendación ASCM-104-17-3-XOC
Es necesario que la Alcaldía Xochimilco establezca mecanismos de supervisión para asegurarse
de que el sitio de internet del órgano político-administrativo responda a un subdominio del
dominio “.df.gob.mx”, conforme la Normatividad en materia de Administración de Recursos para
las Delegaciones de la Administración Pública del Distrito Federal (Circular Uno Bis 2015).
Continuidad del Servicio y Recuperación de Desastres
4. Resultado
De acuerdo con la Normatividad en materia de Administración de Recursos para las Delegaciones
de la Administración Pública del Distrito Federal (Circular Uno Bis 2015), vigente en 2017,
al planear la continuidad de las operaciones, se deben identificar y especificar desde un inicio
22
los requerimientos y controles de seguridad de la información; así como garantizar la
coordinación con el personal del sujeto fiscalizado y los contactos externos que participarán en
las estrategias de planificación de contingencias, asignando funciones para cada actividad
definida, con el objetivo de minimizar la interrupción de las operaciones y proteger los procesos
que se consideren críticos de los efectos de fallas importantes de los sistemas de información o
desastres, para asegurarse de su reanudación oportuna.
Con la finalidad de verificar que el sujeto fiscalizado haya establecido planes de mantenimiento
correctivo y preventivo a la infraestructura TIC, conforme a lo establecido con el marco normativo
de gobernanza TIC, la ASCM realizó una entrevista a servidores públicos adscritos a la
Subdirección de Informática del órgano político-administrativo el 28 de noviembre de 2018, así
como, inspecciones físicas, las cuales quedaron plasmadas en el acta circunstanciada
núm. ACF-B/104-17/18/01 de la misma fecha. Además, mediante el oficio núm. ACF-B/18/0657
del 2 de julio de 2018, se envió el cuestionario de TIC, del cual el órgano político-administrativo
proporcionó respuesta mediante el oficio núm. XOCH13/DGA/2811/2018 del 13 de julio de 2018.
De lo anterior, se desprende que el sujeto fiscalizado acreditó contar con el Plan de
Contingencia Informático de la Delegación Xochimilco, que tiene como objetivo: “Formular
un adecuado plan de contingencias, que permita la continuidad en los procedimientos
informáticos de la dependencia, así como enfrentarnos a fallas y eventos inesperados…”
Por lo tanto, cumplió lo establecido en el artículo 13, objetivo del apartado 11, “Continuidad de
las Operaciones” de las Normas Generales que deberán observarse en materia de Seguridad
de la Información en la Administración Pública del Distrito Federal.
Con el objetivo de verificar que el órgano político-administrativo haya incorporado y utilizado las
políticas de continuidad del servicio y recuperación de desastres establecidas por la OM,
y que los servicios electrónicos proporcionados por medio del sujeto fiscalizado hayan reflejado
la implementación y ejecución del marco normativo de gobernanza TIC, a fin de que la
infraestructura tecnológica del sujeto fiscalizado brindara servicio de manera ininterrumpida
a la ciudadanía, en alineación con las mejores prácticas y estándares TIC aplicables,
se realizaron inspecciones y pruebas sustantivas informáticas al centro de datos y a la
infraestructura tecnológica, para lo cual se determinó una muestra por verificar, la cual
se constituyó de la siguiente manera:
23
Número de equipos en la infraestructura TIC utilizada para servicios ciudadanos de la Alcaldía
Universo Muestra
Centro de datos
VUD CESAC Sitio web Centro
de datos VUD CESAC Sitio web
6 13 11 1 3 6 5 1
En la revisión de la muestra, se determinó lo siguiente:
1. Se identificó que el órgano político-administrativo dispuso de un centro de datos que
operó con seis servidores físicos, de los cuales se seleccionaron tres, acorde con la muestra
seleccionada. Dichos servidores contaron con las siguientes características técnicas:
Servidor Marca
y modelo Procesador Arquitectura Velocidad del reloj Núcleos
Memoria caché Tamaño Uso
Sistema operativo
Virtualización Dell R730 Intel Xeon E5-2600
64 bits 2.4 GHz 14 35 MB 32 GB Virtualización Linux CentOS 7
Virtualización Dell R730 Intel Xeon E5-2600
64 bits 2.4 GHz 14 35 MB 32 GB Virtualización Linux CentOS 7
Prueba Dell 6850 Intel Xeon 7100
64 bits 2.6 GHz 8 4 MB 4 TB Prueba y testeo de desarrollos
Linux CentOS 7
Por contar con un centro de datos que le permitiera aprovechar al máximo el uso de
TIC y generar las mejores condiciones de comunicación con los ciudadanos, el sujeto
fiscalizado cumplió lo establecido en el artículo 35, fracción I, de la Ley de Gobierno
Electrónico del Distrito Federal vigente en 2017.
Respecto de la entrevista realizada a los servidores públicos adscritos a la Subdirección de
Informática del órgano político-administrativo, así como de la inspección física, celebradas
mediante acta circunstanciada núm. ACF-B/104-17/18/01 del 28 de noviembre de 2018, se
observó que el centro de datos dispuso de energía eléctrica polarizada y aterrizada para
evitar que la infraestructura de TIC sufra daños en caso de alguna situación adversa,
en cumplimiento de lo establecido en el artículo 13, numeral 6, “Seguridad Física y del
Entorno”; subnumeral 6.2, “Seguridad del Equipamiento”, de las Normas Generales que
deberán observarse en materia de Seguridad de la Información en la Administración
Pública del Distrito Federal, vigente en 2017 y se alineó con la norma Building Industry
Consulting Service International (BICSI), en su apartado 9.9.1.
24
El órgano político-administrativo contó con el documento Plan de Contingencia Informático
de la Delegación Xochimilco, el cual está orientado a la identificación y calificación de
los riesgos, así como la evaluación del impacto en los procesos críticos y la creación
de estrategias de contingencias, en cumplimiento del numeral 11.1.1, “Planeación de
la Continuidad de las Operaciones”, de las Normas Generales que deberán observarse en
materia de Seguridad de la Información en la Administración Pública del Distrito Federal,
vigente en 2017, y se alineó con las mejores prácticas de Control Objectives for Information
and related Technology (COBIT 5), en el control DSS04.07.
El sujeto fiscalizado careció de una herramienta de monitoreo de redes que vigile los equipos
(hardware) y servicios (software), como los servidores, enrutadores y enlaces, a fin de detectar
actividades no autorizadas ni, en su caso, de procedimientos formales para que de forma
periódica se revisen las bitácoras de auditoría de los recursos críticos de TIC.
Por carecer de una herramienta de monitoreo de redes y procedimientos formales para que
de forma periódica se revisen las bitácoras de auditoría de los recursos críticos de TIC, el
órgano político-administrativo incumplió el artículo 13; numerales 7, “Seguridad de las
Operaciones”; 7.6, “Monitoreo de los Sistemas”; subnumeral 7.6.2, “Monitoreo de los Sistemas
y Recursos en Uso”, de las Normas Generales que deberán observarse en materia de
Seguridad de la Información en la Administración Pública del Distrito Federal vigente
en 2017, que establece:
“Se deben desarrollar procedimientos formales para que de forma periódica se revisen las
bitácoras de auditoría, de al menos los recursos críticos de TI, a fin de detectar actividades no
autorizadas. El análisis de riesgos y los requerimientos regulatorios, ayudan a determinar el
nivel de seguimiento necesario.”
En la reunión de confronta, celebrada el 7 de febrero de 2019, la Directora General de
Administración de la Alcaldía Xochimilco, en representación del titular del órgano político-
administrativo, mediante el oficio núm. XOCH13-DGA-537-2019 del 6 de febrero de 2019,
proporcionó el oficio núm. XOCH13/DRM/3651/2019 del 6 de febrero de 2019, donde
el Director de Recursos Materiales y Servicios Generales del sujeto fiscalizado informó que
“la Subdirección de Informática tiene contemplado la adquisición de software de monitoreo
25
(PAESSLER PRTG5000), para los edificios de esta Alcaldía ‘Quetzalcóatl’ y ‘Gladiolas’, se
está en espera del techo presupuestal para proceder a dicha compra.”
Se observó que la Alcaldía Xochimilco careció de una herramienta de monitoreo de redes y
procedimientos formales para que de forma periódica se revisen las bitácoras de
auditoría de los recursos críticos de TIC, por lo que la presente observación no se modifica.
2. En la muestra de auditoría se analizaron cinco equipos utilizados en el Centro de Servicios y
Atención Ciudadana (CESAC), y seis en la Ventanilla Única Delegacional (VUD), cuyas
características técnicas se presentan a continuación:
Equipos en VUD
Equipos de cómputo Procesador Memoria RAM Disco duro
Marca modelo Procesador Arquitectura Velocidad de reloj
Núcleos Memoria
caché Tamaño Tipo Velocidad Tamaño Interfaz RPM
Velocidad de transferencia
Dell MSI L8-7521 Intel Core 2 Duo E8400
64 bits 3 GHz 2 6 MB 1 GB DDR2 400 MHz 160 GB SATA 3 Gbps
Lenovo OptiPlex 745
Intel Core 2 Duo E4400
64 bits 2 GHz 2 2 MB 2 GB DDR2 400 MHz 320 GB SATA 3 Gbps
Dell OptiPlex GX620
Intel Pentium 4 650
64 bits 3.4 GHz 1 2 MB 1 GB DDR2 400 MHz 80 GB ATA 1.5 Gbps
HP EliteDesk 705 G2MT
AMD PRO A8-8650B
64 bits 3.2 GHz 4 4 MB 8 GB DDR3 800 MHz 500 GB SATA 7200 6 Gbps
HP EliteDesk 705 G2SFF
AMD PRO A8-8650B
64 bits 3.2 GHz 4 4 MB 8 GB DDR3 800 MHz 500 GB SATA 7200 6 Gbps
HP EliteDesk 800 G2TWR
Intel Core i7-6700
64 bits 3.4 GHz 4 8 MB 16 GB DDR4 1200.5 MHz 1 TB SATA 7200 6 Gbps
RPM: Revoluciones por minuto.
Equipos en CESAC
Equipos de cómputo Procesador Memoria RAM Disco duro
Marca modelo Procesador Arquitectura Velocidad del reloj
Núcleos Memoria
caché Tamaño Tipo Velocidad Tamaño Interfaz RPM
Velocidad de
transferencia
HP EliteDesk 705 SFF AMD PRO A8-8650 B
64 bits 3.2 GHz 4 4 MB 8 GB DDR3 800 MHz 500 GB SATA 7200 6 Gbps
HP EliteDesk 705 SFF AMD PRO A8-8650B
64 bits 3.2 GHz 4 4 MB 8 GB DDR3 800 MHz 500 GB SATA 7200 6 Gbps
HP EliteDesk 705 SFF AMD PRO A8-8650B
64 bits 3.2 GHz 4 4 MB 8 GB DDR3 800 MHz 500 GB SATA 7200 6 Gbps
HP500-212la Intel Core i3-4130 64 bits 3.4 GHz 2 3 MB 4 GB DDR3 800 MHz 1 TB SATA 7200 6 Gbps
HP500-212la Interl Core i3-4130 64 bits 3.4 GHz 2 3 MB 4 GB DDR3 800 MHz 1 TB SATA 7200 6 Gbps
RPM: Revoluciones por minuto.
Con la finalidad de verificar que los equipos de VUD y CESAC dispusieran de energía
eléctrica polarizada y aterrizada que permitieran evitar daños en dichos equipos, se practicó
26
una entrevista a los servidores públicos adscritos a la Subdirección de Informática del
órgano político-administrativo, así como una inspección física, formalizadas mediante
acta circunstanciada núm. ACF-B/104-17/18/01 del 28 de noviembre de 2018. Al respecto,
se observó que el órgano político-administrativo contó con energía eléctrica polarizada y
aterrizada en los equipos, en cumplimiento del artículo 13; numeral 6, “Seguridad Física y del
Entorno”; subnumeral 6.2, “Seguridad del Equipamiento”, de las Normas Generales que
deberán observarse en materia de Seguridad de la Información en la Administración
Pública del Distrito Federal, vigente en 2017.
Por lo anterior, se determinó que el sujeto fiscalizado dispuso de un centro de datos que
le permite aprovechar al máximo el uso de TIC y generar las mejores condiciones de
comunicación con los ciudadanos; asimismo, acreditó contar con energía eléctrica polarizada y
aterrizada para evitar que la infraestructura de TIC sufriera daños en caso de alguna situación
adversa, además de contar con un plan de recuperación de desastres. Sin embargo, careció de
una herramienta de monitoreo o procedimientos formales que le permitiera supervisar los
recursos críticos de TIC.
Recomendación ASCM-104-17-4-XOC
Es necesario que la Alcaldía Xochimilco establezca mecanismos de supervisión para asegurarse
de contar con una herramienta de monitoreo de redes y procedimientos formales para que de
forma periódica se revisen las bitácoras de auditoría de los recursos críticos de TIC, establecido
en las Normas Generales que deberán observarse en materia de Seguridad de la
Información en la Administración Pública del Distrito Federal.
Seguridad de la Información
5. Resultado
De acuerdo con la Asociación de Auditoría y Control de Sistemas de Información (Information
Systems Audit and Control Association, ISACA), la seguridad de la información es “la protección
de activos de información, a través del tratamiento de amenazas que ponen en riesgo la
información que es procesada, almacenada y transportada por los sistemas de información que
se encuentran interconectados”.
27
De acuerdo con las Normas Generales que deberán observarse en materia de Seguridad
de la Información en la Administración Pública del Distrito Federal, el objetivo de una política de
seguridad es establecer desde el más alto nivel de la administración la relevancia, el soporte, el
compromiso y la comunicación a todos los empleados y terceros con los que se interactúa, en
relación con la seguridad de la información, en consideración de los requerimientos institucionales
y el marco normativo aplicable.
Con la finalidad de verificar que el órgano político-administrativo haya establecido y aplicado las
políticas de seguridad TIC señaladas por la OM para salvaguardar los bienes informáticos
y la información gestionada, de acuerdo con los estándares, buenas prácticas y normas
de TIC aplicables, la ASCM realizó inspecciones físicas y una entrevista a servidores públicos
adscritos a la Subdirección de Informática del sujeto fiscalizado el 28 de noviembre 2018,
como se acordó en el acta circunstanciada núm. ACF-B/104-17/18/01 de la misma fecha.
Además, mediante el oficio núm. ACF-B/18/0657 del 2 de julio de 2018, se aplicó al sujeto
fiscalizado el cuestionario de TIC, al cual dio respuesta con el oficio
núm. XOCH13/DGA/2811/2018 del 13 de julio de 2018. Al respecto, se determinó lo siguiente:
1. De las respuestas al cuestionario, se observó que el sujeto fiscalizado dispuso de un
documento referente a políticas de seguridad de la información, denominado “Políticas de
Seguridad Informática”, el cual es de uso interno y cumple la Normatividad en materia
de Administración de Recursos para las Delegaciones de la Administración Pública del
Distrito Federal (Circular Uno Bis 2015), vigente en 2017.
2. En las inspecciones físicas de la infraestructura tecnológica del órgano político-administrativo,
se observó que éste, en el CESAC y la VUD no estableció una política documentada
de escritorio limpio y pantalla limpia, lo que puede derivar en un riesgo de accesos no
autorizados a dichos equipos, por lo que incumplió el artículo 13; numeral 8.3,
“Responsabilidad de Usuarios”; subnumeral 8.3.2, “Escritorio Limpio y Pantalla Limpia”, de
las Normas Generales que deberán observarse en materia de Seguridad de la Información
en la Administración Pública del Distrito Federal, vigente en 2017, que establece:
28
“Cuando el personal no se encuentre en su área de trabajo o se aleje por un tiempo
considerable, no debe dejar al alcance información sensible o confidencial en cualquier
forma (papel, dispositivos de memoria removibles, monitores de computadoras, entre otros).
”Se debe establecer una política de escritorio y monitor limpios para reducir el riesgo
de accesos y divulgación no autorizados, pérdida y daño de Información.”
En la reunión de confronta, celebrada el 7 de febrero de 2019, la Directora General de
Administración de la Alcaldía Xochimilco, en representación del titular del órgano
político-administrativo, mediante el oficio núm. XOCH13-DGA-537-2019 del 6 de febrero
de 2019, proporcionó el oficio núm. XOCH13/DRM/3651/2019 del 6 de febrero de 2019,
donde el Director de Recursos Materiales y Servicios Generales del sujeto fiscalizado
informó que “la Subdirección de Informática realizará la corrección a las políticas
internas de seguridad informática, en el rubro seguridad de la información, para
anexar la política de escritorio limpio y pantalla limpia y darla a conocer a todos los
usuarios de los equipos de cómputo de esta Alcaldía”.
La Alcaldía Xochimilco no estableció una política documentada de escritorio limpio
y pantalla limpia, lo que puede derivar en un riesgo de accesos no autorizados a dichos
equipos, por lo que la presente observación no se modifica.
Por lo anterior, se concluye que el sujeto fiscalizado acreditó contar con un documento
denominado “Políticas de Seguridad Informática”, el cual se constituye como una política de uso
interno. Sin embargo, no estableció una política de escritorio limpio y pantalla limpia.
Recomendación ASCM-104-17-5-XOC
Es necesario que la Alcaldía Xochimilco establezca mecanismos de supervisión para asegurarse
de que se cuente con una política documentada de escritorio limpio y pantalla limpia, de
conformidad con las Normas Generales que deberán observarse en materia de Seguridad
de la Información en la Administración Pública del Distrito Federal.
29
RESUMEN DE OBSERVACIONES Y ACCIONES
Se determinaron cinco resultados, que generaron cinco observaciones, las cuales corresponden
a cinco recomendaciones.
También se determinó un resultado, que generó una observación, y se dará tratamiento a
la implementación del mecanismo que evite su recurrencia como parte del seguimiento
de la recomendación ASCM-79-16-1-XOC.
La información contenida en el presente apartado refleja las acciones derivadas de las
auditorías que hasta el momento se han detectado por la práctica de pruebas y procedimientos
de auditoría; sin embargo, podrían sumarse observaciones y acciones adicionales a las
señaladas, producto de los procesos institucionales, de la recepción de denuncias y de
las funciones de investigación y sustanciación a cargo de esta entidad de fiscalización
superior de la Ciudad de México.
JUSTIFICACIONES Y ACLARACIONES
La documentación proporcionada a esta entidad de fiscalización superior de la Ciudad de
México por el sujeto fiscalizado en la reunión de confronta fue analizada con el fin de determinar
la procedencia de desvirtuar o modificar las observaciones incorporadas por la Auditoría
Superior de la Ciudad de México en el Informe de Resultados de Auditoría para Confronta,
cuyo resultado se plasma en el presente Informe Individual, que forma parte del Informe
General Ejecutivo del Resultado de la Fiscalización Superior de la Cuenta Pública de la
Ciudad de México.
En atención a las observaciones señaladas, el sujeto fiscalizado remitió el oficio
núm. XOCH13-DGA-537-2019 del 6 de febrero de 2019, mediante el cual presentó información y
documentación con el propósito de atender lo observado; no obstante, derivado del
análisis efectuado por la unidad administrativa de auditoría a la información y documentación
proporcionada por el sujeto fiscalizado, se advierte que los resultados uno, tres, cuatro y
cinco se consideran no desvirtuados.
30
PERSONAS SERVIDORAS PÚBLICAS A CARGO DE REALIZAR LA AUDITORÍA
En cumplimiento del artículo 36, párrafo decimotercero, de la Ley de Fiscalización Superior
de la Ciudad de México, se enlistan los nombres y cargos de las personas servidoras
públicas de la Auditoría Superior de la Ciudad de México involucradas en la realización
de la auditoría:
Persona servidora pública Cargo
Fase de planeación
Mtro. Sergio Jesús González Muñoz Director General
Mtro. Edgar Alan Apantenco Belmont Director de Área
Mtra. María del Carmen Mendoza Arreola Subdirectora de Área
Fases de planeación y ejecución
L.C. María Guadalupe Xolalpa García Encargada del Despacho de la Dirección General
Mtro. Fidel López Gaona Subdirector de Área
L.A. Jorge Alejandro Jurado Rentería Jefe de Unidad Departamental
C.P. Víctor Erik Briseño Sánchez Auditor Fiscalizador “C”
Confronta y fase elaboración de informes
C.P. Adriana Julián Nava Directora General
Lic. Jaime Mundo Ortega Director de Área
Lic. Juan José Vera Figueroa Subdirector de Área
L.A. Jorge Alejandro Jurado Rentería Jefe de Unidad Departamental
C.P. Víctor Erik Briseño Sánchez Auditor Fiscalizador “C”