i.3.3. auditorÍa de cumplimiento con enfoque en ... · de registros del padrón fiscal del...

222 VOLUMEN 1/8

I.3.3. AUDITORÍA DE CUMPLIMIENTO CON ENFOQUE EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES

I.3.3.1. SISTEMA DE INFORMACIÓN GEOGRÁFICA DEL CENTRO DE INFORMACIÓN URBANA PARA EL DESARROLLO Y ADMINISTRACIÓN DE LA CIUDAD DE MÉXICO (SIG-CIUDADMX)

Auditoría ASCM/5/18

FUNDAMENTO LEGAL

La auditoría se llevó a cabo con fundamento en los artículos 122, apartado A, base II, sexto

y séptimo párrafos, de la Constitución Política de los Estados Unidos Mexicanos; 62 de la

Constitución Política de la Ciudad de México; 13, fracción CXI, de la Ley Orgánica del Congreso

de la Ciudad de México; 1; 2, fracciones XIV y XLII, inciso a); 3; 8, fracciones I, II, IV, VI, IX,

XXVI y XXXIII; 9; 10, incisos a) y b); 14, fracciones I, VIII, XVII, XX y XXIV; 22; 24; 27; 28;

30; 32; 33; 34; 35; 36, 37, 61; y 62 de la Ley de Fiscalización Superior de la Ciudad de México; y

1; 4; 5, fracción I, inciso b); 6, fracciones V, VIII y XXXV; y 30 del Reglamento Interior de la

Auditoría Superior de la Ciudad de México.

ANTECEDENTES

En el apartado 4.1.9, “Sistema de Información Geográfica”, de la glosa del Sexto Informe de

Gobierno de la Ciudad de México correspondiente al ejercicio de 2018, se reportó lo siguiente:

“El Sistema de Información Geográfica es una herramienta de consulta en línea del uso del

suelo del territorio de la Ciudad de México aprobada a través de las publicaciones de los

Programas Delegacionales de Desarrollo Urbano (PDDUs), así como los Programas Parciales

de Desarrollo Urbano (PPDUs); en donde estos instrumentos consideran los lineamientos de

normatividad del Programa General de Desarrollo Urbano (PGDU).

”Es por ello, que se realiza un proceso continuo de actualización de la cartografía base del

Sistema de Información Geográfica de la Ciudad de México (SIG).

223 VOLUMEN 1/8

”Se han actualizado las demarcaciones Álvaro Obregón, Azcapotzalco, Benito Juárez, Coyoacán,

Cuauhtémoc, Programa Parcial de Desarrollo Urbano de la Zona de Santa Fe que pertenece a

la Delegación Cuajimalpa, Iztacalco, Miguel Hidalgo, Venustiano Carranza, La Madalena

Contreras, Gustavo A. Madero, y el Programa Parcial de Desarrollo Urbano Campestre Estrella

que pertenece a la Delegación Iztapalapa, los cuales corresponden a 672 mil 721 predios,

lo que representa el 56.06 por ciento del total de 1.2 millones de predios de la Capital. Esta

Secretaría estima que en el último trimestre de este año se concluirá la actualización.”

CRITERIOS DE SELECCIÓN

Esta auditoría se propuso de conformidad con los siguientes criterios generales de selección,

contenidos en el Manual de Selección de Auditorías de esta entidad de fiscalización superior:

“Propuesta e Interés Ciudadano”. Se consideró que este rubro tiene un impacto social e

interés para la ciudadanía, debido a que proporciona información sobre el uso de suelo de

cada predio de la Ciudad de México; asimismo, se han recibido denuncias ciudadanas referentes

a interrupciones en el SIG-CIUDADMX.

“Presencia y Cobertura”. Se consideró el SIG-CIUDADMX para asegurarse de que eventualmente

se revisen todos los sujetos de fiscalización y conceptos susceptibles de ser auditados, por

estar incluidos en la Cuenta Pública de la Ciudad de México.

OBJETIVO

El objetivo de la revisión consistió en verificar que el Sistema de Información Geográfica del

Centro de Información Urbana para el Desarrollo y Administración de la Ciudad de México

(SIG-CIUDADMX), así como la infraestructura tecnológica (hardware, software y redes de

datos) y demás sistemas relacionados con la atención ciudadana en materia de servicios

públicos urbanos, operen de manera efectiva, eficaz y eficiente; y que éstos correspondan

a los objetivos para los que fueron adquiridos, de acuerdo con la normatividad en Tecnologías

de la Información y Comunicaciones (TIC) aplicable, y derivados del ejercicio de las funciones

y atribuciones de la dependencia.

224 VOLUMEN 1/8

ALCANCE Y DETERMINACIÓN DE LA MUESTRA

Se revisó, en cuanto a los elementos que integraron el objetivo de la auditoría, de manera

enunciativa, mas no limitativa, lo siguiente:

Operaciones de TIC

Se evaluó el funcionamiento de servidores, suministro de espacio en dispositivos de

almacenamiento, prestación del servicio y gestión de capacitación del SIG-CIUDADMX.

Gobernanza de TIC

Se evaluaron los controles relativos a la gestión y gobernanza de TIC implementados en el

SIG-CIUDADMX.

Seguridad de la Información

Se evaluaron los controles de seguridad implementados en el SIG-CIUDADMX y la

infraestructura tecnológica que le da soporte.

Continuidad del Servicio y Recuperación de Desastres

Se verificaron los controles de manejo de incidentes implementados para asegurar la continuidad

de las operaciones, así como las prácticas involucradas en la gestión del cambio, la infraestructura

tecnológica y el SIG-CIUDADMX para que den servicio ininterrumpido.

Desarrollo y adquisición de TIC

Se verificaron los controles implementados para el desarrollo y adquisición de TIC relacionados

con el SIG-CIUDADMX.

Mediante el programa MySQL (My Structured Query Language, por sus siglas en inglés,

Lenguaje de Consulta Estructurado) con la función rand, se seleccionaron de forma aleatoria

50 registros del padrón fiscal del Impuesto Predial para verificar si la información proporcionada

a la ciudadanía sobre el uso de suelo de los predios de la Ciudad de México es íntegra,

confiable y está disponible, como sigue:

225 VOLUMEN 1/8

(Por cientos)

Universo Muestra Cantidad % Cantidad % 2,315,036 100.0 50 0.002

Para determinar la muestra se consideró que el SIG-CIUDADMX cuenta con criterios para

consultar la información relacionada con las cartografías de los inmuebles como son: cuenta

catastral, entre calle, domicilio, denuncia PAOT (Procuraduría Ambiental y del Ordenamiento

Territorial), coordenadas y aproximación, por lo que se consideró tomar como base el total

de registros del padrón fiscal del Impuesto Predial (2,315,036 predios).

La muestra de cartografías del SIG-CIUDADMX por revisar se determinó mediante un

método de muestreo no estadístico con fundamento en la Norma Internacional de Auditoría

(NIA) 530, “Muestreo de Auditoría”, emitida por la Federación Internacional de Contadores

(IFAC); la Norma Internacional de las Entidades Fiscalizadoras Superiores (ISSAI) 1530,

“Muestreo de Auditoría”, emitida por el Comité de Normas Profesionales de la Organización

Internacional de Entidades Fiscalizadoras Superiores (INTOSAI); y en el Manual del Proceso

General de Fiscalización de la Auditoría Superior de la Ciudad de México.

Los trabajos de auditoría se efectuaron en la Dirección de Tecnologías de Información y

Comunicaciones (DTIC) de la Secretaría de Desarrollo Urbano y Vivienda (SEDUVI), por

ser la unidad administrativa encargada de administrar el SIG-CIUDADMX y de resguardar la

infraestructura tecnológica (hardware, software y redes de datos) y demás sistemas

relacionados con la atención ciudadana en materia de servicios urbanos, según las atribuciones

y funciones previstas en los manuales administrativos de esa dependencia vigentes en 2018.

PROCEDIMIENTOS, RESULTADOS Y OBSERVACIONES

Evaluación del Control Interno

1. Resultado

A fin de evaluar el diseño y la efectividad del control interno implementado por la SEDUVI

y contar con una base para determinar la naturaleza, extensión y oportunidad de las pruebas

226 VOLUMEN 1/8

de auditoría, en cuanto al diseño, se analizaron las atribuciones de la dependencia, el marco

normativo y su manual administrativo vigentes en 2018; se aplicó un cuestionario de control

interno, en particular a servidores públicos de la SEDUVI responsables de las operaciones

y gobernanza de TIC, de la seguridad de la información, de la continuidad del servicio y

recuperación de desastres y del desarrollo y adquisición del SIG-CIUDADMX, en relación

con los cinco componentes del control interno (Ambiente de Control, Administración de Riesgos,

Actividades de Control Interno, Información y Comunicación, y Supervisión y Mejora Continua);

se requisitó la cédula de evaluación del ambiente de control con base en las respuestas

obtenidas; y se elaboraron tres matrices: una de riesgos, para identificar los riesgos a que

están sujetas las operaciones del rubro en revisión; otra de control, para analizar la

probabilidad de ocurrencia e impacto de cada riesgo; y una de unidades administrativas,

para determinar la participación conforme a las funciones y atribuciones de cada una de las

áreas de la dependencia relacionadas con las operaciones del rubro auditado.

En cuanto a la efectividad del control interno, durante la etapa de ejecución de la auditoría,

se aplicaron pruebas de controles y procedimientos sustantivos, que incluyeron pruebas de

detalle y procedimientos analíticos sustantivos, para determinar la idoneidad, eficacia, eficiencia

en la aplicación del control interno en las unidades administrativas, así como en los procesos,

funciones y actividades de la dependencia.

La evaluación se realizó tomando como referencia la Ley de Auditoría y Control Interno

de la Administración Pública de la Ciudad de México, publicada en la Gaceta Oficial de la

Ciudad de México núm. 146 Ter el 1o. de septiembre de 2017, y el Decreto por el que se

Reforman, Adicionan y Derogan, Diversas Disposiciones de la Ley de Auditoría y Control

Interno de la Administración Pública de la Ciudad de México, publicado en el mismo medio

el 27 de noviembre de 2018; los Lineamientos de Control Interno de la Administración Pública de

la Ciudad de México, publicados en la Gaceta Oficial de la Ciudad de México el 8 de enero

de 2018; el Manual del Proceso General de Fiscalización, en lo relativo a la evaluación del

ambiente de control; y el Modelo de Evaluación del Control Interno para la Fiscalización Superior

de la Cuenta Pública de la Ciudad de México de la Auditoría Superior de la Ciudad de México

(ASCM), elaborado con base en el Marco Integrado de Control Interno para ser aplicado a los

sujetos de fiscalización de la Ciudad de México, con objeto de diagnosticar el estatus de su

control interno establecido y proponer acciones de mejora dirigidas a su fortalecimiento.

227 VOLUMEN 1/8

Ambiente de Control

Se identificaron las unidades administrativas de la SEDUVI que estuvieron relacionadas

con las operaciones y gobernanza de TIC, la seguridad de la información, la continuidad

del servicio y recuperación de desastres y el desarrollo y adquisición del SIG-CIUDADMX;

las funciones, objetivos, actividades y procedimientos aplicados; las normas, procesos y estructura

orgánica que proporcionan la base para llevar a cabo el control interno en el sujeto fiscalizado,

así como la normatividad que proporciona disciplina y estructura para apoyar al personal

en la consecución de los objetivos institucionales; y se verificó si la dependencia estableció

y mantuvo un ambiente de control que implique una actitud de respaldo hacia el control

interno, como se indica a continuación:

1. En 2018, la SEDUVI contó con dos estructuras orgánicas autorizadas por la entonces

Oficialía Mayor del Gobierno de la Ciudad de México (OM) con los dictámenes

núms. D-SEDUVI-26/010916 y D-SEDUVI-10/010518. La primera estuvo vigente del

1o. de septiembre de 2016 al 30 de abril de 2018 y la segunda a partir del 1o. de mayo

al 31 de diciembre de 2018. Dichas estructuras orgánicas fueron notificadas al titular de

la SEDUVI con los oficios núms. OM/0464/2016 del 15 de agosto de 2016 y OM/0310/2018

del 30 de abril de 2018.

En la estructura orgánica núm. D-SEDUVI-26/010916 se previeron 105 plazas: 11 en

la oficina del Secretario, 61 en la Coordinación General de Desarrollo y Administración

Urbana, 17 en la Dirección General de Asuntos Jurídicos y 16 en la Dirección Ejecutiva

de Información y Sistemas.

En la estructura orgánica núm. D-SEDUVI-10/010518 se previeron 106 plazas, en la

misma cantidad y unidades administrativas indicadas en el párrafo anterior, excepto por

la oficina del Secretario, que pasó de 11 a 12 plazas en esta estructura.

2. En 2018, la SEDUVI contó con dos manuales administrativos. El primero fue

elaborado conforme al dictamen de estructura orgánica núm. 11/2010, registrado

por la Coordinación General de Modernización Administrativa (CGMA) con el

núm. MA-21/210715-D-SEDUVI-11/2010, notificado al titular de la dependencia mediante

228 VOLUMEN 1/8

el oficio núm. OM/CGMA/1350/2015 del 21 de julio de 2015, publicado en la Gaceta

Oficial del Distrito Federal núm. 154 el 13 de agosto de ese mismo año con el Aviso por

el cual se da a conocer el Manual Administrativo de la Secretaría de Desarrollo Urbano

y Vivienda, con número de registro MA-21/210715-D-SEDUVI-11/2010, difundido entre

el personal de la dependencia con 14 oficios del 13 de agosto de 2015 y vigente del

1o. de enero al 12 de noviembre de 2018.

El segundo manual administrativo fue elaborado conforme a la estructura orgánica

núm. D-SEDUVI-10/010518; registrado por la CGMA con el número de registro

MA-18/291018-D-SEDUVI-10/010518; notificado al titular de la dependencia mediante

el oficio núm. OM/CGMA/3045/2018 del 29 de octubre de 2018; publicado en la Gaceta

Oficial de la Ciudad de México núm. 451 el 13 de noviembre de 2018, con el Aviso por

el cual se da a conocer el enlace electrónico donde se puede consultar el Manual

Administrativo de la Secretaría de Desarrollo Urbano y Vivienda con número de registro

MA-18/291018-D-SEDUVI-10/010518, el cual es http://www.sideo.cdmx.gob.mx/

index.php/portal/portal_c/detalleEstructura/12; difundido entre el personal de la dependencia

mediante 15 oficios del 13 de noviembre de 2018; y vigente del 13 de noviembre de 2018

al 31 de diciembre de 2018.

Los manuales citados consideraron los objetivos, funciones, atribuciones y responsabilidades

de los servidores públicos adscritos a las unidades administrativas que conforman

la dependencia y se encuentran integrados por los apartados de marco jurídico de

actuación; atribuciones; misión, visión y objetivos institucionales; organigrama de la estructura

básica; organización, procesos y procedimientos; glosario; y aprobación del manual

administrativo.

3. La SEDUVI contó con un código de ética, publicado en la Gaceta Oficial del Distrito Federal

el 9 de julio de 2014 y, a partir de 2019, con un código de conducta publicado en la

Gaceta Oficial de la Ciudad de México el 28 de mayo de 2019, con unidades administrativas

encargadas de cumplir las obligaciones en materia de transparencia y acceso a la

información, fiscalización y rendición de cuentas y armonización contable, así como de

administrar los recursos humanos y financieros y los sistemas informáticos, para lo cual

implementó procedimientos específicos que se formalizaron con su registro en la CGMA

229 VOLUMEN 1/8

y se incorporaron a su manual administrativo; y con un programa de capacitación, no

obstante, careció de mecanismos de control efectivos para asegurarse de que, en el

ejercicio de sus funciones, su personal se ajustara al código de ética vigente en 2018.

En la reunión de confronta, celebrada el 18 de septiembre de 2019, la titular de la SEDUVI

no presentó evidencia de que el personal de la dependencia se ajustara, en el ejercicio

de sus funciones, al código de ética vigente en 2018, por lo que la observación prevalece.

Con base en lo anterior, se determinó que la SEDUVI contó con una estructura orgánica,

un manual administrativo dictaminado por la CGMA y con unidades administrativas encargadas

de dar cumplimiento a las obligaciones en materia de transparencia y acceso a la información,

fiscalización y rendición de cuentas y armonización contable, así como con un programa de

capacitación, un código de ética y, a partir de 2019, con un código de conducta; por lo que

ha establecido y mantuvo un ambiente de control que implicó una actitud de respaldo hacia

el control interno; no obstante que aportó evidencia documental que acredita que estableció

mecanismos para que el personal de la dependencia, en el ejercicio de sus funciones se

sujetara al código de ética.

Administración de Riesgos

Se revisó si la SEDUVI contó con un Comité de Administración de Riesgos y Evaluación de

Control Interno (CARECI) que le haya permitido desarrollar respuestas al riesgo, así como

administrarlo y controlarlo; y con un Órgano Interno de Control que la vigile y, en su caso,

que hubiese practicado auditorías al rubro auditado, como se indica a continuación:

1. La SEDUVI contó con un CARECI, el cual fue constituido en enero de 2018; con unidades

administrativas encargadas de atender, dar seguimiento y cumplir las obligaciones en

materia de transparencia y acceso a la información; con un portal de transparencia y

ventanilla única en el sitio web de la dependencia; con un área de armonización contable;

y con un área para la administración de recursos humanos y financieros.

En el CARECI participó el OIC en la dependencia; tuvo un Programa de Revisión de Control

Interno, integrantes nombrados y ratificados, y un manual de integración y funcionamiento;

230 VOLUMEN 1/8

y en su operación dio seguimiento a las observaciones determinadas por el OIC en las

revisiones de control interno practicadas y en áreas identificadas de alto riesgo, derivado

de lo cual propició la implementación de controles internos.

2. El OIC en la SEDUVI, adscrito a la Secretaría de la Contraloría General de la Ciudad de

México (SCGCDMX), dispuso de atribuciones para inspeccionar y vigilar que la dependencia

cumpliera las normas y disposiciones en materia de información, estadística, organización,

procedimientos, sistemas de registro y contabilidad, contratación y pago de personal,

contratación de servicios, obra pública, adquisiciones, arrendamientos, conservación,

uso, destino, afectación, enajenación y baja de bienes muebles e inmuebles, almacenes y

demás activos; y en su Programa de Auditorías no consideró revisiones a la dependencia

relativas al SIG-CIUDADMX por el ejercicio de 2018, ni realizó auditorías de control interno.

Asimismo, en la revisión del Programa Anual de Control Interno (PACI) de la dependencia,

proporcionado por la SCGCDMX, se observó que no consideró revisiones de control

interno relacionadas con el rubro en revisión.

Con base en lo anterior, se determinó que la dependencia contó con mecanismos efectivos

que le permitieron controlar sus operaciones consistentes en un CARECI que propició el

desarrollo de respuestas al riesgo, así como su administración y control; con un OIC que la

vigiló, el cual no auditó al rubro examinado en el ejercicio de 2018 ni realizó auditorías de control

interno a la dependencia; y con un PACI en el que se implementaron tres programas de

control interno que no guardan relación con el SIG-CIUDADMX.

Actividades de Control Interno

Se verificó si la SEDUVI contó con procedimientos que le hayan permitido prevenir, minimizar

y responder a los riesgos que pudieran afectar el cumplimiento y logro de los objetivos del

rubro en revisión y asegurarse de la eficacia y eficiencia de las operaciones; y si contó con

actividades de control para cerciorarse de que los informes y reportes que genera el sujeto

fiscalizado sean presentados oportunamente y con información confiable, como se indica a

continuación:

231 VOLUMEN 1/8

1. En 2018, la SEDUVI incluyó 68 procedimientos en el manual administrativo con número

de registro MA-21/210715-D-SEDUVI-11/2010; y 91 procedimientos integrados en el

manual administrativo con número de registro MA-18/291018-D-SEDUVI-10/010518.

Del total de 159 procedimientos que estuvieron vigentes en el ejercicio auditado, 17

tienen relación con las operaciones del rubro sujeto a revisión y son los que se describen

a continuación:

La SEDUVI no contó con procedimientos establecidos en su manual administrativo que

regularan la seguridad de la información.


no presentó evidencia de las gestiones realizadas para la elaboración de procedimientos que

regulen la seguridad de la información, por lo que la observación prevalece.

Control general de TIC Nombre del procedimiento

Operaciones de TIC “Desarrollo e Implementación de Sistemas Informáticos” “Desarrollo de Sistemas Informáticos” “Atención de Servicios Específicos de Sistemas” “Atención de Servicios Informáticos Específicos de Prospección Tecnológica”

Gobernanza de TIC “Administración de Inventario de Equipo de Cómputo” Continuidad del servicio y recuperación de desastres

“Mantenimiento Correctivo y Perfectivo de Sistemas” “Actualización del Sistema de Información Geográfica CIUDADMX en materia de Normatividad de Uso de Suelo” “Actualización del Sistema de Información Geográfica CIUDADMX en Información Catastral y Cartográfica” “Atención de Solicitudes de Soporte Técnico y Telefonía” “Actualización del Sistema CIUDADMX en materia de Normatividad de Uso de Suelo” “Actualización del Sistema de Información para la Evaluación del Desarrollo Urbano (SIEDU)” “Actualización del Sistema de Información Geográfica (SIG) CIUDADMX” “Mantenimiento de Sistemas Informáticos” “Atención de Solicitudes de Soporte Técnico, Redes y Telefonía”

Desarrollo y adquisición de TIC

“Solicitud de Dictamen Técnico” “Plan de Desarrollo en Tecnologías de la Información” “Plan Estratégico de Tecnologías de la Información y Comunicaciones”

232 VOLUMEN 1/8

Por no contar con procedimientos establecidos en su manual administrativo que regularan

las actividades relacionadas con la seguridad de la información ni delimitaran las

responsabilidades de los servidores públicos que las llevarían a cabo, la SEDUVI incumplió

el lineamiento Quinto, fracción II, de los Lineamientos Generales para el Registro

de Manuales Administrativos y Específicos de Operación de la Administración Pública de

la Ciudad de México, publicados en la Gaceta Oficial de la Ciudad de México núm. 334

el 1o. de junio de 2018, en relación con el numeral 7.4.1, “Procedimientos”, primer y tercer

párrafos, del apartado 7, “Organización, Procesos y Procedimientos”, del capítulo III,

“Elaboración e Integración del Manual Administrativo y Específico de Operación”, de la

Guía Técnica y Metodológica para la Elaboración e Integración de los Manuales

Administrativos y Específicos de Operación de la Administración Pública de la Ciudad de

México publicada en la Gaceta Oficial de la Ciudad de México núm. 17 el 28 de febrero

de 2017, ambos vigentes en 2018.

El lineamiento Quinto, fracción II, de los Lineamientos Generales para el Registro de

Manuales Administrativos y Específicos de Operación de la Administración Pública

de la Ciudad de México, vigentes en 2018, establece lo siguiente:

“Quinto. Los Órganos de la Administración Pública y los Órganos Administrativos tendrán

las siguientes obligaciones, según corresponda: [...]

”II. Cumplir con los criterios, requisitos, plazos, mecanismos y formalidades del proceso

de registro, establecidos en los presentes Lineamientos, la Guía Técnica y Metodológica

y demás instrumentos técnicos, tecnológicos, jurídicos o administrativos que emitan la

Oficialía o la Coordinación General.”

El numeral 7.4.1, “Procedimientos”, primer y tercer párrafos, del apartado 7, “Organización,

Procesos y Procedimientos”, del capítulo III, “Elaboración e Integración del Manual

Administrativo y Específico de Operación”, de la Guía Técnica y Metodológica para la

Elaboración e Integración de los Manuales Administrativos y Específicos de Operación

de la Administración Pública de la Ciudad de México, vigente en 2018, establece:

“7. Organización, Procesos y Procedimientos

233 VOLUMEN 1/8

”El apartado de organización, procesos y procedimientos refleja la parte medular del

manual administrativo, el ¿qué hace? y ¿cómo lo hace?, y para su desarrollo se

considerarán los siguientes elementos: [...]

”7.4.1 Procedimientos

”Un procedimiento es un curso de actividades secuenciales, precisas y vinculadas entre

sí que describen la forma de realizar algo. Los procedimientos en el contexto de los

Manuales [Administrativos] son la base de las operaciones que derivan de los procesos

institucionales de los Órganos de la Administración Pública […]

”Es importante señalar que los procedimientos norman el funcionamiento interno de la

organización, por lo que únicamente aplican para delimitar las responsabilidades de las

personas servidoras públicas que participan en su desarrollo.”

2. La SEDUVI contó con el SIG-CIUDADMX para consulta en línea del uso del suelo del

territorio de la Ciudad de México.

3. De acuerdo con las respuestas al cuestionario de control interno y con la información y

documentación analizadas, la SEDUVI dispuso de actividades de control para asegurarse

de que los informes y reportes que genera fueran presentados oportunamente y con

información confiable a las diferentes instancias del Gobierno de la Ciudad de México.

Con base en lo anterior, se determinó que la SEDUVI contó con mecanismos de control

efectivos incluidos en sus procedimientos que le permitieron prevenir, minimizar y responder a

los riesgos que pudieran afectar el cumplimiento y logro de sus objetivos del rubro sujeto

a revisión y asegurarse de la eficacia y eficiencia de la operación y gobernanza de TIC, así

como de la continuidad del servicio y recuperación de desastres y el desarrollo y adquisición

de TIC para la administración y uso del SIG-CIUDADMX, también asegurarse de que los

informes y reportes que generó el sujeto fiscalizado fueran presentados oportunamente y

con información confiable; sin embargo, no reguló las actividades a realizar en relación con

la seguridad de la información ni delimitó las responsabilidades de los servidores públicos

que llevarían a cabo esas actividades, por no contar con procedimientos en su manual

234 VOLUMEN 1/8

administrativo, lo cual ocasionó la probabilidad de fallas en salvaguardar, preservar y mantener

la integridad, disponibilidad, confidencialidad, autenticidad de la información, como se detalla

en el resultado núm. 4 del presente informe.

Información y Comunicación

Se revisó si la SEDUVI contó con líneas de comunicación e información reguladas entre los

mandos medios y superiores con las personas servidoras públicas a su cargo que le permitieron

comunicarles sus responsabilidades, así como los objetivos y metas institucionales; y si

generó información necesaria, oportuna, veraz y suficiente, tanto al interior como al exterior

de la dependencia, como se indica a continuación:

1. De acuerdo con las respuestas al cuestionario de control interno y con la información y

documentación analizadas, la SEDUVI contó con líneas de comunicación e información

reguladas entre los mandos medios y superiores con el personal a su cargo que le permitieron

comunicarles sus responsabilidades, así como los objetivos y metas institucionales.

2. El sujeto fiscalizado generó reportes e informes sobre la gestión de los recursos humanos

y financieros, así como en materia de transparencia y acceso a la información, fiscalización,

rendición de cuentas y contabilidad gubernamental, y de los sistemas informáticos.

3. La dependencia informó que no contó con el Sistema de Armonización de Información

y Control (SAIC) para dar seguimiento a los controles internos verificados en las revisiones

de la SCGCDMX.


no presentó evidencia de haber dado seguimiento a los controles internos verificados

en las revisiones de la SCGCDMX por medio del SAIC, por lo que la observación prevalece.

Con base en lo anterior, si bien la dependencia indicó que no dispuso del SAIC, si contó

con mecanismos que le permitieron asegurarse de la generación de información necesaria,

oportuna, veraz y suficiente tanto al interior como al exterior; y derivado de la aplicación de

pruebas de controles y procedimientos sustantivos en la fase de ejecución de la auditoría,

235 VOLUMEN 1/8

se confirmó la efectividad de dichos mecanismos, ya que la SEDUVI no presentó deficiencias

en la generación y presentación de informes al exterior.

Supervisión y Mejora Continua

Se verificó si los manuales administrativos de la SEDUVI consideraron actividades de supervisión

a fin de verificar si las operaciones institucionales relacionadas con el rubro en revisión se

ajustaron a las líneas de mando y actividades establecidas en los citados manuales

administrativos, como se indica a continuación:

1. Según las respuestas al cuestionario de control interno y la información y documentación

analizadas, la dependencia no promovió el seguimiento y mejora de los controles internos, y

no supervisó que las operaciones relacionadas con el rubro en revisión cumplieran sus

objetivos para el ejercicio de 2018.


no presentó evidencia de haber promovido el seguimiento y mejora de los controles

internos ni de la supervisión de que las operaciones relacionadas con el rubro en revisión

cumplieran sus objetivos para el ejercicio de 2018, por lo que la observación prevalece.

2. El CARECI de la SEDUVI contó con planes y programas para supervisar las actividades

de control interno; sin embargo, no estableció controles para supervisar las actividades del

rubro en revisión o aquéllas susceptibles de corrupción, no llevó a cabo autoevaluaciones

para el mejor desarrollo del control interno y cumplimiento de metas y objetivos, ni elaboró

un programa de acciones para resolver las problemáticas detectadas.


no presentó evidencia de haber establecido controles para supervisar las actividades del

rubro en revisión o aquéllas susceptibles de corrupción, de haber llevado a cabo

autoevaluaciones para el desarrollo del control interno y cumplimiento de metas y

objetivos ni de haber elaborado un programa de acciones para resolver las problemáticas

detectadas, por lo que la observación prevalece.

236 VOLUMEN 1/8

3. La SEDUVI emprendió acciones para que las actividades relacionadas con la operación

del rubro auditado permitieran el cumplimiento de las funciones y atribuciones encomendadas

y de la normatividad aplicable.

4. La SEDUVI supervisó periódicamente las actividades de los servidores públicos, desde

nivel operativo hasta mandos medios, con el fin de cerciorarse de que las actividades

del rubro en revisión se ejecutaran conforme a la normatividad aplicable.

Con base en lo anterior, se identificó que la SEDUVI diseñó mecanismos de control orientados

a asegurar el seguimiento y mejora de los controles internos, contó con planes y programas

para supervisar las actividades de control interno y ejecutar las actividades conforme a la

normatividad aplicable; asimismo, el CARECI, conforme a sus funciones y atribuciones, permitió

que la dependencia contara con mecanismos que definieron los tramos de responsabilidad;

sin embargo, dichos mecanismos no son efectivos, ya que no se promovió el seguimiento y

mejora de los controles internos, y la supervisión de las operaciones del rubro en revisión ni llevó

a cabo autoevaluaciones para el desarrollo del control interno y cumplimiento de metas y objetivos.

Por lo expuesto, se determinó que el diseño del control interno de la SEDUVI no es apropiado,

toda vez que el sujeto fiscalizado cuenta principalmente con riesgos controlados y de

seguimiento, no obstante que se observaron deficiencias en el componente Ambiente de Control,

pues no aportó evidencia documental de que estableció mecanismos para que personal de

la dependencia, en el ejercicio de sus funciones, se ajustara al código de conducta; en el

componente Actividades de Control Interno, ya que no contó con procedimientos establecidos

en el manual de administrativo que regularan la seguridad de la información; en el

componente Información y Comunicación, toda vez que no contó con el SAIC; y en el componente

Supervisión y Mejora Continua, pues la dependencia no promovió el seguimiento y mejora

de los controles internos, no estableció controles para supervisar las actividades susceptibles de

corrupción y no llevó a cabo autoevaluaciones para el desarrollo del control interno y el

cumplimiento de metas y objetivos.

En cuanto a su efectividad, el control interno de la SEDUVI no es apropiado, ya que la

dependencia careció de procedimientos en su manual administrativo que regularan la seguridad de

237 VOLUMEN 1/8

la información, lo que implicó que se materializaran riesgos con un impacto en el componente

Actividades de Control Interno, como se detalla en el resultado núm. 4 del presente informe.

Como resultado del estudio y evaluación del control interno y con base en las herramientas

utilizadas, se determinó que el control interno del sujeto fiscalizado no es apropiado, pues aunque

en su diseño propició el cumplimiento de la normatividad, por no contar con procedimientos en su

manual administrativo para regular la seguridad de la información, existe un riesgo en la

protección de la información contenida en el SIG-CIUDADMX ante la pérdida de confidencialidad,

integridad y disponibilidad a un nivel aceptable, que impacta en el logro de los objetivos de

la SEDUVI.

En el informe de la auditoría ASCM/3/18 practicada a la SEDUVI, resultado núm. 1,

recomendación ASCM-3-18-1-SEDUVI, se considera el mecanismo para asegurar que el

personal de la dependencia en el ejercicio de sus funciones se apegue al código de ética

vigente, por lo que se dará tratamiento a dicha circunstancia como parte del seguimiento de la

recomendación citada.


recomendación ASCM-3-18-3-SEDUVI, se considera el mecanismo para asegurar que la

dependencia promueva el seguimiento y mejora de los controles internos y la supervisión de las

operaciones, por lo que se dará tratamiento a dicha circunstancia como parte del seguimiento de

la recomendación citada.


recomendación ASCM-3-18-4-SEDUVI, se considera el mecanismo para asegurar que su

CARECI establezca controles para supervisar las actividades de control interno que realiza;

lleve a cabo autoevaluaciones para el mejor desarrollo del control interno; dé seguimiento

al cumplimiento de metas y objetivos; y elabore un programa de acciones para resolver las

problemáticas detectadas, a fin de fortalecer su control interno, por lo que se dará tratamiento a

dicha circunstancia como parte del seguimiento de la recomendación citada.

238 VOLUMEN 1/8

Recomendación ASCM-5-18-1-SEDUVI

Es necesario que la Secretaría de Desarrollo Urbano y Vivienda establezca mecanismos

de control y supervisión para asegurarse de que se implementen procedimientos que regulen

las actividades relacionadas con la seguridad de la información y delimiten las responsabilidades

de los servidores públicos que las llevarán a cabo en el Sistema de Información Geográfica del

Centro de Información Urbana para el Desarrollo y Administración de la Ciudad de México,

en cumplimiento de la normatividad aplicable.


Es conveniente que la Secretaría de Desarrollo Urbano y Vivienda implemente mecanismos

para asegurar el seguimiento de los controles internos verificados en las revisiones realizadas

por la Secretaría de la Contraloría General por medio del Sistema de Armonización de

Información y Control.

Operaciones de TIC

2. Resultado

Con objeto de verificar que los controles permitieran una gestión efectiva, eficaz y eficiente

para la operación del SIG-CIUDADMX, en cumplimiento de la normatividad relativa a la gestión

de la información (entrada, procesamiento y almacenamiento de datos) para asegurarse de

que sea confidencial, disponible e íntegra; que los enlaces de datos hayan brindado soporte

al sistema para asegurar una adecuada operación de TIC, así como haber llevado a cabo

encuestas de satisfacción en servicio a los usuarios finales, la ASCM llevó a cabo inspecciones,

entrevistas y pruebas de auditoría. Al respecto, se determinó lo siguiente:

1. Con el oficio núm. SEDUVI/DGAF/1820/2019 del 12 de agosto de 2019, la Dirección

General de Administración y Finanzas en la SEDUVI adjuntó lo siguiente:

a) El Acuerdo de Niveles de Servicio (SLA, Service Level Agreement, por sus siglas

en inglés), que indica: “… los servicios informáticos, de infraestructura y comunicaciones

[serán proporcionados por] la Secretaría de Finanzas (SEFIN) a través de la Dirección

239 VOLUMEN 1/8

General de Informática (DGI) a la Secretaría de Desarrollo Urbano y Vivienda (SEDUVI)

por medio de la Dirección de Tecnologías de Información y Comunicaciones (DTIC)”.

Al respecto, el 6 de agosto de 2019 se realizó una inspección al centro de datos de

la Secretaría de Administración y Finanzas (SAF), antes Secretaría de Finanzas,

donde se alojan los servidores de la SEDUVI, y se observó que éstos se encuentran

instalados en el suelo y el personal de la Subdirección de Sistemas de Información

de la SEDUVI puede acceder al servidor mediante escritorio remoto; y que en ocasiones

hay problemas con la conexión remota y no es posible acceder al servidor, por lo que es

necesaria la intervención del personal de la SAF, para restablecer el servicio, lo que

representa un riesgo en la efectividad y eficacia de la operación del SIG-CIUDADMX.

En la reunión de confronta, celebrada el 18 de septiembre de 2019, la titular de la

SEDUVI no presentó evidencia documental de contar con una conexión de acceso

remoto al servidor que asegure una operación efectiva y eficaz del SIG-CIUDADMX,

por lo que la observación prevalece.

Por presentar problemas en la conexión de escritorio remoto, la SEDUVI incumplió

el artículo 14 de la Ley de Gobierno Electrónico del Distrito Federal, publicada en

la Gaceta Oficial del Distrito Federal núm. 192 el 7 de octubre de 2015, vigente en 2018,

que señala:

“Artículo 14. Los instrumentos para operar el Gobierno Electrónico deberán responder

a los criterios de efectividad, eficiencia, confidencialidad, integridad, disponibilidad

y accesibilidad.”

b) El manual interno “Guía de Usuario de Sistema Información Geográfica de la Ciudad

de México SIG-CIUDADMX”, tiene como objetivo describir “paso a paso las funciones

que le ayudarán a explotar al máximo las potencialidades del sistema, que son

herramientas útiles para obtener de manera oportuna resultados para la toma de

decisiones”, e incluye los apartados Introducción, Entorno gráfico de sistema SIG-

CIUDADMX y Control de cambios para aplicaciones.

240 VOLUMEN 1/8

c) El manual técnico “Documentación Técnico de Sistema Información Geográfica de

la Ciudad de México SIG-CIUDADMX”, incluye los apartados Introducción, Objetivo,

Requerimientos del Sistema, Diccionario de Datos (Repositorio de Metadatos),

Ubicación del Sistema SIG-CIUDADMX, Arquitectura General de SIG-CIUDADMX

y Control de Cambios para Aplicaciones.

d) Un video tutorial publicado en el sitio web del sistema sobre el uso y navegación de

éste.

La normatividad proporcionada cumplió lo establecido en el artículo 13; inciso 7.1.1,

“Documentación de los procedimientos operativos”; apartado 7, “Seguridad de las

operaciones”, de las Normas Generales que deberán observarse en materia de Seguridad

de la Información en la Administración Pública del Distrito Federal, publicadas en la

Gaceta Oficial del Distrito Federal núm. 121 el 9 de julio de 2007, vigentes en 2018.

2. De acuerdo con la entrevista realizada el 5 de agosto de 2019 a la Dirección de Sistemas

de Geomática Urbana y la Subdirección de Desarrollo Geomático, la dependencia no llevó

a cabo sesiones de capacitación para la operación y gestión del SIG-CIUDADMX.


no presentó evidencia de haber llevado a cabo sesiones de capacitación, en el ámbito

de su respectiva competencia, para la operación y gestión del SIG-CIUDADMX, por lo

que la observación prevalece.

Por no capacitar a los servidores públicos encargados de la operación y gestión del

SIG-CIUDADMX, la SEDUVI incumplió el artículo 19 de la Ley de Gobierno Electrónico

del Distrito Federal, publicada en la Gaceta Oficial del Distrito Federal núm. 192 el

7 de octubre de 2015, vigente en 2018, que señala:

“Artículo 19. Cada uno de los Órganos de la Administración Pública, en el ámbito de

sus respectivas competencias, propiciará la capacitación de los servidores públicos a su

cargo en materia de tecnologías de la información y comunicaciones.”

3. En las inspecciones realizadas el 5 y 6 de agosto de 2019 a la Dirección de Sistemas

de Geomática Urbana y la Subdirección de Sistemas de Información, se observó que

241 VOLUMEN 1/8

el SIG-CIUDADMX se encuentra hospedado en un servidor con sistema operativo Windows

Server versión 2003 R2 Standard x64 Edition, y utiliza el sistema de gestión de base

de datos SQL Server versión 2005; y que de acuerdo con el sitio

https://www.microsoft.com/. Dichas versiones dejaron de recibir soporte y actualizaciones por

parte del desarrollador, para el caso del sistema operativo los servicios finalizaron el

14 de julio de 2015 y para el sistema manejador de bases de datos, el 9 de julio de 2019.


no presentó evidencia de haber gestionado las acciones necesarias para la actualización del

soporte técnico y garantizar un servicio efectivo, eficaz y eficiente en el funcionamiento de

los sistemas y de las aplicaciones alojadas en el servidor, por lo que la observación

prevalece.

Por no actualizar el soporte técnico que garantice un servicio efectivo, eficaz y eficiente

en el funcionamiento de los sistemas y de las aplicaciones que se encuentren alojadas en

los servidores que operan bajo estas plataformas, la SEDUVI incumplió el artículo 14

de la Ley de Gobierno Electrónico del Distrito Federal, publicada en la Gaceta Oficial

del Distrito Federal núm. 192 el 7 de octubre de 2015, vigente en 2018.

4. Se constató la operatividad y actualización de los registros de la base de datos del SIG-

CIUDADMX, mediante el uso del DBMS (Data Base Management System, por sus siglas

en inglés, Sistema Manejador de Base de Datos) MySQL, mediante la función rand,

al encontrar en el buscador del sistema las cartografías de las 50 cuentas prediales

seleccionadas de forma aleatoria como muestra del padrón de contribuyentes del Impuesto

Predial, integrado por 2,315,036 cuentas.

5. En la entrevista realizada el 9 de agosto de 2019 al titular de la Dirección General

de Control y Administración Urbana, se proporcionó el oficio

núm. SEDUVI/DGCAU/SCRRT/3525/2019 del 8 de julio de 2019, con el cual la Subdirección

de Control de Reserva y Registro Territorial solicitó a la Dirección de Sistemas de Geomática

Urbana, ambas de la SEDUVI, la actualización de la información de un predio con la

cuenta catastral 035-538-01.

242 VOLUMEN 1/8

Al respecto, con el oficio núm. SEDUVI/DGAF/1820/2019 del 12 de agosto de 2019,

la Dirección General de Administración y Finanzas en la SEDUVI remitió el oficio

núm. SEDUVI/CGDAU/DPCU/2443/2018 del 22 de junio de 2018, con el cual la Dirección de

Patrimonio Cultural Urbano solicitó a la Subdirección de Prospección Tecnológica, ambas

de la SEDUVI, la actualización de la información patrimonial de un inmueble en el

sistema SIG-CIUDADMX, de cuyo análisis se constató la actualización del predio por

medio de la visualización de la información en el SIG-CIUDADMX.

6. En la inspección realizada el 5 de agosto de 2019 a la operación del sistema, se observó

que la base de datos del SIG-CIUDADMX no está normalizada, es decir, no cuenta con

reglas que eviten la redundancia de los datos, lo que representa un riesgo de integridad

de la información para el proceso de actualización de la base de datos.


no presentó evidencia documental de las reglas que eviten la redundancia de los datos

en las bases de datos con las que opera el SIG-CIUDADMX, por lo que la observación

prevalece.

Por no contar, en la base de datos, con reglas que eviten la redundancia de los datos,

la SEDUVI incumplió el artículo 8, fracción III, de las Normas Generales que deberán

observarse en materia de Seguridad de la Información en la Administración Pública

del Distrito Federal, publicadas en la Gaceta Oficial del Distrito Federal núm. 121

el 9 de julio de 2007, vigente en 2018, que señala:

“Artículo 8. Los titulares de las dependencias […] de la Administración Pública del Distrito

Federal deberán asegurarse del correcto tratamiento de la información, cerciorándose

de la confiabilidad y pertinencia de la misma con el propósito, de establecer: […]

”III. Protección contra modificaciones no autorizadas, errores e inexactitudes (integridad).”

7. Mediante el oficio núm. SEDUVI/DGAF/1820/2019 del 12 de agosto de 2019, la Dirección

General de Administración y Finanzas en la SEDUVI remitió la información referente a

la contratación del servicio de internet, en cuyo análisis se identificó que la dependencia

adquirió el servicio de internet mediante el contrato núm. DAT-02-2018 del 31 de diciembre

243 VOLUMEN 1/8

de 2017, cuyo objeto fue la “Contratación consolidada del servicio de acceso a internet,

redes y procesamiento de información, que requieren las unidades administrativas

adheridas del gobierno de la Ciudad de México para el período del 01 de enero al

31 de enero de 2018”.

En la entrevista efectuada en la Subdirección de Sistemas de Información y en la inspección

al enlace de datos que da servicio al SIG-CIUDADMX, ambas con fecha 5 de agosto

de 2019, la dependencia acreditó contar con un servicio de 20 Mb utilizado como red

virtual privada (VPN, por sus siglas en inglés, Virtual Private Network), para establecer

comunicación directa con el servidor donde se encuentra alojado el SIG-CIUDADMX,

en cumplimiento del artículo 35 de la Ley de Gobierno Electrónico del Distrito Federal,

publicada en la Gaceta Oficial del Distrito Federal núm. 192 el 7 de octubre de 2015,

vigente en 2018.

8. En la entrevista realizada el 5 de agosto de 2019 al titular de la Dirección de Sistemas

de Geomática Urbana y la Subdirección de Desarrollo Geomático, así como en la inspección

al sitio web http://ciudadmx.cdmx.gob.mx:8080/seduvi/ llevada a cabo el día 8 de agosto

de 2019, donde se encuentra hospedado el SIG-CIUDADMX, se verificó que el sitio web

no cuenta con un apartado o sección de encuestas de satisfacción a usuarios finales.


no presentó evidencia documental de haber realizado encuestas de satisfacción a los

usuarios finales del SIG-CIUDADMX, por lo que la observación prevalece.

Por no realizar encuestas de satisfacción a los usuarios finales del SIG-CIUDADMX, la

SEDUVI incumplió el artículo 31 de la Ley de Gobierno Electrónico del Distrito Federal,

publicada en la Gaceta Oficial del Distrito Federal núm. 192 el 7 de octubre de 2015,

vigente en 2018, que señala:

“Artículo 31. Los Órganos de la Administración Pública desarrollarán metodologías […]

que incluyan la evaluación y monitoreo, para generar estrategias de gestión como parte

del proceso de formación y mejora [continua]”.

244 VOLUMEN 1/8

Se concluye que la SEDUVI contó con un manual de usuario, un manual técnico y un video

tutorial, en los que se describen el uso, navegación y características del SIG-CIUDADMX y

con un enlace de datos dentro de una red tipo VPN para la operación y administración de

éste; sin embargo, en ocasiones el sistema presenta problemas de conexión remota con el

servidor, por lo que ha sido necesaria la intervención de personal de la SAF, para restablecer

el servicio y los servidores de la SEDUVI instalados en el centro de datos de la SAF que se

encuentran en el suelo; no se realizaron sesiones de capacitación para la operación y gestión del

SIG-CIUDADMX; el servidor en donde se hospeda el sistema ha dejado de recibir soporte y

actualizaciones en el sistema operativo y de gestión de base de datos; la base de datos del

SIG-CIUDADMX no contó con reglas que eviten la redundancia de los datos, lo que

representa posibles fallas en la integridad de la información contenida en la base de datos; y

no se realizaron encuestas de satisfacción del servicio a los usuarios finales de dicho sistema.


Es necesario que la Secretaría de Desarrollo Urbano y Vivienda implemente mecanismos

de control y supervisión para asegurarse de que los instrumentos (conexión remota, sistema

operativo y de gestión de base de datos del servidor) del Sistema de Información Geográfica

del Centro de Información Urbana para el Desarrollo y Administración de la Ciudad de

México sean efectivos, eficientes y estén actualizados, con objeto de minimizar la probabilidad

de ocurrencia de fallas en la seguridad de las aplicaciones y operaciones del sistema,

conforme a la normatividad aplicable.



de control y supervisión para asegurarse de que, en el ámbito de su respectiva competencia,

se cuente con un programa de capacitación para la gestión y operación del Sistema de

Información Geográfica del Centro de Información Urbana para el Desarrollo y Administración

de la Ciudad de México, en cumplimiento de la Ley de Gobierno Electrónico del Distrito Federal.

245 VOLUMEN 1/8



de control y supervisión para asegurarse de que las bases de datos con las que opera el

Sistema de Información Geográfica del Centro de Información Urbana para el Desarrollo y

Administración de la Ciudad de México cuenten con reglas para evitar la redundancia de

los datos, en cumplimiento de las Normas Generales que deberán observarse en materia

de Seguridad de la Información en la Administración Pública del Distrito Federal.



de control y supervisión para asegurarse de que, como parte del proceso de mejora continua,

se realicen encuestas de satisfacción del servicio a los usuarios finales del Sistema de Información

Geográfica del Centro de Información Urbana para el Desarrollo y Administración de la

Ciudad de México, en cumplimiento de la Ley de Gobierno Electrónico del Distrito Federal.

Gobernanza de TIC

3. Resultado

Con objeto de evaluar si los controles relativos a gobernanza de las TIC están ajustados a

las normas y buenas prácticas, y que se cuente con procedimientos que permitan el adecuado

desempeño del SIG-CIUDADMX y con un área responsable de administrarlo, la ASCM

realizó entrevistas, inspecciones y pruebas informáticas. En ellas, se determinó lo siguiente:


General de Administración y Finanzas en la SEDUVI remitió el Manual de Política de

Seguridad de la Información de la Secretaría de Desarrollo Urbano y Vivienda, en cuyo

análisis se constató que indica las políticas de seguridad de la información y que su

contenido y estructura fue conforme a los artículos 2 y 13 de las Normas Generales que

deberán observarse en materia de Seguridad de la Información en la Administración

Pública del Distrito Federal, publicadas en la Gaceta Oficial del Distrito Federal

núm. 121 el 9 de julio de 2007, vigentes en 2018.

246 VOLUMEN 1/8

2. Con el oficio núm. SEDUVI/DGAF/1820/2019 del 12 de agosto de 2019, la Dirección

General de Administración y Finanzas en la SEDUVI proporcionó la documentación

relativa a la existencia de procedimientos que permitan el adecuado desempeño del

SIG-CIUDADMX, de cuyo análisis se tuvo conocimiento de que su manual administrativo

contó con el procedimiento “Actualización del Sistema de Información Geográfica (SIG)

CIUDADMX”, cuyo objetivo es “mantener optimizado y actualizado el Sistema de

Información Geográfica, mediante la actualización del registro de predios de la Ciudad

de México en el sistema CIUDADMX”; y con el documento “Diseño conceptual del DRP-

SEDUVI”, donde se establecieron procedimientos para la realización de respaldos y

restauración de las bases de datos, en cumplimiento del artículo 13, objetivo de la

norma 7.4.2, “Procedimientos para el manejo de información”, de las Normas Generales

que deberán observarse en materia de Seguridad de la Información en la Administración

Pública del Distrito Federal, publicadas en la Gaceta Oficial del Distrito Federal el

9 de julio de 2007, vigente en 2018.

3. Mediante el oficio núm. ACF-A/19/0505 del 21 de junio de 2019, la ASCM solicitó el

manual administrativo vigente en 2018 y realizó entrevistas en la Dirección de Sistemas

de Geomática Urbana y en la Subdirección de Sistemas de Información el 5 de agosto de

2019 en relación con el manual administrativo. En respuesta, con el oficio

núm. SEDUVI/DGAF/1512/2019 del 8 de julio de 2019, la Dirección General de Administración

y Finanzas en la SEDUVI remitió la información, de cuyo análisis se observó que en

2018 el área encargada de administrar el SIG-CIUDADMX fue la DTIC, en cumplimiento

del artículo 32 de la Ley de Gobierno Electrónico del Distrito Federal publicada en la

Gaceta Oficial del Distrito Federal el 7 de octubre de 2015, vigente en 2018.

Se concluye que la SEDUVI acreditó contar con un documento referente a políticas de

seguridad de información, con base en el artículo 13 de las Normas Generales que deberán

observarse en materia de Seguridad de la Información en la Administración Pública del

Distrito Federal; con procedimientos para actualizar el sistema y para la realización de respaldos

y restauración de las bases de datos; y con la DTIC como área encargada de administrar

el SIG-CIUDADMX.

247 VOLUMEN 1/8

Seguridad de la Información

4. Resultado

Con la finalidad de verificar que se haya contado con políticas y controles de seguridad

suficientes y efectivas para la operación del SIG-CIUDADMX; y con accesos lógicos y físicos,

se realizaron entrevistas a la Dirección de Sistemas de Geomática Urbana y la Subdirección

de Sistemas de Información el 5 de agosto de 2019, así como inspecciones físicas y pruebas

informáticas a los centros de datos el 5 y 6 de agosto de 2019. Al respecto, se determinó lo

siguiente:


General de Administración y Finanzas en la SEDUVI remitió el documento que contiene

las políticas de seguridad de la información en el SIG-CIUDADMX. En su análisis, se

identificó que la dependencia no contó en su manual administrativo con procedimientos

relativos a la seguridad de la información, pero acreditó contar con un documento de

políticas de seguridad de la información denominado Manual de Política de Seguridad

de la Información de la Secretaría de Desarrollo Urbano y Vivienda, cuyo objetivo es “definir

y establecer las normas técnicas y administrativas, controles, procedimientos y documentos

necesarios para garantizar la seguridad de la información de la Secretaría así como de

sus SISTEMAS…”. Éste fue difundido a las Coordinaciones Generales, Direcciones

Generales, Direcciones Ejecutivas, Direcciones de Área, Subdirecciones y Jefaturas

de Unidad Departamental de la SEDUVI, mediante correo electrónico y con el oficio

núm. SEDUVI/DEIS/DTIC/060/2018 del 1o. de junio de 2018 por medio de la DTIC, en

cumplimiento del artículo 13, apartado 2, “Política de Seguridad”; inciso 2.1, “Definición

y documentación de la política de seguridad de la información”, de las Normas Generales




2. Con relación a si los controles fueron suficientes y efectivos para la seguridad física,

lógica y de red en la infraestructura tecnológica para la operación del SIG-CIUDADMX,

se observó lo siguiente:

248 VOLUMEN 1/8

a) La dependencia acreditó contar con energía eléctrica polarizada y aterrizada para

evitar que la infraestructura de TIC sufra daños en caso de alguna situación adversa,

en cumplimiento del artículo 13, objetivo del apartado 6.2, “Seguridad del Equipamiento”,

de las Normas Generales que deberán observarse en materia de Seguridad de la

Información en la Administración Pública del Distrito Federal, publicadas en la Gaceta

Oficial del Distrito Federal el 9 de julio de 2007, vigentes en 2018; y que se alineó

con el estándar internacional ISO/IEC 27002 (International Organization for Standardization

and International Electrotechnical Commission, por sus siglas en inglés, Organización

Internacional de Normalización y la Comisión Electrotécnica Internacional), en su

apartado 11.2.2, que señala:

“11. Seguridad física y ambiental […]

”11.2.2. Instalaciones de suministro. El equipo debe estar protegido de fallas de

energía y otras interrupciones causadas por fallas en los servicios auxiliares.”

Sin embargo, en el centro de datos se observaron rastros de humedad, cajas de

cartón y equipo ajeno a su infraestructura.


no presentó evidencia de que el centro de datos se encuentre en condiciones

limpias y seguras, por lo que la observación prevalece.

Por contar con rastros de humedad, cajas de cartón y equipo ajeno a su infraestructura en

el centro de datos, la SEDUVI incumplió el artículo 13, objetivo del apartado 7, “Seguridad

de las operaciones”, de las Normas Generales que deberán observarse en materia de

Seguridad de la Información en la Administración Pública del Distrito Federal, publicadas

en la Gaceta Oficial del Distrito Federal el 9 de julio de 2007, vigentes en 2018, que

señala:

“Artículo 13.- Para los efectos de los siguientes acuerdos, las Normas Generales para la

Seguridad de la Información, son las siguientes: […]

”7. Seguridad de las operaciones.

249 VOLUMEN 1/8

”Objetivo.

”Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento

de la información y comunicaciones.”

La SEDUVI tampoco se alineó con las mejores prácticas de COBIT 5 en su control

DSS01.04 “Gestionar el entorno”, inciso 8, que señala:

“DSS01.04 Gestionar el entorno […]

”8. Mantener en todo momento a los sitios de TI y las salas de servidores limpias y

en una condición segura (es decir, sin desorden, sin papel ni cajas de cartón, sin

papeleras llenas, sin productos químicos o materiales inflamables).”

b) La SEDUVI acreditó contar con un firewall con el objetivo de filtrar accesos no

autorizados y protección contra códigos maliciosos, en cumplimiento del artículo 13,

en su apartado 7.3.1, “Controles contra código malicioso”, de las Normas Generales




c) La SEDUVI monitorea la red de datos por medio de la aplicación Nagios, para verificar

la disponibilidad de los servicios, el tráfico de la red, el uso de memoria y procesadores

de los servidores en los centros de datos, en cumplimiento del artículo 13, apartados 7.6,

“Monitoreo de los sistemas”; y 7.6.2, “Monitoreo de los Sistemas y recursos en uso”,

de las Normas Generales que deberán observarse en materia de Seguridad de

la Información en la Administración Pública del Distrito Federal, publicadas en la

Gaceta Oficial del Distrito Federal el 9 de julio de 2007, vigentes en 2018.

d) El SIG-CIUDADMX se instaló en un servidor con sistema operativo Windows Server

versión 2003 R2 Standard x64 Edition y SQL Server versión 2005 como sistema

de gestión de base de datos; sin embargo, dichas versiones dejaron de recibir

actualizaciones de seguridad por parte del desarrollador, lo que maximiza la probabilidad

de ocurrencia de fallas en la seguridad de las operaciones del sistema y de las

250 VOLUMEN 1/8

aplicaciones que se encuentren alojadas en los servidores que operan bajo estas

plataformas.

En la reunión de confronta, celebrada el 18 de septiembre de 2019, la titular de la

SEDUVI no presentó evidencia de haber gestionado las acciones necesarias para

mantener actualizado el sistema operativo y de gestión de base de datos del

servidor del SIG-CIUDADMX, por lo que la observación prevalece.

Por no recibir actualizaciones de seguridad por parte del desarrollador en el sistema

operativo y de gestión de la base de datos del servidor en donde se aloja el

SIG-CIUDADMX, la SEDUVI incumplió el artículo 13, objetivo del apartado 7.2, “Pruebas

de aceptación”, de las Normas Generales que deberán Observarse en materia de


en la Gaceta Oficial del Distrito Federal el 9 de julio de 2007, vigente en 2018, que señala:

“Artículo 13.- Para los efectos de los siguientes acuerdos, las Normas Generales

para la Seguridad de la Información, son las siguientes: […]

”7. Seguridad de las operaciones […]

”7.2 Pruebas de aceptación

”Objetivo. Minimizar el riesgo de fallas en los sistemas. Previo al desarrollo de un nuevo

sistema o al mantenimiento a uno existente, se deben definir y documentar los

requerimientos de seguridad.

”Se deben definir, documentar y probar los requerimientos operativos y de seguridad de

nuevos sistemas o mantenimientos a los existentes, antes de su aprobación y uso.”

Se concluye que la SEDUVI contó con un documento referente a políticas de seguridad que

fue difundido a las diversas áreas de la dependencia, con energía eléctrica polarizada y

aterrizada para evitar que la infraestructura de TIC sufra daños en caso de alguna situación

adversa y con un firewall para filtrar accesos inapropiados y códigos maliciosos; además,

monitorea la red para verificar la disponibilidad de los servicios, el tráfico de la red, el uso

de memoria y procesadores de los servidores en los centros de datos. Sin embargo, se observó

251 VOLUMEN 1/8

que en los centros de datos hay rastros de humedad y equipo ajeno a su infraestructura, lo que

representa un riesgo para garantizar el adecuado y seguro funcionamiento de las instalaciones,

y que el servidor donde se aloja el SIG-CIUDADMX ha dejado de recibir soporte y actualizaciones

para el sistema operativo y de gestión de base de datos, lo que maximiza el riesgo de fallas

en la seguridad.

En el resultado núm. 2, recomendación ASCM-5-18-3-SEDUVI, del presente informe, se

considera el mecanismo para prevenir el incumplimiento consistente en la falta de actualización

del sistema operativo y de gestión de base de datos del servidor del SIG-CIUDADMX que

maximiza la probabilidad de ocurrencia de fallas en la seguridad de las aplicaciones y

operaciones del sistema, por lo que se dará tratamiento a dicha circunstancia como parte

del seguimiento de la recomendación citada.



de control y supervisión para asegurarse de que el centro de datos donde se aloja el Sistema de

Información Geográfica del Centro de Información Urbana para el Desarrollo y Administración

de la Ciudad de México se encuentre en condiciones limpias y seguras, conforme a la normatividad

aplicable.

Continuidad del Servicio y Recuperación de Desastres

5. Resultado

Con objeto de evaluar si las políticas de continuidad del servicio y recuperación de desastres,

el plan de mantenimiento correctivo y preventivo a la infraestructura de TIC y los controles de

accesos autorizados y de seguridad en el centro de datos que salvaguarden los equipos

de misión crítica e infraestructura tecnológica para que el SIG-CIUDADMX brinde un servicio de

manera ininterrumpida, la ASCM realizó entrevistas en la Dirección de Sistemas de Geomática

Urbana y en la Subdirección de Desarrollo Geomático el 5 de agosto de 2019, así como

inspecciones físicas y pruebas informáticas a los centros de datos el 5 y 6 de agosto de 2019. Al

respecto se determinó lo siguiente:

252 VOLUMEN 1/8

1. Mediante el oficio núm. SEDUVI/DGAF/1820/2019 del 12 de agosto de 2019, la dependencia

remitió las políticas de continuidad del servicio y recuperación de desastres para brindar

un servicio de manera ininterrumpida, de cuyo análisis se identificó que contó con los

documentos Procedimiento para la activación del Plan de Recuperación en Caso de

Desastre, “Diseño Conceptual DRP-SEDUVI”, “Identificación de Aplicaciones y Servicios

Críticos DRP-SEDUVI” y “Aplicaciones Críticas URL”; y el Plan de Recuperación de Desastres

y Contingencia, que tiene como objetivo “asegurar la recuperación de la operación de

los recursos tecnológicos y de los servicios críticos que representan la esencia de la

Secretaría para operar en caso de desastres”, en cumplimiento del artículo 13, norma 11,

apartado 11.1, subapartado 11.1.1, “Planeación de la continuidad de las operaciones”,

segundo párrafo, de las Normas Generales que deberán observarse en materia de


en la Gaceta Oficial del Distrito Federal el 9 de julio de 2007 vigentes en 2018.

2. Con el oficio núm. SEDUVI/DGAF/1820/2019 del 12 de agosto de 2019, la dependencia

proporcionó el procedimiento “Mantenimiento de Sistemas Informáticos”, cuyo objetivo es

“mejorar y corregir el funcionamiento de los sistemas informáticos, a partir del mantenimiento

y actualización de los sistemas y las bases de datos”; y una “Bitácora de monitoreo y

operación”, en la cual se registran las modificaciones a los registros de la base de datos

del SIG-CIUDADMX; sin embargo, el sujeto fiscalizado no acreditó contar con un plan de

mantenimiento preventivo y correctivo o un documento de acciones específicas para

realizar el mantenimiento a la infraestructura tecnológica con el fin de asegurar disponibilidad,

fiabilidad y una larga vida útil a ésta.

En la reunión de confronta, celebrada el 18 de septiembre de 2019, la titular de la SEDUVI no

presentó evidencia de haber contado con un plan de mantenimiento preventivo y correctivo

o un documento de acciones específicas para realizar el mantenimiento a la infraestructura

tecnológica, por tanto, la observación prevalece.

Por no contar con un plan de mantenimiento preventivo y correctivo para la infraestructura

tecnológica, la SEDUVI incumplió el artículo 13, objetivo de la norma 11, “Continuidad

de las operaciones”, de las Normas Generales que deberán observarse en materia de


en la Gaceta Oficial del Distrito Federal el 9 de julio de 2007, vigentes en 2018, que señala:

253 VOLUMEN 1/8

“Artículo 13.- Para los efectos de los presentes acuerdos, las Normas Generales para

la Seguridad de la Información, son las siguientes: […]

”11 Continuidad de las operaciones.

”Objetivo.

”Minimizar los efectos de las posibles interrupciones de las actividades normales de la

Institución (sean éstas resultado de desastres naturales, accidentes, fallas en el equipamiento,

acciones deliberadas u otros hechos) y proteger los procesos críticos mediante una

combinación de controles preventivos y acciones de recuperación.”

3. La dependencia no contó con bitácoras de mantenimiento al SIG-CIUDADMX.


no presentó evidencia de haber contado con bitácoras de mantenimiento al SIG-CIUDADMX;

por tanto, la observación prevalece.

Por no contar con bitácoras de mantenimiento al SIG-CIUDADMX, la SEDUVI incumplió

el artículo 13, norma 7, “Seguridad de las operaciones”; apartado 7.6, “Monitoreo de

sistemas”; subapartado 7.6.1, “Bitácoras de Auditoría”, de las Normas Generales que



9 de julio de 2007, vigentes en 2018, que señala lo siguiente:

“Artículo 13.- Para los efectos de los presentes acuerdos, las Normas Generales para

la Seguridad de la Información, son las siguientes: […]

”7. Seguridad de las operaciones […]

”7.6 Monitoreo de sistemas […]

”7.6.1 Bitácoras de auditoría

”Se deben definir e implementar bitácoras o logs de auditoría para los sistemas y equipos

críticos, para registrar las actividades de usuarios y los eventos…”

254 VOLUMEN 1/8

4. El SIG-CIUDADMX contó con lo siguiente:

a) Un dispositivo de control de acceso electrónico, así como cámaras de seguridad,

en cumplimiento de lo establecido en el artículo 13, norma 6, “Seguridad física y del

entorno”; apartado 6.1, “Áreas seguras”; subapartado 6.1.2, “Perímetro de seguridad

físico”, de las Normas Generales que deberán observarse en materia de Seguridad

de la Información en la Administración Pública del Distrito Federal, publicadas en

la Gaceta Oficial del Distrito Federal el 9 de julio de 2007, vigentes en 2018.

b) Bitácoras de registro de acceso, de conformidad con lo establecido en el artículo 13,

norma 8, “Control de Acceso”; apartado 8.1, “Requerimientos para el Control de Acceso”;

subapartado 8.1.1, “Política de control de acceso”, de las Normas Generales que



9 de julio de 2007, vigentes en 2018.

c) Un sistema de alarmas contra incendios, extintores repartidos en diferentes puntos

y un dispositivo de alerta sísmica, de acuerdo con lo establecido en el artículo 13,

norma 6, “Seguridad física y del entorno”; apartado 6.1, “Seguridad física y del entorno”;

subapartado 6.1.1, “Protección contra amenazas internas y externas”, de las Normas

Generales que deberán observarse en materia de Seguridad de la Información en

la Administración Pública del Distrito Federal, publicadas en la Gaceta Oficial del

Distrito Federal el 9 de julio de 2007, vigentes en 2018.

Se concluye que la SEDUVI acreditó disponer de un documento relativo a la recuperación

de desastres para asegurar la continuidad de la operación de los recursos tecnológicos y

servicios críticos y en los centros de datos con dispositivos de control de acceso electrónico

y cámaras de seguridad, bitácoras de registro de acceso y sistema de alarmas contra

incendios; sin embargo, no contó con un plan de mantenimiento preventivo y correctivo o

un documento de acciones específicas para realizar el mantenimiento a la infraestructura

tecnológica ni con bitácoras de los mantenimientos realizados a la infraestructura del

SIG-CIUDADMX.

255 VOLUMEN 1/8


Es necesario que la Secretaría de Desarrollo Urbano y Vivienda implemente mecanismos de

control y supervisión para asegurarse de que se cuente con un plan de mantenimiento preventivo

y correctivo a la infraestructura tecnológica y con bitácoras del mantenimiento realizado que

garanticen su disponibilidad, fiabilidad y larga vida útil, en cumplimiento de las Normas Generales


Pública del Distrito Federal.

Desarrollo y Adquisición de TIC

6. Resultado

Con objeto de evaluar los controles implementados para el desarrollo y adquisición de TIC

relacionados con el SIG-CIUDADMX, alineados a las mejores prácticas de TIC y con las

solicitudes de los dictámenes técnicos para celebrar contratos y adquisiciones, mediante el

oficio núm. SEDUVI/DGAF/1820/2019 del 12 de agosto de 2019, la dependencia proporcionó

el Plan Estratégico de Tecnologías de la Información y Comunicaciones (PETIC), en cuyo

análisis se determinó lo siguiente:

1. La SEDUVI contó con el procedimiento “Plan Estratégico de Tecnologías de la Información

y Comunicaciones”, cuyo objetivo es “elaborar el Plan Estratégico de Tecnologías de la

Información y Comunicaciones (PETIC), a través del análisis y planeación de los

requerimientos informáticos y evolución de la Secretaría”, y con evidencia de haber

remitido el PETIC a la Dirección General de Gobernabilidad de Tecnologías de la Información

y Comunicaciones (DGGTIC) de la OM, en cumplimiento del apartado 10.3, “De la Estrategia

de Gobierno Electrónico y Tecnologías de Información y Comunicaciones”, numerales 10.3.3

y 10.3.4, de la Normatividad en materia de Administración de Recursos para las Dependencias,

Unidades Administrativas, Unidades Administrativas de Apoyo Técnico Operativo, Órganos

Desconcentrados y Entidades de la Administración Pública del Distrito Federal (Circular Uno),

publicada en la Gaceta Oficial del Distrito Federal núm. 179 tomo I, el 18 de septiembre

de 2015, vigente en 2018.

256 VOLUMEN 1/8

2. En 2018, la dependencia no realizó solicitudes de dictamen técnico para la adquisición

y desarrollo de TIC ante la DGGTIC del SIG-CIUDADMX, debido a que no adquirió software ni

hardware en ese año.

Se concluye que la SEDUVI envió el PETIC a la DGTIC de la OM y no solicitó dictámenes

técnicos respecto al SIG-CIUDADMX, debido a que no adquirió software ni hardware en 2018.

RESUMEN DE OBSERVACIONES Y ACCIONES

Se determinaron seis resultados; de éstos, cuatro resultados generaron 14 observaciones,

las cuales corresponden a ocho recomendaciones.

Del total de observaciones identificadas y mencionadas en el párrafo anterior, a cuatro

observaciones se les dará tratamiento mediante la implementación de mecanismos que eviten su

recurrencia, como parte del seguimiento de las recomendaciones ASCM-3-18-1-SEDUVI,

ASCM-3-18-3-SEDUVI, ASCM-3-18-4-SEDUVI y ASCM-5-18-8-SEDUVI; y a dos observaciones

con la recomendación ASCM-5-18-3-SEDUVI.

La información contenida en el presente apartado refleja las acciones derivadas de la auditoría que

hasta el momento se han detectado por la práctica de pruebas y procedimientos de auditoría; sin

embargo, podrían sumarse observaciones y acciones adicionales a las señaladas, producto

de los procesos institucionales, de la recepción de denuncias y del ejercicio de las funciones de

investigación y sustanciación a cargo de esta entidad de fiscalización superior.

JUSTIFICACIONES Y ACLARACIONES

El sujeto fiscalizado no proporcionó documentación ni información para aclarar o justificar

los resultados y observaciones incorporados por la Auditoría Superior de la Ciudad de México en

el Informe de Resultados de Auditoría para Confronta que se plasman en el presente Informe

Individual, que forma parte del Informe General Ejecutivo del Resultado de la Fiscalización

Superior de la Cuenta Pública de la Ciudad de México, por lo que los resultados núms. 1,

2, 4 y 5 se consideran no desvirtuados.

257 VOLUMEN 1/8

DICTAMEN

La auditoría se realizó con base en las guías de auditoría, manuales, reglas y lineamientos

de la Auditoría Superior de la Ciudad de México; las Normas Profesionales del Sistema de

Fiscalización; las Normas Internacionales de las Entidades Fiscalizadoras Superiores, emitidas por

la Organización Internacional de Entidades Fiscalizadoras Superiores; y demás disposiciones

de orden e interés públicos aplicables a la práctica de la auditoría.

Este dictamen se emite el 14 de octubre de 2019, una vez concluidos los trabajos de la auditoría,

la cual se practicó sobre la información proporcionada por el sujeto fiscalizado, que es

responsable de su veracidad. Con base en los resultados obtenidos en la auditoría, cuyo objetivo

fue verificar que el Sistema de Información Geográfica del Centro de Información Urbana para el

Desarrollo y Administración de la Ciudad de México (SIG-CIUDADMX), así como la infraestructura

tecnológica (hardware, software y redes de datos) y demás sistemas relacionados con la

atención ciudadana en materia de servicios públicos urbanos, operen de manera efectiva,

eficaz y eficiente; y que éstos correspondan con los objetivos para los que fueron adquiridos,

de acuerdo con la normatividad en TIC aplicable, y derivados del ejercicio de las funciones

y atribuciones de la dependencia, y específicamente respecto de la muestra revisada que

se establece en el apartado relativo al alcance y determinación de la muestra, se concluye

que, en términos generales, el sujeto fiscalizado cumplió parcialmente las disposiciones legales

y normativas aplicables en la materia.

PERSONAS SERVIDORAS PÚBLICAS A CARGO DE REALIZAR LA AUDITORÍA

En cumplimiento del artículo 36, párrafo decimotercero, de la Ley de Fiscalización Superior

de la Ciudad de México, se enlistan los nombres y cargos de las personas servidoras públicas de

la Auditoría Superior de la Ciudad de México involucradas en la realización de la auditoría:

Persona servidora pública Cargo

L.C. María Guadalupe Xolalpa García Directora General

Mtra. Gloria Hernández Hernández Directora de Auditoría “B”

Mtro. Jesús López Juárez Subdirector de Auditoría

Mtro. Daniel Jesús Zepeda Madrigal Auditor Fiscalizador TIC “C”

C. Ramsés Durán Benavidez Auditor Fiscalizador “A”

i.3.3. auditorÍa de cumplimiento con enfoque en ... · de registros del padrón fiscal del...

Documents