CLXXXIV. I F A R C P DEL G D F E - Auditoría Superior de ... · Seguridad Informática:...
-
Upload
vuongkhanh -
Category
Documents
-
view
213 -
download
0
Transcript of CLXXXIV. I F A R C P DEL G D F E - Auditoría Superior de ... · Seguridad Informática:...
CLXXXIV. INFORME FINAL DE AUDITORÍA,
DERIVADA DE LA REVISIÓN DE LA CUENTA PÚBLICA
DEL GOBIERNO DEL DISTRITO FEDERAL
CORRESPONDIENTE AL EJERCICIO DE 2014
1
DEPENDENCIA
SECRETARÍA DE FINANZAS
AUDITORÍA DE CUMPLIMIENTO
Sistema Informático del Padrón de Contribuyentes
del Impuesto sobre Nóminas
Auditoría ASCM/8/14
ANTECEDENTES
En el apartado I.2.1.3 “Ingresos del Sector Gobierno” de la Cuenta Pública del Gobierno
del Distrito Federal de 2014, se informó que los ingresos recaudados por Impuestos sobre
Nóminas, fueron de 18,197,164.0 miles de pesos, 22.3% (3,319,373.4 miles de pesos) superiores
a los programados en la Ley de Ingresos del Distrito Federal (14,877,790.6 miles de pesos).
Asimismo, presentó un incremento del 26.3% (3,786,735.8 miles de pesos) comparado con el
año anterior (14,410,428.2 miles de pesos).
Se informó que las variaciones se debieron a que “entre los elementos que explican el
aumento de la recaudación, se encuentran: I) el incremento en la tasa impositiva del impuesto,
al pasar de 2.5% a 3.0%; II) 16.6% más operaciones realizadas en comparación con el año
previo y; III) un mayor número de trabajadores asegurados en el Instituto Mexicano del Seguro
Social (IMSS), esto es 4.2% más que los registrados en 2013 en el Distrito Federal”.
OBJETIVO
El objetivo de la revisión consistió en verificar que la infraestructura tecnológica del Sistema
Informático del Padrón de Contribuyentes del Impuesto sobre Nóminas sea óptima para el
control y una mayor recaudación de ese impuesto, que dicho sistema cuente con controles de
seguridad, respecto a la confidencialidad, integridad, disponibilidad y confiabilidad, y que
la información que se genera sea eficiente y eficaz para la toma de decisiones.
2
CRITERIOS DE SELECCIÓN
Para la selección de esta auditoría se aplicaron los siguientes criterios generales, establecidos
en el Manual de Selección de Auditorías vigente:
“Exposición al Riesgo”. Este rubro se seleccionó por estar expuesto a riesgos de errores,
desperdicio, efectos secundarios no deseados derivados de la actividad principal o irregularidades,
como se ha observado en auditorías de ejercicios anteriores.
“Propuesta e Interés Ciudadano”. Se consideró que este rubro por su naturaleza tuvo un impacto
social y trascendencia para la ciudadanía y fue de interés o repercusión para los habitantes
de la Ciudad de México, en virtud que dicho impuesto posee uno de los mayores índices de
recaudación, así como por las reformas al Código Fiscal del Distrito Federal al incrementarse la
tasa impositiva del impuesto del 2.5% al 3.0%. Además, la recaudación del Impuesto sobre
Nóminas incorporó modelos de Gobierno Digital basados en Tecnologías de la Información
y Comunicaciones, cuya asimilación por parte de la ciudadanía impactó en la mecánica
recaudatoria por dicho impuesto.
“Presencia y Cobertura”. Se consideró este rubro para garantizar que, eventualmente, se revisen
todos los sujetos de fiscalización y todos los conceptos susceptibles de ser auditados (por
estas incluidos en la Cuenta Pública del Gobierno del Distrito Federal), en virtud de que el
Sistema Informático del Padrón de Contribuyentes del Impuesto sobre Nóminas con base
en las Normas Internacionales de Auditoría (NIAS) nunca había sido auditado.
El presente informe de auditoría se realizó con fundamento en los artículos 16, primer párrafo
y 122, apartado A, fracción II, párrafos sexto, séptimo, octavo y noveno, en relación con el
74, fracción VI de la Constitución Política de los Estados Unidos Mexicanos; 42, fracción XIX;
y 43 del Estatuto de Gobierno del Distrito Federal; 10, fracción VI, de la Ley Orgánica de
la Asamblea Legislativa del Distrito Federal; 1, 2, fracciones XIII, XVI, y XXI, inciso a); 3; 8.,
fracciones I, II, V, VI, VII, VIII, IX, XIII y XIX; 9; 10, incisos a) y b); 14, fracciones I, VIII, XVII, XX
y XXIV; 22; 24; 27; 28; 30; 32; 33; 34; 35; 36; y 37, fracción II, de la Ley de Fiscalización
Superior de la Ciudad de México; y 1; 6, fracciones V, VII, IX y XXI; 16; 17; y 19 del Reglamento
Interior de la Auditoría Superior de la Ciudad de México.
3
ALCANCE Y DETERMINACIÓN DE LA MUESTRA
La auditoría se llevó a cabo en la Subtesorería de Administración Tributaria de la Tesorería
del Distrito Federal (SAT) y en la Dirección General de Informática (DGI), ambas de la Secretaría de
Finanzas. Asimismo, para la obtención de evidencia suficiente, competente y relevante se
aplicaron pruebas y procedimientos de auditoría en dichas unidades administrativas por
ser éstas las encargadas de las operaciones del rubro sujeto a revisión.
En la Subtesorería de Administración Tributaria de la Tesorería del Distrito Federal y en la
Dirección General de Informática, se revisó el Sistema del Impuesto sobre Nóminas (SIMPSON),
el Centro de Datos donde se encuentra el servidor que aloja a dicho sistema, la base de
datos del Padrón de Contribuyentes del Impuesto sobre Nóminas, los inmuebles que resguardan
los dispositivos con los que opera el SIMPSON y sus controles de acceso, la red de datos
y los equipos de cómputo con los que se ejecuta el sistema.
También se revisaron los procedimientos relacionados con el rubro auditado, así como el
“Manual Sistema del Impuesto sobre Nóminas (SIMPSON)” y los “Lineamientos para el Control
de Claves y Contraseñas de Acceso a los Sistemas que tenga injerencia directa la Subtesorería de
Administración Tributaria”.
Adicionalmente, se aplicaron entrevistas, inspecciones físicas, pruebas sustantivas informáticas
y cuestionarios de control interno respecto al funcionamiento, seguridad, información
e infraestructura del sistema.
Asimismo, el total de los movimientos al Padrón de Contribuyentes del Impuesto sobre Nóminas
en 2014 fue de 10,325, los cuales se integran por 6,177 altas, 2,897 modificaciones
y 1,251 bajas y/o suspensiones, información que se tomó en cuenta para una muestra aleatoria
de 36 movimientos que incluyen 12 altas, 12 modificaciones y 12 bajas y/o suspensiones,
distribuidos entre las AT que los realizaron con mayor, menor e intermedio número de movimientos,
por ser estos representativos, correspondientes a micro y pequeñas empresas.
4
ESTUDIO Y EVALUACIÓN DEL CONTROL INTERNO
Para el estudio y evaluación del control interno relacionado con el manejo y administración
del Sistema Informático del Padrón de Contribuyentes del Impuesto sobre Nóminas, se consideró
lo siguiente:
En el artículo 15, fracción VIII, de la Ley Orgánica de la Administración Pública del Distrito
Federal, vigente en 2014, se establece que el Jefe de Gobierno se auxiliará de la Secretaría
de Finanzas (SEFIN) para el desempeño de sus atribuciones en materia administrativa, y
en el artículo 30, fracciones IV, XII y XIX de ese mismo ordenamiento, se establecen las
atribuciones de la SEFIN inherentes a recaudar, cobrar y administrar los impuestos, derechos,
contribuciones de mejoras, productos, aprovechamientos y demás ingresos a favor del Distrito
Federal en los términos de las leyes aplicables; además de dictar las normas y lineamientos de
carácter técnico presupuestal a que deberán sujetarse las dependencias, órganos desconcentrados
y entidades, para la formulación de los programas que servirán de base para la elaboración
de sus respectivos anteproyectos de presupuesto; así como llevar y mantener actualizados los
padrones fiscales.
En los artículos 73 fracciones IV y X; y 87 del Reglamento Interior de la Administración
Pública del Distrito Federal, vigente en 2014, señala que la DGI y la SAT son las unidades
administrativas adscritas a la SEFIN vinculadas con el manejo del Sistema Informático del
Padrón de Contribuyentes del Impuesto sobre Nóminas.
Para determinar la naturaleza, extensión y oportunidad de las pruebas de auditoría relacionadas
con el Sistema Informático del Padrón de Contribuyentes del Impuesto sobre Nóminas, se
analizaron los siguientes aspectos:
Dictamen de la estructura orgánica de la SEFIN autorizado por la autoridad competente, vigente
en 2014, donde se identificaron las unidades administrativas relacionadas con el manejo y
control del Sistema Informático del Padrón de Contribuyentes del Impuesto sobre Nóminas
(los datos específicos se detallan en el resultado relativo al control interno).
5
En el apartado de organización de los manuales administrativos de la SEFIN, vigentes en 2014,
se identificaron los objetivos y funciones de la SAT de la Tesorería del Distrito Federal y
de la DGI, los cuales fueron actualizados, registrados en la Coordinación General de Modernización
Administrativa (CGMA), difundidos entre los servidores públicos responsables de su aplicación
y publicados en la Gaceta Oficial del Distrito Federal (los datos específicos se detallan en
el resultado relativo al control interno).
Mediante pruebas de cumplimiento, se constató que las actividades realizadas por la SAT
y la DGI se hayan realizado conforme los procedimientos administrativos vigentes en 2014.
Además, se aplicaron ocho cuestionarios de control interno, relacionados con los Movimientos
al Padrón de Contribuyentes de Impuesto sobre Nóminas: dos a la SAT y a las Administraciones
Tributarias Anáhuac, Mina y Perisur (por ser las unidades administrativas con mayor, mediana
y menor afluencia, respectivamente) “Usuarios Finales” y “Sistema de Empadronamiento
de Impuestos sobre Nóminas”; uno a la DGI: “Gobernabilidad de TIC”; uno a la Dirección de
Desarrollo e Innovación Tecnológica: “Diseño y Desarrollo de Sistemas”; tres a la Dirección
de Operaciones: “Respaldo y Servidores”; “Seguridad Física”; y “Redes”; y uno a la Subdirección de
Seguridad Informática: “Seguridad de TIC”.
Como resultado de la revisión a la información consignada en los cuestionarios de control
interno y de las pruebas de cumplimiento que se aplicaron, se detectaron las siguientes
debilidades en el control interno establecido en el SAT y la DGI.
Seguridad
El control de seguridad del Sistema Informático del Padrón de Contribuyentes del Impuesto
sobre Nóminas contó con un mínimo suficiente de seguridad en redes y de seguridad lógica,
asimismo, respecto a la seguridad física, existen deficiencias que podrían representar un
riesgo en la continuidad de los procesos y la operación del sistema.
Los procedimientos de seguridad no se sujetaron a la norma ISO/IEC 27002 en las funciones
relativas a los movimientos de bajas o suspensiones, altas y modificaciones en el Sistema
Informático del Padrón de Contribuyentes del Impuesto sobre Nóminas.
6
El proceso de creación y actualización de claves de acceso para los usuarios del Sistema
Informático del Padrón de Contribuyentes del Impuesto sobre Nóminas no cumplió con ninguna
norma, estándar o mejor práctica, lo cual repercutió en la seguridad, integridad, confidencialidad
y confiabilidad de la información contenida en el padrón de contribuyentes del Impuesto sobre
Nóminas.
Información
Los procesos relacionados con la gestión de la información en el Sistema Informático del Padrón
de Contribuyentes del Impuesto sobre Nóminas se encontraron estructurados de acuerdo
con el procedimiento de Movimientos al Padrón de Impuesto sobre Nóminas, sin embargo, la
información no es íntegra, ni confiable, debido a que el procedimiento de pre-registro en el
padrón del Sistema de Pago del Impuesto sobre Espectáculos Públicos (SICIEP) de manera
automática sin previo aviso genera un pre-registro dentro del Padrón de Contribuyentes
del Impuesto sobre Nóminas.
El Sistema de Impuesto sobre Nóminas no ha sido actualizado desde su versión inicial (2004)
y las versiones con que opera se consideran obsoletas y representan un riesgo de seguridad
informática, lo cual denota un problema de inconsistencia, falta de confiabilidad y de integridad
en la información generada por éste.
Infraestructura Tecnológica
La infraestructura de red no contó con un plan de riesgos o de alguna otra índole documentada
para la recuperación de los servicios.
La interfaz entre el usuario y el Sistema de Impuesto sobre Nóminas permitió el acceso
y la navegación de los usuarios a la información de los movimientos de bajas o suspensiones,
altas y modificaciones de los contribuyentes, con base en el catálogo de privilegios que tiene
cada usuario en el SIMPSON, sin embargo, no es posible acceder a la recaudación del
Impuesto sobre Nóminas, ya que la información del SIMPSON y del padrón de contribuyentes
del Impuesto sobre Nóminas no es compatible, en virtud de que la información es gestionada
por otros sistemas de información de la SEFIN.
7
En conclusión, y como resultado del estudio y evaluación del control interno, se observó
que no obstante que la Subtesorería de Administración Tributaria y la Dirección General
de Informática de la SEFIN contaron con un Manual Administrativo publicado Gaceta Oficial del
Distrito Federal, esto no asegura una adecuada operación del sistema que permita un control
eficiente de los procesos de delimitación de funciones de los usuarios del sistema, asimismo la
falta de documentación complementaria vigente e inherente a las políticas de gobernanza de las
Tecnologías de la Información y Comunicaciones, no abona a mejorar el proceso recaudatorio.
RESULTADOS
Control Interno
1. Resultado
Para conocer la estructura del sistema de control interno de la SEFIN, las áreas administrativas
involucradas así como los procedimientos inherentes a la seguridad, información e infraestructura
tecnológica para lograr los objetivos del Sistema Informático del Padrón de Contribuyentes del
Impuesto sobre Nóminas, esta Auditoría Superior de la Ciudad de México (ASCM), solicitó
a dicho sujeto de fiscalización diversa documentación e información.
Estructura Orgánica
Con la finalidad de verificar que la estructura orgánica de la SEFIN relacionada con la
administración del Sistema Informático del Padrón de Contribuyentes del Impuesto sobre
Nóminas, así como su manual administrativo (apartados de organización y de procedimientos)
se encontraran autorizados, registrados y difundidos en términos de la Circular Contraloría
General para el Control y Evaluación de la Gestión Pública; el Desarrollo, Modernización,
Innovación y Simplificación Administrativa, y la Atención Ciudadana en la Administración
Pública del Distrito Federal, vigente en 2014, en sus numerales 2.3.5.1, 2.4.1, 2.4.2, 2.4.6.2,
2.4.6.7 y 2.4.7.2 , se conoció lo siguiente:
Mediante los oficios núms. ACF-A/16/0185, DGACFA-DBA/16/0028 y DGACFA-DBA/16/0040
del 15 de enero, 23 y 29 de febrero de 2016, respectivamente, la ASCM solicitó a la SAT
y a la DGI de la SEFIN encargada del manejo y control administrativo del Sistema Informático
8
del Padrón de Contribuyentes del Impuesto sobre Nóminas, la estructura orgánica y el manual
administrativo en su parte de organización y procedimientos.
En respuesta, la SEFIN proporcionó el dictamen de la estructura orgánica y los manuales
administrativos en su apartado de organización y de procedimientos, con los oficios
núms. SFCDMX/TCDMX/SAT/0135/2016, SFCDMX/TCDMX/SAT/0144/2016,
SFCDMX/TCDMX/SAT/0162/2016 y SFCDMX/TCDMX/SAT/0164/2016 del 25 y 26 de febrero,
2 y 3 de marzo todos del 2016, respectivamente.
Del análisis a la información proporcionada, se identificó lo siguiente:
1. Mediante el oficio núm. CGMA/DDO/0588/08 del 28 de abril de 2008, la CGMA informó
al titular de la SEFIN el registro del dictamen núm. 3/2008 de estructura orgánica, emitido
por la Contraloría General del Distrito Federal, mediante el oficio núm. OM/685/2008
del 16 de abril de 2008, vigente a partir del 1o. de marzo de 2008, y continuó así durante
2014 únicamente en lo que concierne al número de registro otorgado por la CGMA.
Con el oficio núm. CGDF/1772/2013 del 20 de diciembre de 2013, la Contraloría General
del Distrito Federal comunicó a la SEFIN la estructura orgánica con dictamen núm. 17/2013,
vigente a partir del 1o. de diciembre de 2013, misma que fue enviada para su registro
a la CGMA con el oficio núm. SFDF/0228/2015 del 28 de mayo de 2015 y registrada
por dicho ente con el oficio núm. OM/CGMA/1222/2015 del 6 de julio de 2015, otorgado por
la CGMA.
Por medio del oficio núm. CG/CGMA/DEDDEO/4680/2011 del 22 de noviembre de 2011,
la CGMA comunicó al titular de la Secretaría de Finanzas la autorización del manual
administrativo en su apartado de organización y procedimientos de la SAT, elaborado
conforme al dictamen núm. 3/2008 con registro MA-09102-3/08.
Asimismo, con el oficio núm. CG/CGMA/DDO/0315/2011 del 24 de enero de 2011, la CGMA
informó a la SEFIN el registro del manual administrativo en sus apartados de organización
y procedimientos de la DGI conforme al dictamen núm. 3/2008, con número de registro
MA-09500-3/08.
9
Finalmente, con el oficio núm. OM/CGMA/1393/2015 del 24 de julio de 2015, la CGMA
informó a la SEFIN que el manual administrativo en sus apartados de organización
y procedimientos conforme al dictamen núm. 17/2013 fue registrado con el núm.
MA-25/240715-D-SF-17/2013 y publicado en la Gaceta Oficial del Distrito Federal
el 31 de agosto de 2015.
Derivado de la revisión y análisis de la estructura orgánica, y del manual administrativo en
sus apartados de organización y procedimientos, se constató que la dependencia no remitió
el dictamen de estructura para el registro durante los 60 días hábiles posteriores a la
entrada en vigor de su modificación, incumpliendo el numeral 2.4.2 “Revisión, Dictamen
y Registro de Manuales Administrativos”, de la Circular Contraloría General para el
Control y Evaluación de la Gestión Pública; el Desarrollo, Modernización, Innovación y
Simplificación Administrativa, y la Atención Ciudadana en la Administración Pública
del Distrito Federal, vigente en 2014, que señala:
“2.4.2. Los titulares de las dependencias […] son los responsables de la actualización
de los Manuales Administrativos, que se deriven de la aplicación de un proceso rediseñado, de
un procedimiento simplificado, de la modificación de la estructura orgánica, […]
La actualización del Manual de Procedimientos deberá remitirse a la CGMA por medio
de oficio firmado con firma autógrafa o firma electrónica avanzada, a más tardar en
60 días hábiles posteriores a la entrada en vigor de la modificación efectuada, para
que ésta proceda a su análisis y, en su caso, al registro…”
En la reunión de confronta, celebrada el 8 de junio de 2016, mediante el oficio
núm. SFCDMX/TCDMX/SAT/0397/2016 del 7 de junio de 2016, la SAT presentó los
Lineamientos Generales para el Registro de Manuales Administrativos y Específicos
de Operación de la Administración Pública del Distrito Federal, vigentes a partir de
enero de 2015, documento en el cual ya no prevé el plazo de 60 días hábiles para
el envío de manuales a la CGMA para su análisis y registro.
En virtud de que el manual administrativo de la SEFIN ya se encuentra registrado ante
la CGMA y publicado en la Gaceta Oficial del Distrito Federal, dicha situación fue superada.
Asimismo, la normatividad incumplida se encuentra abrogada, por lo que la presente
10
observación se solventa, en virtud que a consideración del equipo auditor sería innecesaria
la emisión de una recomendación por estar obviados los mecanismos tendientes a
que no se repita la misma.
2. Se analizaron 24 procedimientos relacionados con el manejo del sistema, difundidos
entre el personal responsable de su aplicación mediante un correo electrónico institucional
de fecha 5 de septiembre de 2013. En la SAT se identificaron 2 procedimientos relacionados
con la operación del Sistema Informático del Padrón de Contribuyentes del Impuesto
sobre Nóminas, los cuales fueron los siguientes: “Supervisión y Control del Responsable
de Informática” y “Movimientos al Padrón de Contribuyentes del Impuesto sobre Nóminas”.
En la DGI, se identificaron 22 procedimientos relacionados con la operación del Sistema
de Impuesto sobre Nóminas, los cuales fueron los siguientes: “Análisis y Notificación de
Riesgos Informáticos en los Equipos de Cómputo de Emisión Crítica”, “Análisis y Diseño
de Sistemas Informáticos”, “Análisis y Evaluación de Tecnologías de Información”, “Desarrollo de
Sistemas de Recaudación”, “Elaboración del Plan de Trabajo de Proyectos Informáticos”,
“Implementación de Sistemas Informáticos”, “Integración y/o Modificación de Información en
el Sitio Web de la Secretaría de Finanzas”, “Seguimiento y Evaluación de Proyectos
Informáticos”, “Atención de Solicitudes de Búsqueda de Datos”, “Gestión de Alta, Baja y/o
Modificación de Claves de Usuarios”, “Administración de Usuarios de Base de Datos”,
“Altas, Bajas y/o Modificaciones de Conceptos en el Sistema de Asistencia (Módulo Múltiple)”,
“Aplicación de Cambios a Modelos de Bases de Datos”, “Atención de Requerimientos
de Creación de Reportes y Consultas de la Base de Datos”, “Mantenimiento de Bases de
Datos”, “Administración de Cuentas de Usuario en los Sistemas Localizados en los Equipos
de Cómputo Mayor”, “Administración de la Infraestructura de Red”, “Atención a las Solicitudes
Servicios de Red WAN”, “Atención de Incidentes de Cómputo Mayor”, “Atención de Incidentes
de Infraestructura”, “Instalación y Configuración de Servidores” y “Monitoreo y Notificación de
Incidentes en los Equipos de Cómputo y Comunicaciones de Emisión Crítica”.
Asimismo, se identificaron el marco legal y las buenas práctica sobre Tecnologías de
la Información y Comunicaciones (TIC) aplicables al Sistema de Impuesto sobre Nóminas,
como fueron: Ley de Ingresos del Distrito Federal para el Ejercicio 2014; Código Fiscal del
Distrito Federal; Ley Orgánica de la Administración Pública del Distrito Federal; Reglamento
11
Interior de la Administración Pública del Distrito Federal; Manual Administrativo en sus
apartado de organización y procedimientos de la SEFIN; así como las Normas “International
Standard Organization/International Electrotechnical Commission” (Organización de Estándares
Internacionales/Comisión Internacional sobre Tecnologías Electrónicas) ISO/IEC 27002
y ISO/IEC 15504, “Control Objetives for Information and Related Technology” (Objetivos
de Control para la Información y Tecnologías Relacionadas) (COBIT 4.1) y la “Information
Technology Infrastructure Library” (Librería sobre Infraestructura de Tecnologías de la
Información) (ITIL V3).
Para verificar si el personal responsable del manejo y control del Sistema Informático
del Padrón de Contribuyentes del Impuesto sobre Nóminas se ajustó al estándar COBIT 4.1
en su proceso PO4 y a los procedimientos establecidos en los manuales administrativos
vigentes en 2014, con el oficio núm. DGACFA-DBA/16/0080 del 11 de abril de 2016,
se aplicaron ocho cuestionarios de control interno, dos a la SAT y a las AT Anáhuac,
Mina y Perisur (por ser las unidades administrativas con mayor, mediana y menor afluencia
de movimientos al Padrón de Contribuyentes de Impuesto sobre Nóminas, respectivamente):
“Usuarios Finales” y “Sistema de Empadronamiento de Impuestos Sobre Nóminas”; uno a la
Dirección General de Informática: “Gobernabilidad de TIC”; uno a la Dirección de Desarrollo
e Innovación Tecnológica: “Diseño y Desarrollo de Sistemas”; tres a la Dirección de Operaciones:
“Respaldo y Servidores”; “Seguridad Física”; y “Redes”; y uno a la Subdirección de Seguridad
Informática: “Seguridad de TIC”. Aunado a lo anterior, se llevó a cabo una entrevista
con personal de la SEFIN el día 11 de abril de 2016.
De dichas actividades, se conoció que respecto a si existió alguna política de gobernabilidad
de TIC en la cual se respaldará la DGI de la SEFIN y si la DGI de la SEFIN contó con
su propia política de gobernabilidad de TIC, la DGI no contó con un documento oficial
de planeación y control de TIC, incumpliendo el estándar COBIT 4.1 en su proceso PO4,
que señala:
“Una organización de TI se debe definir tomando en cuenta los requerimientos de personal,
funciones, rendición de cuentas, autoridad, roles, responsabilidades y supervisión.
La organización está embebida en un marco de trabajo de procesos de TI que asegure la
transparencia y el control, así como el involucramiento de los altos ejecutivos y de la gerencia
12
del negocio. Un comité estratégico debe garantizar la vigilancia del consejo directivo sobre TI,
y uno o más comités de dirección, en los cuales participen tanto el negocio como TI, deben
determinar las prioridades de los recursos de TI alineados con las necesidades del
negocio. Deben existir procesos, políticas de administración y procedimientos para todas
las funciones, con atención específica en el control, el aseguramiento de la calidad, la
administración de riesgos, la seguridad de la información, la propiedad de datos y de sistemas
y la segregación de funciones. Para garantizar el soporte oportuno de los requerimientos
del negocio, TI se debe involucrar en los procesos importantes de decisión.”
En la reunión de confronta, celebrada el 8 de junio de 2016, mediante el oficio
núm. SFCDMX/TCDMX/SAT/0397/2016 del 7 de junio de 2016, la SEFIN proporcionó
un documento denominado “Políticas de Gobernanza de las Tecnologías de Información
y Comunicaciones para la Secretaría de Finanzas del Gobierno del Distrito Federal”,
el cual fue enviado a la CGMA con el oficio SFCDMX/DGI/215/2016 del 3 de junio
de 2016 para su revisión, y en su caso registro.
Del análisis al documento denominado “Políticas de Gobernanza de las Tecnologías de
Información y Comunicaciones para la Secretaría de Finanzas del Gobierno del Distrito
Federal”, se constató que la SEFIN generó políticas de administración y procesos
para todas las funciones, con atención específica en el control, el aseguramiento de la
calidad, la administración de riesgos, la seguridad de la información, la propiedad de datos
y de sistemas, y la segregación de funciones, por lo cual se solventa la observación.
Asimismo, se efectuó una entrevista el día 5 de abril de 2016 al titular de la Dirección
de Desarrollo e Innovación Tecnológica en donde se conoció que existió un documento
denominado “Manual del Sistema de Impuesto sobre Nóminas (SIMPSON)” elaborado
por la DGI en 2004, en el que se describieron las actividades relacionadas con la operación
del sistema. Sin embargo, dicho manual no se encontró actualizado, publicado ni difundido
entre el personal responsable.
Derivado de lo anterior, la DGI no observó lo establecido en el numeral 2.4.2 de la Circular
Contraloría General para el Control y Evaluación de la Gestión Pública; el Desarrollo,
Modernización, Innovación y Simplificación Administrativa, y la Atención Ciudadana en
13
la Administración Pública del Distrito Federal, publicada en la Gaceta Oficial del Distrito
Federal el 25 de enero de 2011, vigente en 2014.
Asimismo, incumplió las funciones descritas en el artículo 87 fracciones II, V y XV (sic)
del Reglamento Interior de la Administración Pública del Distrito Federal, que establecen:
“II. Establecer la normatividad que regule la función informática en la Secretaría de
Finanzas, así como la referente al acceso a los servicios informáticos, a las políticas
de respaldo y recuperación de la información, a la protección de los equipos de cómputo
centrales, locales y a los sistemas de información e infraestructura informática. […]
”V. Establecer las metodologías para el control de proyectos, la supervisión del avance
de los mismos, así como la normatividad que regule el desarrollo e implantación de sistemas
y tecnologías de información en la Secretaría de Finanzas. […]
”XV (sic). Definir y establecer los criterios de operación informática que garanticen la integridad,
seguridad y uniformidad en los sistemas de información involucrados en los procesos
de recaudación del Gobierno del Distrito Federal.”
En la reunión de confronta, celebrada el 8 de junio de 2016, mediante el oficio
núm. SFCDMX/TCDMX/SAT/0397/2016 del 7 de junio de 2016, la SEFIN proporcionó
copia del oficio núm. SFCDMX/DGI/215/2016 del 3 de junio de 2016, mediante el cual
la DGI envió a la CGMA el “Manual del Sistema del Impuesto sobre Nóminas (SIMPSON)” en
el que se incluyeron las actividades que deberían realizar los usuarios del sistema para su
operación.
Conforme a lo antes expuesto, la SEFIN acreditó haber realizado las actividades
correspondientes ante la CGMA para la autorización y registro del “Manual del Sistema del
Impuesto sobre Nóminas (SIMPSON)”, con ello se concluyó el trámite a cargo de dicha
coordinación, por lo que la presente observación se subsana parcialmente, esto en virtud
de que la SEFIN no cuenta con un mecanismo de control para que sus manuales, protocolos,
políticas y lineamientos relacionados con todo lo referido a las TIC sean publicados en
la Gaceta Oficial del Distrito Federal.
14
Recomendación ASCM-8-14-1-SEFIN
Es necesario que la Secretaría de Finanzas implemente un mecanismo de control para garantizar
que los manuales, protocolos, políticas y lineamientos relacionados con el SIMPSON y todo lo
referente a TIC sean publicados en la Gaceta Oficial del Distrito Federal para sus efectos
vinculantes, en cumplimiento de la Ley de Procedimiento Administrativo del Distrito Federal.
2. Resultado
De acuerdo con la Asociación para el Control y Auditoría de Sistemas de Información (Information
Systems Audit and Control Association (ISACA)) la seguridad de la información es “la protección
de activos de información, a través del tratamiento de amenazas que ponen en riesgo la
información que es procesada, almacenada y transportada por los sistemas de información que
se encuentran interconectados”.
La seguridad informática se divide en:
1. Seguridad de redes. Ésta consiste en las políticas adoptadas para prevenir y monitorear el
acceso no autorizado, el mal uso, la modificación o la denegación de una red de computadoras
y recursos de acceso a la red.
2. Seguridad física. Ésta se refiere a todos aquellos mecanismos de prevención y detección,
destinados a proteger físicamente cualquier recurso de la infraestructura tecnológica,
los cuales pueden ser unidades de respaldo de energía, plantas de luz, equipos de protección
contra incendios, sistemas de enfriamiento y de ventilación, etc. En este rubro se debe
incluir la seguridad y vigilancia del inmueble.
3. Seguridad lógica. Ésta se refiere a la seguridad en el uso de software y los sistemas,
la protección de los datos, procesos y programas, así como la del acceso ordenado
y autorizado de los usuarios a la información. La “Seguridad Lógica” involucra todas
aquellas medidas establecidas por la administración, usuarios y administradores de recursos
de tecnología de información para minimizar los riesgos de seguridad asociados con
sus operaciones cotidianas llevadas a cabo utilizando la tecnología de información.
15
Para verificar que el ente auditado hubiese contado con los controles de seguridad, la ASCM
utilizó los parámetros de la Organización de Estándares Internacionales que desarrolló la norma
internacional ISO/IEC 27002 “International Standard Organization/International Electrotechnical
Commission” (Organización de Estándares Internacionales/Comisión Internacional sobre
Tecnologías Electrónicas).
1. Seguridad de Redes
Con el propósito de verificar que la infraestructura tecnológica del sistema informático
del Padrón de Contribuyentes del Impuesto sobre Nómina hubiese contado con los
controles de seguridad en redes que permitieran mantener la confidencialidad, integridad,
disponibilidad y confiabilidad de la información en el Padrón de Contribuyentes del Impuesto
sobre Nómina, la ASCM realizó entrevistas, inspecciones físicas y aplicó cuestionarios
y pruebas sustantivas informáticas, los días 14 de marzo, 13 y 21 de abril del 2016.
Con ello se comprobó que la SEFIN contó con medidas de seguridad básicas, como
fueron: política de segregación de redes con base en el tipo de clientes, tres proxy, cuatro
servers en operación y dos firewall en operación, considerados como activos de seguridad
de red, por lo que se alineó a la ISO/IEC 27002, en su dominio 13 “Seguridad en las
Telecomunicaciones” en el objetivo de control 13.1 “Gestión de la Seguridad en las Redes”,
y el Control 13.1.2: “Mecanismos de Seguridad Asociados a Servicios en Red” la cual establece:
“Las redes y servicios de red deben ser seguros.”
Adicionalmente, la ASCM realizó una entrevista el día 31 de marzo de 2016 a la Subdirección
de Seguridad Informática, en la cual se conoció lo siguiente:
La Subdirección de Seguridad Informática de la DGI aplicó las políticas de gobernanza, y se
encontró elaborando un paquete de estándares, políticas y procedimientos en materia
de seguridad de la información, que fortalecerán el desarrollo de software y el manejo de
contraseñas, este último considera al Sistema Informático del Padrón de Contribuyentes
del Impuesto sobre Nóminas.
16
Por ello, la DGI no se sujetó a lo establecido en la norma ISO/lEC 27002 en su dominio 5
“Políticas de Seguridad”, objetivo de control 5.1 “Directrices de la Dirección en Seguridad de
la Información”, control 5.1.1 “Conjunto de Políticas para la Seguridad de la Información”, la
cual menciona:
“La administración debe definir un conjunto de políticas para clarificar su dirección
y apoyo en materia de seguridad de la información.”
Derivado de lo observado, se concluyó que la DGI implementó los procesos relativos
a seguridad informática de manera intuitiva y sin sujeción a ningún estándar, norma
o mejor práctica que resultará en la definición de políticas de seguridad informática,
que pudieran reducir, o evitar amenazas o incidentes que pusieran en riesgo la operación del
Sistema Informático del Padrón de Contribuyentes del Impuesto sobre Nóminas y la
integridad, estructura y confiabilidad de la información contenida en el Padrón de
Contribuyentes del Impuesto sobre Nóminas.
Sin embargo, en la reunión de confronta, celebrada el 8 de junio de 2016, mediante el
oficio núm. SFCDMX/TCDMX/SAT/0397/2016 del 7 de junio de 2016, la DGI proporcionó,
el documento denominado: “Políticas de Seguridad de la Información”.
Mediante el oficio núm. SFCDMX/DGI/215/2016 del 3 de junio de 2016, la DGI de la SEFIN
envió a la CGMA el referido documento en el cual se prevén las siguientes políticas,
para su revisión y registro: “Políticas Contraseñas Fuertes”, “Políticas de Control de Acceso”,
“Políticas de Correo Electrónico”, “Políticas Escritorio Limpio y Seguridad del Equipo”, “Políticas
Hardening para Servidores”, “Políticas Intercambio de Información”, “Políticas Manejo
de Internet”, “Políticas Protección de Datos de Pruebas”, “Políticas Selección de Personal”,
“Políticas Uso de Recursos de la Secretaría de Finanzas”, “Políticas de Seguridad de
Internet”, “Políticas Buenas Prácticas para Desarrollos Internos” y “Políticas de Contraseñas
de la Dirección General de Informática”. Éstas políticas contuvieron diversas directrices en
materia de seguridad informática; sin embargo, dichos no fueron publicados en la Gaceta
Oficial del Distrito Federal, por lo anterior la presente observación se atiende parcialmente
por la existencia de las políticas antes señaladas.
17
Por no publicar las políticas en mención en la Gaceta Oficial del Distrito Federal, la SEFIN
incumplió la normatividad vigente.
En el resultado núm. 1, recomendación ASCM-8-14-1-SEFIN, del presente informe se
contempla el mecanismo de control para que la Secretaría de Finanzas garantice la publicación
de sus manuales, protocolos, políticas y lineamientos relacionados con la gestión del
SIMPSON y todo lo referente a TIC, en la Gaceta Oficial del Distrito Federal, en cumplimiento
de la Ley de Procedimiento Administrativo del Distrito Federal, por lo que se dará tratamiento a
dicha circunstancia como parte del seguimiento de la recomendación citada.
2. Seguridad Física
Con el propósito de verificar que en el Centro de Datos y en las oficinas de Administración
Tributaria (AT) la infraestructura tecnológica del Sistema Informático del Padrón de
Contribuyentes del Impuesto Sobre la Nómina hubiese contado con los controles referentes
a seguridad física como son: respaldo de energía eléctrica, aire acondicionado, cableado
estructurado y protección del equipo tanto dentro como fuera del sitio de operación, se
observó lo siguiente:
En relación con el Centro de Datos, la ASCM realizó una inspección física el día 13 de abril
del 2016, confirmando que los mecanismos de los que se disponen se conforman de
dos plantas de emergencia, dos Sistemas de Energía Continúa (UPS), aire acondicionado,
cableado estructurado etiquetado, protección del equipo dentro y fuera del sitio de operación.
Por otro lado, se observó la carencia de un adecuado sistema de circulación de aire
en los servidores que hospedan al Sistema Informático del Padrón de Contribuyentes
del Impuesto sobre Nóminas, determinando que no se cumplió con lo dictado por
el estándar TIA-942-A en el apartado 6.3.2.3 “Estándares de Infraestructura Centros
de Datos en Telecomunicaciones”, que señala:
“Apartado 6.3.2.3, los pasillos de los centros de datos debe estar dispuestos de manera tal
que se minimicen los cambios de ventilación hacia los equipos […] se deberá permitir
18
la libre circulación de aire en el centro de datos proveniente de los extractores de aire
o ventiladores…”
Asimismo, para verificar que las AT Anáhuac, Mina y Perisur hubiesen contado con
infraestructura de TIC sobre seguridad física, la ASCM realizó inspecciones físicas los
días 13, 14 y 15 de abril del 2016 y observó deficiencias en el funcionamiento de las
plantas de energía ubicadas en dichas Administraciones por falta de mantenimiento,
lo que generó que los equipos no estuvieron en condiciones óptimas de operación,
por lo que en caso de presentarse un eventual corte en el suministro eléctrico, las plantas
de emergencia no funcionarían de manera regular; en consecuencia, las AT no podrían
realizar adecuadamente la recaudación correspondiente ni los movimientos al Padrón
de Contribuyentes del Impuesto sobre Nóminas.
En este contexto, se determinó que la SEFIN no contó con controles suficientes de seguridad
física que garanticen la confidencialidad, integridad, disponibilidad y confiabilidad de
la información en el Padrón de Contribuyentes del Impuesto sobre Nóminas, al no sujetarse a la
norma ISO/lEC 27002 en su dominio 5 “Políticas de Seguridad”, en el objetivo de control 5.1
“Directrices de la Dirección en Seguridad de la Información”, control 5.1.2 “Revisión de
las Políticas para la Seguridad de la Información”, la cual establece:
“El equipamiento, principalmente de TIC, además de la energía eléctrica, el aire acondicionado
y cableado, deberán ser seguros y con mantenimiento. El equipo y la información debe
estar adecuadamente protegida tanto dentro como fuera del sitio de operación.”
En la reunión de confronta, celebrada el 8 de junio de 2016, la SEFIN no proporcionó
información ni documentación que modificara la presente observación, por lo que ésta
prevalece.
3. Seguridad Lógica
Con el objetivo de verificar si el sistema SIMPSON cumplió los estándares de seguridad
lógica aplicados para mantener la confidencialidad, integridad, disponibilidad y confiabilidad de
la información en el Padrón de Contribuyentes del Impuesto sobre Nóminas de conformidad
19
con las buenas prácticas en TIC contenidas en la norma ISO/IEC 27002, se llevaron a
cabo inspecciones fiscas, entrevistas, aplicación de cuestionarios y se realizaron pruebas
sustantivas informáticas en la Subdirección de Seguridad Informática, en las AT Anáhuac,
Mina y Perisur, así como en la Subtesorería de Administración Tributaria y el Centro
de Datos de la SEFIN en las fechas señaladas.
Como resultado de dichas inspecciones, se constató que la DGI, en la operación de
seguridad lógica no contó con procedimientos correctivos y preventivos que permitieran
garantizar la confidencialidad, integridad, disponibilidad y confiabilidad de la información en
el Padrón de Contribuyentes del Impuesto sobre Nóminas, por lo que no se sujetó a lo
establecido en la norma ISO/lEC 27002 en su dominio 5 “Políticas de Seguridad”, objetivo de
control 5.1 “Directrices de la Dirección en Seguridad de la Información”, control 5.1.1
“Conjunto de Políticas para la Seguridad de la Información”.
Asimismo, se observó que la SAT de la SEFIN y las AT Anáhuac, Mina y Perisur no contaron
con un documento que estableciera los roles y responsabilidades de seguridad de la
información ni su asignación a los servidores públicos, respecto de los derechos de
segregación de funciones y acceso a la información, por lo que no se cumplió con los
estándares de seguridad informática previstos en la norma ISO/lEC 27002 en el dominio 6
“Aspectos Organizativos de la Seguridad de la Información”, objetivo de control 6.1
“Organización interna”, control 6,1.1 “Asignación de Responsabilidades para la Seguridad
de la Información”, la cual señala:
“La organización debe establecer los roles y responsabilidades de seguridad de la
información, y asignarlos a los individuos. En su caso, los derechos deben ser segregados
a través de las funciones y los individuos, para evitar conflictos de intereses y prevenir
actividades inapropiadas seguridad de la información debe ser una parte integral de la
gestión de todos los tipos de proyectos.”
En la reunión de confronta, celebrada el 8 de junio de 2016, mediante el oficio
núm. SFCDMX/TCDMX/SAT/0397/2016 del 7 de junio de 2016, la DGI proporcionó
a la ASCM, los documentos “Políticas de Contraseñas Fuertes”, “Políticas de Control
de Accesos” y “Políticas de Contraseñas de la Dirección General de Informática”, los cuales
20
cubrieron la norma ISO/IEC 27002 en su dominio 5, “Políticas de Seguridad” pues éstas se
desprenden directrices para la seguridad lógica de la información; asimismo, mediante
el oficio núm. SFCDMX/DGI/215/2016 del 3 de junio de 2016 dichas políticas fueron enviadas
a la CGMA para su registro, por lo anterior las citadas políticas no han sido registradas ante
la CGMA y tampoco han sido publicadas en la Gaceta Oficial del Distrito Federal.
Por no registrar las citadas políticas ante CGMA y no publicarlas en la Gaceta Oficial
del Distrito Federal, la SEFIN incumplió la normatividad aplicable en 2014.
Por otro lado, para atender lo previsto en la norma ISO/lEC 27002 en el dominio 6 “Aspectos
Organizativos de la Seguridad de la Información”, objetivo de control 6.1 “Organización
Interna”, control 6,1.1 “Asignación de Responsabilidades para la Seguridad de la Información”,
la SAT emitió los “Lineamientos para el Control de Claves y Contraseñas de Acceso a
los Sistemas que tenga injerencia directa la Subtesorería de Administración Tributaria”,
emitidos el 8 de febrero de 2016, en los cuales se definen los roles administrativos del
personal que accede a los sistemas.
No obstante lo anterior, aunque los lineamientos antes citados establecen los roles
y responsabilidades de acceso a la información, éstos no se publicaron en la Gaceta
Oficial del Distrito Federal, por lo que la presente observación se modifica parcialmente,
pues tales lineamientos carecen de efectos jurídicos vinculatorios, de conformidad con
el artículo 11 de la Ley de Procedimiento Administrativo del Distrito Federal, que señala:
“Los actos administrativos de carácter general, tales como decretos, acuerdos, circulares
y otros de la misma naturaleza, deberán publicarse en la Gaceta Oficial del Distrito Federal
para que produzcan efectos jurídicos y, en su caso, en el Diario Oficial de la Federación para
su mayor difusión. […]
”Los acuerdos delegatorios de facultades, instructivos, manuales y formatos que expidan
las dependencias y entidades de la Administración Pública.”
La ASCM conoció mediante la realización de entrevistas al personal e inspección física
al Centro de Datos el día 21 de abril de 2016, que la SEFIN almacenó y resguardó
21
la información de conformidad con la norma ISO/lEC 27002 en su dominio 12, empleando
un equipo IBM 3584 para almacenar y resguardar información del Padrón de Contribuyentes
del Impuesto sobre Nóminas.
Sin embargo, durante la referida inspección física, se observó que la DGI no contó
con la documentación suficiente que describiera los procedimientos sobre políticas de
respaldo de información, donde se identificara ciertas características como son: tipo
de respaldo (completo, parcial), periodicidad (diario, semanal, mensual, anual), etc.
Por ello, no se alinea a lo dictado en la norma ISO/IEC 27002 en su dominio 12 “Seguridad
en la Operación”, en el objetivo de control 12.3 “Copias de Seguridad”, que establece:
“El procedimiento de copias de seguridad debe realizarse de acuerdo con una política
de copias de seguridad.”
En la reunión de confronta, celebrada el 8 de junio de 2016, mediante el oficio
núm. SFCDMX/TCDMX/SAT/0397/2016 del 7 de junio de 2016, la DGI proporcionó a
la ASCM, el documento denominado “Políticas de Seguridad de la Información” que prevé en
su apartado 5.4 las “Políticas de Respaldos y Recuperación de la Información”.
No obstante a lo anterior, aunque el documento antes citado establece las políticas
de respaldos y recuperación de la información, éste no se publicó en la Gaceta Oficial del
Distrito Federal, por lo que la presente observación se modifica parcialmente, pues
tales políticas carecen de efectos jurídicos vinculatorios, de conformidad con el artículo 11
de la Ley de Procedimiento Administrativo del Distrito Federal, además de que se contempla
la necesidad de emitir un mecanismos de control para que la SEFIN garantice la publicación
de sus manuales, protocolos, políticas y lineamientos relacionados con la gestión del
SIMPSON y todo lo referente a las TIC, en la Gaceta Oficial del Distrito Federal.
Con objeto de verificar que la información del Sistema Informático del Padrón de Contribuyentes
del Impuesto sobre Nóminas contara con los controles de seguridad respecto a la
confidencialidad, integridad, disponibilidad y confiabilidad de la información del padrón, la ASCM
realizó una inspección física y una entrevista el 6 de abril de 2016 en la SAT, con las
22
cuales se conoció que la Dirección de Registro tuvo bajo su resguardo un equipo de cómputo
utilizado como servidor de archivos del Padrón de Contribuyentes al Impuesto sobre Nóminas.
Dicho equipo tuvo las siguientes características: Procesador Intel Pentium III, memoria
RAM de 384 MB, disco duro de 65GB. Este equipo, de acuerdo con los estándares
informáticos de 2014, presentó un grado de obsolescencia, dado que el soporte técnico
disponible para equipos con dichas características es inexistente en la actualidad, además
de que no permitió el establecimiento de medidas de seguridad lógica acordes con los
estándares actuales.
En consecuencia, la DGI de la SEFIN no observó lo establecido en la norma ISO/lEC 27002
en su dominio 10. “Gestión de las Operaciones y las Comunicaciones”, control 10.8.3
“Soportes Físicos en Tránsito”, la cual establece:
“La información debe estar contenida en dispositivos de almacenamiento, los cuales
deberán estar protegidos contra accesos no autorizados, mal uso o alteración durante
su transportación más allá de los límites de las fronteras físicas de la organización.”
Con base en lo anterior, se observó un posible riesgo de seguridad de transferencia
de datos del Padrón de Contribuyentes del Impuesto sobre Nóminas desde el sistema
en el Centro de Datos hasta el equipo antes referido. Sin embargo, dichas deficiencias
no afectan la recaudación.
En la reunión de confronta, celebrada el 8 de junio de 2016, mediante el oficio
núm. SFCDMX/TCDMX/SAT/0397/2016 del 7 de junio de 2016, la DGI proporcionó
a está ASCM, copia del oficio SFCDMX/TCDMX/DGI/DS/0537/2016 del 3 de junio
del 2016, suscrito por el Director General de Informática de la SEFIN, que describió
el mecanismo de control y supervisión por el cual la Subdirección de Análisis y
Administración de Base de Datos de la DGI depositó de manera mensual la información
del Padrón de Contribuyentes del Impuesto sobre Nóminas, requerida por la Dirección de
Registro de la SAT, y empleó la aplicación informática “Secure Copy”.
23
Asimismo, la SEFIN proporcionó los documentos denominados “Políticas Contraseñas
Fuertes”, “Políticas de Contraseñas de la Dirección General de Informática” y “Políticas
Intercambio de Información”, en los que se establecen los lineamientos que deben ser
aplicados en los soportes físicos en tránsito. Por ello se determinó que se sujetó la
norma ISO/IEC 27002, dominio 10.
Asimismo, con el oficio núm. SFCDMX/DGI/215/2016 del 3 de junio de 2016, la SEFIN
acreditó haber realizado las actividades correspondientes ante la CGMA para la autorización
y registro de las políticas antes mencionadas o la conclusión del trámite quedó a cargo de
dicha coordinación.
No obstante lo antes señalado, no se hizo referencia a la actualización o remplazo del
equipo de cómputo utilizado como servidor de archivos del Padrón de Contribuyentes
al Impuesto sobre Nóminas en la SAT, por lo que la presente observación se modifica
parcialmente.
Adicionalmente, la ASCM realizó pruebas de fortaleza de las claves de acceso de los
usuarios del sistema, empleando la herramienta “Kaspersky Lab Secure Password Check”,
verificándose que no cumplen ninguna norma, estándar o mejor práctica, ya que la
herramienta arrojó indicadores de fácil “hackeo” de contraseñas en intervalos de 2 segundos
hasta 2 horas, lo que representó posibles deficiencias para la seguridad, integridad,
confidencialidad y confiabilidad de la información contenida en el Padrón de Contribuyentes
del Impuesto sobre Nóminas, debido a que el 90% de las claves evaluadas, presentaron un
grado de seguridad vulnerable (nulamente robustas) por lo que no observó lo establecido
en la norma ISO/lEC 27002 en su dominio 9 “Control de Accesos”, en el objetivo
de control 4 “Control de Acceso a Sistemas y Aplicaciones”, que establece:
“El acceso a la información debe ser restringido de acuerdo con la política de control de
acceso y a través de inicio de sesión seguro, administración de contraseñas, el control
sobre los servicios públicos privilegiados.”
Además, la SEFIN incumplió lo establecido en el artículo 87 fracción II del Reglamento
Interior de la Administración Pública del Distrito Federal.
24
En la reunión de confronta, celebrada el 8 de junio de 2016, mediante el oficio
núm. SFCDMX/TCDMX/SAT/0397/2016 del 7 de junio de 2016, la SEFIN proporcionó
copia del oficio núm. SFCDMX/DGI/215/2016 del 3 de junio de 2016, mediante el cual
la DGI envió a la CGMA para su revisión y en su caso registro, las “Políticas Contraseñas
Fuertes”, “Políticas de Contraseñas de la Dirección General de Informática” y “Políticas
Intercambio de Información”, que definieron los mecanismos de control de acceso, por
medio del inicio de sesión seguro, administración de contraseñas, el control sobre los
servicios públicos privilegiados, alineándose con la norma ISO/lEC 27002 en su
dominio 9, por lo cual se solventa la observación.
En el resultado núm. 1, recomendación ASCM-8-14-1-SEFIN del presente informe se
contemplan los mecanismos de control para que los manuales administrativos, protocolos,
políticas y lineamientos, relacionados con el SIMPSON y todo lo referente a TIC sean
publicados en la Gaceta Oficial del Distrito Federal, por lo que se dará tratamiento
a dichas circunstancias como parte del seguimiento de las recomendaciones citadas.
En el resultado núm. 4, recomendación ASCM-8-14-7-SEFIN del presente informe, se
contempla el mecanismo de control para asegurar un Programa de Modernización
y Actualización Continua de Infraestructura TIC (software, hardware y conectividad) que
garantice una revisión periódica de las necesidades de la dependencia, por lo que se dará
tratamiento a dichas circunstancias como parte del seguimiento de la recomendación citada.
Recomendación ASCM-8-14-2-SEFIN
Es necesario que la Secretaría de Finanzas, por conducto de la Dirección General de Informática,
establezca mecanismos de control para garantizar que se elabore un programa de mantenimiento
continuo a la infraestructura de tecnologías de la información y comunicaciones que involucre
al equipamiento, energía eléctrica, aire acondicionado y cableado de red.
Recomendación ASCM-8-14-3-SEFIN
Es necesario que la Secretaría de Finanzas, por conducto de la Dirección General de Informática,
incluya dentro del documento denominado “Políticas de Seguridad de la Información”,
25
las especificaciones técnicas inherentes a la libre circulación de aire en el centro de datos
descritas en la norma TIA 942-A, en su apartado 6.3.2.3.
Recomendación ASCM-8-14-4-SEFIN
Es necesario que la Secretaria de Finanzas, por conducto de la Dirección General de
Informática y la Subtesorería de Administración Tributaria, realice las gestiones necesarias para
que los documentos denominados “Políticas de Seguridad de la Información”, en particular, su
apartado 5.4 denominado “Políticas de Respaldos y Recuperación de la Información”, así
como los “Lineamientos para el Control de Claves y Contraseñas de Acceso a los Sistemas que
tenga injerencia directa la Subtesorería de Administración Tributaria” sean publicados en
la Gaceta Oficial del Distrito Federal.
3. Resultado
Información
Con el propósito de verificar los atributos de la información (confiabilidad, disponibilidad, integridad,
confidencialidad, estructura, oportunidad, uniformidad, efectividad, eficiencia y accesibilidad) en
el Sistema Informático del Padrón de Contribuyentes del Impuesto sobre Nóminas, la ASCM
realizó una serie de pruebas analíticas sustantivas informáticas, así como entrevistas y
cuestionarios con el personal de las unidades administrativas encargadas de dicha actividad.
En ese tenor y bajo el esquema elaborado por la ISO1, se determinó que la información debió
ser soportada por el conjunto de procesos establecidos para el diseño, desarrollo, implantación,
adquisición y mejora continua de los sistemas informáticos, que al igual que la seguridad
informática, es parte fundamental, de responsabilidad de la denominada Gobernanza de TIC.
La Gobernanza de TIC se entiende como el conjunto de mejores prácticas establecidas a
partir de la creación e implantación de los principios y fundamentos incluidos en la Information
Technology Infraestructure Library (ITIL) y que actualmente se ha estandarizado a nivel global,
1 Estándar para la evaluación de procesos software (procesamiento, almacenamiento y distribución de la información),
incorporando aspectos apropiados de los métodos de evaluación de procesos existentes, dando como resultado la norma ISO/IEC 15504, también conocida como Determinación de la capacidad de mejora del proceso (SPICD), por sus siglas en inglés Software Process Improvement Capability Determination que es un modelo para la mejora y evaluación de los procesos de desarrollo, mantenimiento de sistemas de información y productos de software.
26
con un nuevo enfoque de prácticas a seguir y la base de la certificación en esquemas
de mejoramiento continuo en el uso y aprovechamiento de TIC.
Uno de los objetivos de la Gobernanza de TIC es el manejo efectivo, eficaz y eficiente de
la información, por lo que se hace necesario poseer esquemas que evalúen dicha tarea,
para lo cual la Information Systems Audit and Control Association (ISACA) desarrolló los
Objetivos de Control para Información y Tecnologías Relacionadas (COBIT) que son una
serie de mejores prácticas dirigidas al control y supervisión de TIC en su conjunto, lo que
incluye el manejo de la información.
Para evaluar la integridad, consistencia, confiabilidad, confidencialidad y estructura de la
información generada y almacenada por el Sistema Informático del Padrón de Contribuyentes
del Impuesto sobre Nóminas, se utilizó la norma ISO/IEC 15504 y los estándares ITIL V3
y COBIT 4.1 en conjunto.
La ASCM, los días 13, 14 y 15 de abril de 2016, realizó inspecciones físicas en las AT Anáhuac,
Mina y Perisur, en las que se aplicaron cuestionarios a sus titulares y al personal que
realiza operaciones vinculadas con el Sistema Informático del Padrón de Contribuyentes
del Impuesto sobre Nóminas, con el propósito de verificar que los procesos inherentes a la
gestión de la información de los movimientos en el Padrón de Contribuyentes del Impuesto sobre
Nóminas, se encuentre estructurada, íntegra y confiable.
En la revisión a dichas operaciones, se encontró que estuvieron estructuradas de conformidad
con lo establecido en el procedimiento denominado “Movimientos al Padrón de Impuesto sobre
Nóminas” en el estándar COBIT 4.1, proceso PO8 “Administrar la Calidad”, subproceso PO8.2
“Estándares y Prácticas de Calidad”, el cual menciona:
“Identificar, […] procedimientos […] para los procesos clave de TIC para orientar a la organización
hacia el cumplimiento.”
Asimismo, se alineó con el estándar ISO/IEC 15504, proceso ENG.2 “Análisis de los Requisitos
del Sistema (RQSIS)”, que establece:
27
“El propósito del proceso de análisis de los requisitos del sistema es transformar las necesidades
de los clientes definidos en un conjunto de requisitos técnicos del sistema deseado que guiará
el diseño del sistema.”
De acuerdo con lo anterior, las etapas contenidas en el procedimiento denominado “Movimientos
al Padrón de Impuesto sobre Nóminas” se encuentran estructuradas dentro del sistema, lo
que posibilita la gestión y alimentación de la información en el Padrón de Contribuyentes
del Impuesto sobre Nóminas.
De igual forma la SEFIN, se alinea con ITIL V3 en su libro Estrategia del Servicio (SS) apartado 7.5
“Estrategia y Mejora”, que establece lo siguiente:
“La calidad de los servicios percibidos por los clientes y sus usuarios se basa en la utilidad
y garantía entregada.”
Asimismo, la SEFIN se ajustó con lo establecido en el Libro Transición del Servicio (ST)
en sus apartados 3.2.13 y 4.5, los cuales prevén:
“Verificar y validar que los cambios propuestos a los servicios operativos se encuentran en
las definiciones de los servicios y de liberación […] El diseño del software puede entregar los
requisitos de servicio requeridos y beneficios a la organización.”
“El proceso de diseño y liberación entregará un nuevo servicio modificado o adecuado para el
propósito y apto para su uso.”
Derivado de lo anterior, esta ASCM observó que los procesos aplicados en el sistema por
la SEFIN están diseñados y programados de conformidad con los requisitos del dueño del
proceso (Dirección de Registro de la SAT), como es el caso de la afectación a los registros
de movimientos al Padrón del Contribuyentes del Impuesto sobre Nóminas, lo que denota
un ajuste con las mejores prácticas antes mencionadas.
Por otra parte, con la finalidad de comprobar que los movimientos en el Padrón de Contribuyentes
del Impuesto sobre Nóminas hayan contado con la documentación soporte que acreditará
28
éstos, mediante oficio núm. DGACFA-DBA/16/0062 del 11 de marzo de 2016, la ASCM solicitó
a la SEFIN, la relación de los movimientos al Padrón de Contribuyentes de Impuesto sobre
Nóminas aplicados en 2014 para su verificación.
En respuesta, la SEFIN proporcionó la información que describe dichos movimientos, mediante
el oficio núm. SFCDMX/TCDMX/SAT/0199/2016 del 15 de marzo de 2016, de cuyo análisis se
conoció lo siguiente:
El total de los movimientos al Padrón de Contribuyentes del Impuesto sobre Nóminas en 2014
fue de 10,325, los cuales se integraron por 6,177 altas, 2,897 modificaciones y 1,251 bajas o
suspensiones, de los que se tomó una muestra aleatoria para la revisión de 36 movimientos que
incluyeron 12 altas, 12 modificaciones y 12 bajas o suspensiones, distribuidos entre las AT que los
realizaron con mayor, menor e intermedio número de movimientos, como se muestra en el
siguiente cuadro:
Administración Tributaria Altas Modificaciones Bajas / Suspensiones
Módulo Central 0 1 0
Anáhuac 4 3 4
Mina 4 4 4
Perisur 4 4 4
Total 12 12 12
Asimismo, mediante el oficio núm. DGACFA-DBA/16/0081 del 14 de abril de 2016, la ASCM
solicitó a la SEFIN que proporcionara los expedientes de los contribuyentes que realizaron
los trámites de la muestra seleccionada.
Al respecto, la SEFIN mediante los oficios núms. SFCDMX/TCDMX/SAT/0291/2016
y SFCDMX/TCDMX/SAT/0293/2016 ambos del 20 de abril de 2016, proporcionó dichos
expedientes, los cuales se integraron por el “Formato de Inscripción o Aviso de Modificación
de Datos al Padrón de Contribuyentes del Distrito Federal”, la “Tarjeta de Identificación
Patronal”, identificación oficial, CURP y Cédula de identificación expedida por el Servicio
de Administración Tributaria.
29
Del análisis a los expedientes proporcionados, se identificó que de los 36 movimientos,
35 de ellos contaron con la documentación soporte que acreditó las modificaciones al Padrón
de Contribuyentes de Impuesto sobre Nóminas, y en uno de ellos se observó que el movimiento de
modificación que se realizó en la AT Módulo Central correspondió al Impuesto de Espectáculos
Públicos y no al Impuesto sobre Nóminas, por lo cual se llevó a cabo una prueba adicional, la
cual se detalla más adelante.
De las inspecciones físicas y las pruebas analíticas-sustantivas realizadas los días 13, 14
y 15 de abril de 2016, en el Centro de Datos y las AT Anáhuac, Mina y Perisur, se identificó que
el diseño de la base de datos en donde se almacena el Padrón de Contribuyentes de
Impuesto sobre Nóminas es deficiente, toda vez que el procedimiento de pre-registro en el
Padrón del Sistema de Pago del Impuesto sobre Espectáculos Públicos (SICIEP) se reflejó de
manera automática dentro de la base de datos del Padrón de Contribuyentes del Impuesto
sobre Nóminas, sin que se pueda distinguir el origen de éste ni la adscripción al padrón
que le corresponde.
Dichas deficiencias en su procesamiento generaron que la información fuera imprecisa lo
que representó un problema de inconsistencia, confiabilidad, confidencialidad e integridad
de la información generada por el Sistema Informático del Padrón de Contribuyentes del
Impuesto sobre Nóminas. Por ello, no se sujetó a lo dictado por el estándar COBIT 4.1,
proceso DS11 “Entregar y dar Soporte”, subproceso DS11.1 “Requerimientos de Negocio
para Administración de Datos”, el cual define:
“Verificar que todos los datos se procesan completamente, de forma precisa y a tiempo,
y que todos los resultados se entregan de acuerdo a los requerimientos de negocio.”
A su vez no se alineó con el estándar ISO/IEC 15504, proceso SUP.1 “Aseguramiento de
la Calidad del Software (ACS)”, que señala:
“El propósito del proceso de aseguramiento de la calidad es proporcionarlo de forma independiente,
para que los productos y procesos de trabajo cumplan con las disposiciones y planes predefinidos.”
30
De igual manera la SEFIN no se ajustó a lo establecido por el estándar ITIL V3 en su libro
Diseño de Servicios (SD), apartado 5.2 “Gestión de los Datos y la Información”, que establece:
“Los datos son un activo crítico que debe ser gestionado con el fin de desarrollar, entregar
y apoyar los servicios de TI con eficacia. La información se refiere a la forma en que los
planes de una organización se recopilan, crean, organizan, controlan, difunden y disponen.”
En la reunión de confronta, celebrada el 8 de junio de 2016, la DGI de la SEFIN no proporcionó
información ni documentación que modificara la presente observación.
Por otro lado, la ASCM realizó una serie de entrevistas y pruebas analíticas sustantivas
computacionales en la Dirección de Desarrollo e Innovación Tecnológica, los días 17 de marzo
y 5 de abril de 2016, con las cuales se identificó que el desarrollo de la aplicación en el
código fuente del Sistema Informático del Padrón de Contribuyentes del Impuesto sobre Nóminas
se encontró alineado con los objetivos originales para los cuales fue programado, en relación
con el flujo de movimientos de bajas o suspensiones, altas y modificaciones inherentes a
la información de los contribuyentes así como con la recaudación del Impuesto sobre Nóminas,
ello de conformidad con COBIT 4.1, proceso P08. “Administrar la Calidad”, subproceso
PO8.3 “Estándares de Desarrollo y de Adquisición”, que menciona:
“Adoptar y mantener estándares para todo desarrollo y adquisición que siga el ciclo de vida,
hasta el último entregable […] Los temas a considerar incluyen estándares de codificación
de software […] estándares de diseño.”
Asimismo, se observó que el Sistema Informático del Padrón de Contribuyentes del Impuesto
sobre Nóminas no había sido actualizado desde su versión inicial (2004), lo cual denotó
un problema de actualización en la configuración del sistema, por tal motivo, no se ajustó
con el estándar ISO/IEC 15504, en su proceso ACQ.13 “Gestión del Modelo de Ciclo de
Vida”, el cual refiere:
“El propósito del proceso de Gestión del Modelo de Ciclo de Vida consiste en especificar
los requisitos necesarios para asegurar que el proyecto se realiza con una planificación
31
adecuada, la dotación de personal, así como dirigir, organizar y controlar las actividades
del proyecto.”
Con relación al control de cambios de las necesidades en el Sistema Informático del Padrón de
Contribuyentes del Impuesto sobre Nóminas, el día 5 de abril de 2016, se realizó una entrevista
con el personal de la Dirección de Desarrollo e Innovación Tecnológica, y el 19 de abril de 2016,
se llevó a cabo una inspección física en el kiosco de la Tesorería Plaza la Rosa, donde se
observó que la operación que determinó el porcentaje de pago del Impuesto sobre Nóminas
correspondió al 2.5%, sin señalar o identificar que el 0.5% corresponde a un beneficio
fiscal, respecto del porcentaje establecido (3%) en el artículo 158 del Código Fiscal del Distrito
Federal, vigente en 2014, el cual establece:
“El Impuesto sobre Nóminas se determinará, aplicando la tasa del 3% sobre el monto total
de las erogaciones realizadas por concepto de remuneraciones al trabajo personal subordinado.”
Respecto al ejercicio 2014, por medio de la “Resolución de Carácter General Mediante la
cual se Condona Parcialmente el pago del Impuesto sobre Nóminas”, publicada en la Gaceta
Oficial del Distrito Federal el 15 de enero de 2014, se enuncia que la condonación del
0.5% del ISN, correspondió a las micro y pequeñas empresas, tal y como se establece en
el artículo 158 del Código Fiscal del Distrito Federal, por lo que el aplicable en 2014
correspondió al 2.5%, no obstante, dicha variante no fue programada para señalar o identificar
el referido descuento, por lo que la información fue inconsistente en el desglose del cálculo del
Impuesto sobre Nóminas, incumpliendo con el porcentaje prescrito en dicho artículo.
Por lo anterior, la ASCM comprobó que el Sistema Informático del Padrón de Contribuyentes del
Impuesto sobre Nóminas no emitió ningún tipo de alerta o mensaje que indicara la condonación
realizada o información subyacente al respecto.
En consecuencia la SEFIN no se ajustó a lo prescrito en el ITIL V3 en su libro Diseño de
Servicios (SD) en sus apartados 3.5 “Actividades de Diseño” y 3.6 “Aspectos del Diseño”,
así como al libro Transición del Servicio (ST) en su apartado 3.2.3 “Adopción de Estándares y de
un Marco de Trabajo Común”, los cuales establecen lo relativo al control en los cambios
de las necesidades de las TIC, como se citan en seguida:
32
“Actividades de diseño: Todas las actividades de diseño son provocados por los cambios
en las necesidades de negocio o mejoras al servicio.”
“Aspectos del diseño: El aspecto clave es el diseño de soluciones de servicios nuevos
o modificados para satisfacer las cambiantes necesidades de negocio. Cada vez que una
nueva solución de servicio se produce, necesita ser comprobada contra cada uno de los otros
aspectos para garantizar que será integra e interactuará con todos los otros servicios ya
existentes.”
“El servicio es un marco común de estándares reutilizables, procesos y sistemas para mejorar
la integración de las partes involucradas y reducir las variaciones en los procesos.”
En consecuencia, la SEFIN incumplió lo previsto en el artículo 87 fracción VII del “Reglamento
Interior de la Administración Pública del Distrito Federal”.
En la reunión de confronta, celebrada el 8 de junio de 2016, la DGI de la SEFIN no proporcionó
información ni documentación que modificara la presente observación.
Recomendación ASCM-8-14-5-SEFIN
Es necesario que la Secretaría de Finanzas, por conducto de la Dirección General de Informática,
establezca un mecanismo de control que garantice que el procesamiento de los datos del
pre-registro del contribuyente se haga de forma precisa, a efecto de asegurar que los
movimientos realizados, se reflejen exclusivamente en el padrón correspondiente.
Recomendación ASCM-8-14-6-SEFIN
Es necesario que la Secretaría de Finanzas, por conducto de la Dirección General de Informática,
establezca un mecanismo de control que garantice que en el proceso de Gestión del
Modelo de Ciclo de Vida del Software que organice y controle los servicios o ajustes conforme
al diseño de los sistemas, se prevea la actualización del sistema respecto a las modificaciones
de la normatividad vinculada con la recaudación del Impuesto sobre Nóminas.
33
4. Resultado
Infraestructura Tecnológica
La infraestructura tecnológica es el conjunto de hardware y software del que dispone una
organización para el desempeño de sus objetivos y que lo hacen competitivo para facilitar
sus operaciones y acercar sus servicios a los usuarios.
El hardware consta de elementos y equipos, como aires acondicionados, estabilizadores
de corriente, equipo de centro de datos, sensores, cámaras, servidores, elementos de red, routers,
switches, firewalls, computadoras personales, impresoras, teléfonos, etc.
El software consta programas y aplicaciones que se instalan en el hardware para diversos
propósitos, va desde los sistemas operativos2 hasta el software de sistemas3.
La revisión de la infraestructura tecnológica se lleva a cabo con base en la normatividad
de la DGI por ser esta la unidad administrativa encargada de mantenerla actualizada;
regulando la función informática y el acceso de los servicios informáticos de acuerdo con
los procesos de los usuarios internos así como de los contribuyentes, con objeto de lograr
una eficiente recaudación tributaria.
Para verificar si la SEFIN contó con una infraestructura tecnológica integrada por los recursos
materiales y tecnológicos (software, hardware, redes de computadoras y telecomunicaciones)
que dan soporte a la operación del Sistema Informático del Padrón de Contribuyentes del
Impuesto sobre Nóminas y garantizar que la información contenida en este fuera segura,
estructurada, integra, confiable, disponible, confidencial, eficiente, efectiva y eficaz, la ASCM
efectuó diversas pruebas sustantivas y analíticas, entrevistas y cuestionarios, con los que
se obtuvieron los resultados siguientes:
1. Con objeto de conocer la Infraestructura tecnológica (hardware y software) y los objetivos
por los cuales fueron desarrollados e implementados los procedimientos y movimientos que
2 Conjunto de programas de computación destinados a desempeñar una serie de funciones básicas esenciales para la gestión del
equipo. 3 Son aplicaciones de ámbito general necesarias para que funcionen las aplicaciones informáticas concretas de los servicios, bases
de datos, servidores de aplicaciones y herramientas de ofimática.
34
dieron soporte a la operación del Sistema Informático del Padrón de Contribuyentes del
Impuesto sobre Nóminas, se celebraron reuniones de trabajo los días 14 y 17 de marzo
de 2016, con la Dirección de Desarrollo e Innovación Tecnológica y la Dirección de
Operaciones adscritas a la DGI de la SEFIN.
En dichas reuniones se presentó el hardware del que dispone la SEFIN para la operación
del sistema, por lo que se observó que es el adecuado para el cumplimiento de los
objetivos y su alineación a COBIT 4.1 proceso AI3 “Adquirir y mantener Infraestructura
Tecnológica”, subproceso AI3.1 “Plan de Adquisición de Infraestructura Tecnológica”,
que establece:
“Generar un plan para adquirir, Implementar y mantener la infraestructura tecnológica
que satisfaga los requerimientos establecidos funcionales y técnicos de negocio, y que
esté de acuerdo con la dirección tecnológica de la organización.”
Asimismo, la ASCM, por medio de entrevistas realizadas a la SAT los días 26 de febrero,
31 de marzo y 18 de abril de 2016, conoció que el Sistema Informático del Padrón de
Contribuyentes del Impuesto sobre Nóminas fue desarrollado con el objetivo de cubrir
una necesidad institucional durante el 2004, y no como parte de una planificación para
la modernización de sus procesos recaudatorios de la SEFIN desde el punto de vista
de TIC. Por ello, no se alineó con COBIT 4.1, proceso AI3 “Adquirir y mantener Infraestructura
Tecnológica”, subproceso AI3.1 “Plan de Adquisición de Infraestructura Tecnológica”.
En ese mismo sentido, se observó, mediante entrevistas realizadas a la Dirección de
Desarrollo e Innovación Tecnológica, los días 17 de marzo y 5 de abril de 2016, que
las herramientas de construcción (software) empleadas para el Sistema Informático
del Padrón de Contribuyentes del Impuesto sobre Nóminas como son: versiones de
sistema operativo, lenguaje de código abierto y bases de datos no habían sido actualizadas
desde el 2004, ya que desde su liberación no se realizó ninguna actualización de versiones
y el mantenimiento al código fuente únicamente obedeció a factores de cambios en porcentajes
de factor de impuesto mismos que no se alinearon a un proceso de control de cambios.
35
Derivado de lo anterior, la ASCM determinó que las versiones con las que operó el Sistema
Informático del Padrón de Contribuyentes del Impuesto sobre Nóminas son obsoletas,
incluyendo el hardware donde se encontró instalado, lo que representó un riesgo de seguridad
informática. Por ello, se incumplió con lo recomendado por COBIT 4.1, en su proceso
AI3 “Adquirir y mantener Infraestructura Tecnológica, y subproceso A13.3 “Mantenimiento
de la Infraestructura”, el cual describe:
“Desarrollar una estrategia y un plan de mantenimiento de la infraestructura y garantizar que
se controlan los cambios, de acuerdo con el procedimiento de administración de cambios
de la organización. Incluir una revisión periódica contra las necesidades de negocio,
administración de parches y estrategias de actualización, riesgos, evaluación de vulnerabilidades
y requerimientos de seguridad.”
Adicionalmente, la SEFIN no se alineó con las buenas prácticas de ITIL V3, en su libro
Diseño del Servicio (SO), en el apartado 3.6.3 “Diseño de la Arquitectura Tecnológica”, el
cual prevé lo siguiente:
“Un enfoque estratégico debe adaptarse con respecto a la planificación de las TIC y
su gestión. Esto implica la creación de arquitecturas o «planos» para el marco a largo
plazo de la tecnología utilizada y planificada [...] con el fin de desarrollar TIC apropiadas para
el corto, mediano y largo plazo.”
En la reunión de confronta, celebrada el 8 de junio de 2016, la DGI de la SEFIN no
proporcionó información ni documentación que modificara la presente observación.
De igual forma, el Sistema Informático del Padrón de Contribuyentes del Impuesto sobre
Nóminas no se alinea con ISO/IEC 15504, en su proceso SUP.1 “Aseguramiento de la
Calidad del Software (ACS)”, el cual prevé:
“El propósito del proceso de aseguramiento de la calidad es proporcionar aseguramiento
independiente de que los productos y procesos de trabajo cumplen con las disposiciones
y planes predefinidos.”
36
La SEFIN tampoco se alineó con lo establecido en ITIL V3, en su libro Operación del
Servicio (SO), en su apartado 5.4 “Gestión y Soporte de Servidores”, el cual señala:
“La mayoría de las organizaciones utilizan los servidores para proporcionar servicios
flexibles y accesibles, como lo son los servidores de aplicaciones o de bases de datos, que
realizan almacenamiento, impresión y gestión de archivos. El manejo exitoso de los
servidores es por lo tanto esencial para el éxito de la Operación del Servicio.”
Del mismo modo, la SEFIN no se ajusta a lo previsto en el apartado 5.7 “Administración
de Bases de Datos”, que dicta lo siguiente:
“La administración de bases de datos trabaja para asegurar el rendimiento óptimo, la seguridad
y funcionalidad de las bases de datos que administran.”
En ese sentido, para asegurar el rendimiento óptimo de los servidores del Sistema Informático
del Padrón de Contribuyentes del Impuesto sobre Nóminas, éstos debieron ser actualizados de
conformidad con las necesidades operativas de la institución, para proveer mayor
espacio en disco y velocidad en procesamiento y memoria, pues se vieron rebasados
en esos aspectos; asimismo, el sistema operativo no se actualizó, lo que lo hace vulnerable
ante posibles ataques informáticos.
Conforme a lo antes expuesto, la DGI no cumplió las funciones establecidas en artículo 87,
fracción VII, del Reglamento Interior de la Administración Pública del Distrito Federal,
el cual señala:
“VII. Mantener un programa de modernización continua de la SEFIN, en el ámbito de
la plataforma tecnológica, acorde a los avances tecnológicos.”
En la reunión de confronta, celebrada el 8 de junio de 2016, la DGI de la SEFIN no
proporcionó información ni documentación que modificara la presente observación.
2. Respecto a la infraestructura de red y derivado de las entrevistas e inspecciones físicas
realizadas en las mismas fechas del numeral que antecede, se observó que la DGI
no contó con un plan de riesgos, de continuidad y de recuperación de desastres o de
alguna otra índole documentada para el restablecimiento de los servicios, y aunque existió
37
software para el monitoreo de la red de la SEFIN y de sus servidores, no hubo estadísticas
que indicarán fallas de los equipos.
Derivado de lo anterior, la SEFIN no se ajustó a lo previsto en el COBIT 4.1, proceso AI3
“Adquirir y mantener Infraestructura Tecnológica”, subproceso AI3.2 Protección y Disponibilidad
del Recurso de Infraestructura”, el cual menciona:
“Implementar medidas de control interno, seguridad y auditabilidad durante la configuración,
integración y mantenimiento del hardware y del software de la infraestructura para proteger
los recursos y garantizar su disponibilidad e integridad […] Se debe monitorear y evaluar su uso.”
Tampoco se alineó con lo dictado por ITIL V3, en su libro Diseño del Servicio (SD),
apartado 4.6.5.1, que señala lo siguiente:
“El Director de Seguridad de la Información debe entender que la seguridad no es
un paso en el ciclo de vida de los servicios y que los sistemas de seguridad no pueden
ser resuelto a través de tecnología. Por el contrario, seguridad de la información debe ser una
parte integral de todos los servicios y sistemas y es un proceso continuo que necesita ser
dirigido de forma permanente utilizando un conjunto de controles de seguridad.”
Asimismo, incumplió lo dispuesto en el artículo 87, fracción II, del Reglamento Interior
de la Administración Pública del Distrito Federal.
En la reunión de confronta, celebrada el 8 de junio de 2016, la DGI de la SEFIN no
proporcionó información ni documentación que modificara la presente observación.
3. Con relación al cableado estructurado en la Dirección de Registro de la SAT, durante
la inspección física realizada el 18 de abril de 2016, se observó que el cableado de red baja
de un falso plafón hacia los equipos de cómputo, y los cables estuvieron expuestos, cuando
debieron estar ocultos.
Derivado de lo anterior, la SEFIN no se ajustó a lo establecido en las normas ISO/lEC 11801
y EIA/TIA 568 las cuales regulan lo relativo a los sistemas de cableado estructurado.
38
En la reunión de confronta, celebrada el 8 de junio de 2016, mediante el oficio
núm. SFCDMX/TCDMX/SAT/0397/2016 del 7 de junio de 2016, la DGI proporcionó a
la ASCM, el documento denominado “Políticas de Seguridad de la Información”, el cual
incluyó a su numeral 5.7.3 “Del Cableado” que señala:
“Las instalaciones del cableado estructurado se deberán realizar en apego a las normas
TIA/EIA, las cuales enuncian las protecciones y buen manejo de la infraestructura.”
Sin embargo, el contenido de las políticas antes referidas no describió la forma en que
la DGI de la SEFIN se alineó con las normas ISO/lEC 11801 y EIA/TIA 568, aunado
a ello, no presentó evidencia de que el cableado se encontrara instalado de conformidad con
las normas antes señaladas, por lo que la presente observación prevalece.
Respecto a la velocidad de transmisión de datos entre el Centro de Datos y la Dirección
de Registro de la SAT, se realizó una inspección física el día el 6 de abril de 2016 en
las oficinas de la Dirección de Registro y se realizaron entrevistas a usuarios finales
del Sistema Informático del Padrón de Contribuyentes del Impuesto sobre Nóminas,
quienes manifestaron lentitud en la operación del sistema.
Por ello, se ejecutaron pruebas analíticas sustantivas informáticas (herramienta Speedtest)
desde una computadora personal de la Dirección de Registro y se tuvo como resultado que
la velocidad del ancho de banda es en promedio de 256 kbps, lo que resulta insuficiente
para la transmisión y recepción de información que permita actualizar, consultar y operar el
Sistema Informático del Padrón de Contribuyentes del Impuesto sobre Nóminas.
Derivado de lo anterior, la ASCM determinó que la infraestructura de red en servicios
de conectividad no cumplió los objetivos planteados para la operación del Sistema
Informático del Padrón de Contribuyentes del Impuesto sobre Nóminas, ya que debido
a la lentitud de la conectividad, el usuario debe esperar para realizar sus procesos
de transmisión de datos. Por lo anterior la SEFIN, no se alineó con lo establecido
en COBIT 4.1, proceso DS4 “Garantizar la Continuidad del Servicio”, subproceso DS4.3
“Recursos Críticos de TI”, que menciona:
39
“Centrar la atención en los puntos determinados como más críticos […] para construir
[…] prioridades en situaciones de recuperación. Evitar la distracción de recuperar los puntos
menos críticos […] asegurándose también que se cumple con los requerimientos regulatorios
y contractuales.”
Lo mismo acontece respecto de lo previsto en ITIL V3, en su libro “Diseño del Servicio” (SD),
en el Apartado 3.6.3 “Diseño de la Arquitectura Tecnológica”, el cual establece lo siguiente:
“Un enfoque estratégico debe adoptarse con respecto a la planificación de las TIC y
su gestión. Esto implica la creación de arquitecturas o «planos» para el marco a largo
plazo de la tecnología utilizada y planificada […] con el fin de desarrollar TIC apropiadas para el
corto, mediano y largo plazo.”
La SEFIN también incumplió lo previsto en el artículo 87, fracción II, del Reglamento
Interior de la Administración Pública del Distrito Federal.
En la reunión de confronta, celebrada el 8 de junio de 2016, mediante el oficio
núm. SFCDMX/TCDMX/SAT/0397/2016 del 7 de junio de 2016, la SEFIN proporcionó
el contrato núm. CS-203/2014 del 14 de noviembre de 2014, con vigencia del 14 de noviembre
al 31 de diciembre de 2014, mediante el cual adjudicó el servicio de red LAN y enlaces de
comunicaciones inalámbricos.
En dicho contrato se establece un servicio de clúster o stack de distribución y “ruteo”
de tráfico LAN/MAN de equipos capa 2 y 3 de alto desempeño interconectados entre
sí con un ancho de banda de al menos 40 GBPS, el cual es distribuido en toda la
infraestructura de la dependencia.
No obstante lo anterior, la DGI de la SEFIN no aclaró las razones por la cuales la velocidad
de trasmisión de datos entre la Dirección de Registro y el Centro de Datos reportó
un ancho de banda de 256 kbps, consecuentemente, la presente observación se modifica
parcialmente.
4. Con el propósito de verificar que la interfaz entre el usuario y el Sistema Informático
del Padrón de Contribuyentes del Impuesto sobre Nóminas, hubiese proporcionado
40
el acceso y la navegación por medio de la información de los movimientos de bajas
o suspensiones, altas y modificaciones de los contribuyentes y a la recaudación del Impuesto
sobre Nóminas; la ASCM realizó una inspección física el día 20 de abril de 2016 en el
kiosco de la Tesorería Plaza la Rosa, en la que se llevó a cabo una entrevista y diversas
pruebas analíticas sustantivas informáticas.
En consecuencia, se determinó que la interfaz entre el usuario y el Sistema Informático del
Padrón de Contribuyentes del Impuesto sobre Nóminas permitió el acceso y la navegación
de los usuarios por medio de la información de los movimientos de bajas o suspensiones,
altas y modificaciones de los contribuyentes, con base en el catálogo de privilegios
que tiene cada usuario en el sistema, por lo que la SEFIN cumplió lo dictado por ITIL V3,
en su libro “Transición del Servicio” (ST), en el Apartado 4.3.5.6 “Auditoría y Verificación”,
que establece lo siguiente:
“Verificar que la existencia física de los elementos de configuración en la organización
se ajustan a la infraestructura física.”
Asimismo se alineó lo que mandata el estándar ISO/IEC 15504, proceso ENG.2 “Análisis
de los Requisitos del Sistema (RQSIS)” que establece:
“El propósito del proceso de análisis de los requisitos del sistema es transformar las
necesidades de los clientes definidos en un conjunto de requisitos técnicos del sistema
deseada que guiará el diseño del sistema.”
Es importante señalar que no fue posible acceder a la recaudación del impuesto, debido
a que el Sistema Informático del Padrón de Contribuyentes del Impuesto sobre Nóminas no
contiene información al respecto, toda vez que ésta fue gestionada por otros sistemas
de información de la SEFIN, cuya revisión no forma parte de la presente auditoría.
5. Respecto a la disposición eficiente y eficaz de la información para la toma de decisiones, el
esquema del Sistema Informático del Padrón de Contribuyentes del Impuesto sobre
Nóminas mantuvo información histórica, por lo que el sistema permitió visualizar a los
contribuyentes pre-registrados y registrados; sin embargo, en relación con los adeudos,
41
saldos a favor, informes sobre estados de cuenta de contribuyentes y la recaudación,
no se contó con información en el sistema en revisión, ya que es atribución de otros sistemas
de información en la SEFIN.
Derivado de lo anterior, el día 26 de abril del 2016 la Dirección de Sistemas de la DGI de la
SEFIN, presentó a esta ASCM un plan de trabajo denominado “Informe de Cumplimiento de
Pagos de Contribuyentes” cuyo objetivo es “Generar una fuente de análisis de información
para explotar información del cumplimiento de pagos de contribuyentes del impuesto
sobre nóminas para la toma de decisiones”; con su implementación en las Direcciones
de Registro y Fiscalización, considerando su alcance en las AT. Este análisis permitirá
que la toma de decisiones para los informes de la base de recaudación del impuesto
sea eficiente y efectiva.
Se concluyó que la infraestructura tecnológica que da soporte a la operación del Sistema
Informático del Padrón de Contribuyentes del Impuesto sobre Nóminas, permite la operatividad
de la recaudación del impuesto, no obstante a ello, no contribuye a mejorar el análisis de
las fuentes de información de los contribuyentes de dicho impuesto, que sirva de base
para la toma de decisiones que permita un incremento en la tributación.
Recomendación ASCM-8-14-7-SEFIN
Es necesario que la Secretaría de Finanzas, por conducto de la Dirección General de Informática,
establezca mecanismos de control para asegurar que se elabore un Programa de Modernización
y Actualización continua de infraestructura TIC (software, hardware y conectividad), que garantice
una revisión periódica de las necesidades de la dependencia, administración de parches,
estrategias de actualización, plan de gestión de riesgos y de recuperación del servicio, evaluación
de vulnerabilidades y requerimientos de seguridad.
Recomendación ASCM-8-14-8-SEFIN
Es necesario que la Secretaría de Finanzas, por conducto de la Dirección General de Informática,
incluya las especificaciones técnicas descritas por normas ISO/lEC 11801 y EIA/TIA 568
dentro del documento denominado “Políticas de Seguridad de la Información”.