CXXI. I A R C P C M Enormativo de gobernanza de TIC es de interés para los habitantes de la...

CXXI. INFORME INDIVIDUAL DE AUDITORÍA,

DERIVADA DE LA REVISIÓN DE LA CUENTA PÚBLICA

DE LA CIUDAD DE MÉXICO CORRESPONDIENTE

AL EJERCICIO DE 2017

1

ÓRGANO POLÍTICO-ADMINISTRATIVO

ALCALDÍA XOCHIMILCO (ANTES DELEGACIÓN XOCHIMILCO)

AUDITORÍA DE CUMPLIMIENTO CON ENFOQUE EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES

Marco Normativo de Gobernanza de Tecnologías de la Información y Comunicaciones

Auditoría ASCM/104/17

FUNDAMENTO LEGAL

La auditoría se llevó a cabo con fundamento en los artículos 122, apartado A, fracción II,

sexto y séptimo párrafos, en relación con el 74, fracción VI; y 79, de la Constitución Política de

los Estados Unidos Mexicanos; 42, fracción XIX; y 43 del Estatuto de Gobierno del Distrito

Federal; 10, fracción VI, de la Ley Orgánica de la Asamblea Legislativa del Distrito Federal;

1; 2, fracciones XIII y XLI, inciso a); 3; 8, fracciones I, II, IV, VI, IX, XXVI y XXXIII; 9; 10, incisos

a) y b); 14, fracciones I, VIII, XVII, XX y XXIV; 22; 24; 27; 28; 30; 32; 33; 34; 35; 36, primer

párrafo; 37, fracción II; 61; y 62 de la Ley de Fiscalización Superior de la Ciudad de México;

y 1; 4; 5, fracción I, inciso b); 6, fracciones V y VII; y 30 del Reglamento Interior de la Auditoría

Superior de la Ciudad de México.

ANTECEDENTES

Como parte de la Política Informática y Mejora de Tecnologías de la Información, la Oficialía

Mayor (OM) de la Ciudad de México publicó el 18 de septiembre de 2015 en la Gaceta Oficial

del Distrito Federal, núm. 179, Tomo I, la Normatividad en materia de Administración de Recursos

para las Delegaciones de la Administración Pública del Distrito Federal (Circular Uno Bis 2015),

vigente en 2017, con la que instauró un gobierno electrónico con el uso de recursos tecnológicos

para reducir costos de operación y tiempo de espera, y mejorar la atención al público; así

como para garantizar la atención a la demanda de servicios de Tecnologías de la Información

a los entes públicos del Gobierno de la Ciudad de México.

2

CRITERIOS DE SELECCIÓN

Esta auditoría se propuso de conformidad con los siguientes criterios generales de selección,

contenidos en el Manual de Selección de Auditorías de esta entidad de fiscalización superior:

“Propuesta e Interés Ciudadano”, en virtud de la necesidad de que la Administración Pública de

la Ciudad de México proporcione mejores servicios a la ciudadanía en vinculación con las

Tecnologías de la Información y Comunicaciones (TIC), mediante mecanismos oficiales y

documentados que rijan la operación; y de que por su naturaleza e impacto social, el marco

normativo de gobernanza de TIC es de interés para los habitantes de la Delegación Xochimilco.

“Presencia y Cobertura”, porque el marco normativo de gobernanza de TIC no ha sido objeto

de fiscalización específica por parte de la Auditoría Superior de la Ciudad de México y por

ser susceptible de auditarse por estar contenido en la Cuenta Pública de la Ciudad de México.

OBJETIVO

El objetivo de la revisión consistió en verificar que el marco normativo relativo a la gobernanza

de las TIC haya sido implementado en la Delegación Xochimilco, que establezca los principios

que regirán la gestión TIC con base en lo instaurado por la Oficialía Mayor en cumplimiento con

la Ley de Gobierno Electrónico del Distrito Federal y la Normatividad en materia de

Administración de Recursos para las Delegaciones de la Administración Pública del Distrito

Federal (Circular Uno Bis 2015) y en alineación con los estándares y mejores prácticas TIC

aplicables.

ALCANCE Y DETERMINACIÓN DE LA MUESTRA

Se revisó que se hayan implementado políticas informáticas que impactaran en una gestión TIC

eficiente, eficaz y confiable en la Delegación Xochimilco.

De los elementos que integran el objetivo de auditoría, de manera enunciativa, más no limitativa

se revisó lo siguiente:

3

Gobernanza TIC

Se evaluó si la Delegación Xochimilco implementó y ejecutó las políticas de gobernanza TIC,

establecidas por la OM, acordes con los controles generales alineados con la normatividad y

buenas prácticas TIC aplicables, así como si participó en el Comité de Gobierno Electrónico de

la Ciudad de México.

Desarrollo y Adquisición

Se evaluó si la Delegación Xochimilco aplicó y desempeñó la normatividad relativa a desarrollo

y adquisición TIC fundadas por la Oficialía Mayor, en cumplimiento con lo establecido en

la Normatividad en materia de Administración de Recursos para las Delegaciones de la

Administración Pública del Distrito Federal (Circular Uno Bis 2015) y demás normatividad

TIC aplicable.

Continuidad del Servicio y Recuperación de Desastres

Se evaluó si la Delegación Xochimilco incorporó y utilizó las políticas de continuidad del servicio

y recuperación de desastres generadas por la OM, a fin de permitir que la infraestructura

tecnológica del órgano político-administrativo brindara los servicios de manera ininterrumpida a

la ciudadanía, en alineación con las mejores prácticas y estándares TIC aplicable.

Seguridad de la Información

Se evaluó si la Delegación Xochimilco estableció y aplicó las políticas de seguridad de la

información señaladas por la OM para salvaguardar los bienes informáticos y la información

gestionada por el órgano político-administrativo, de acuerdo con los estándares, buenas

prácticas y normas TIC aplicables.

Derivado de los trabajos que se llevaron a cabo en la fase de planeación de la auditoría y

del estudio y evaluación del sistema de control interno, se determinó revisar los procedimientos,

políticas y protocolos relacionados con el marco normativo de gobernanza de TIC que hayan

sido aplicados por la Delegación Xochimilco.

4

Para determinar la muestra de los procedimientos, políticas y protocolos sujetos a revisión, se

aplicaron los siguientes criterios:

1. Se identificaron los procedimientos publicados en el manual administrativo de la Delegación

Xochimilco que tuvieron relación con el marco normativo de gobernanza de TIC, así

como las políticas internas de seguridad de la información, desarrollo y adquisición de

las TIC, la recuperación de desastres y mantenimiento a la infraestructura de las TIC y

los estándares y mejores prácticas de las TIC aplicables en el rubro a revisión; en especial, lo

establecido en Ley de Gobierno Electrónico del Distrito Federal, la Normatividad en materia de

Administración de Recursos para las Delegaciones de la Administración Pública del Distrito

Federal (Circular Uno Bis 2015) y las Normas Generales que deberán observarse en materia

de Seguridad de la Información en la Administración Pública del Distrito Federal.

2. Se consideró la aplicación de los procedimientos, políticas, estándares y mejores prácticas

en las áreas de servicio a la ciudadanía, específicamente en la Ventanilla Única Delegacional

(VUD), en el Centro de Servicios y Atención Ciudadana (CESAC) y en el sitio web de

la Delegación Xochimilco.

3. Se determinó ampliar la muestra original del 30.0%, para incrementar el grado de seguridad

en la eficiencia operativa de los controles al 48.4% (15 equipos) del total de equipamiento de

las TIC (31 equipos) utilizado en la atención a la ciudadanía en el Centro de Datos, VUD,

CESAC y sitio web; asimismo, se estableció como muestra el 100.0% del total de los

procedimientos, políticas y estándares TIC (17) para la aplicación de pruebas de auditoría,

como se muestra a continuación:

Número de equipos en la infraestructura TIC utilizada para servicios ciudadanos de la Alcaldía

Universo Muestra

Centro de datos

VUD CESAC Sitio web Total Centro

de datos VUD CESAC Sitio web Total

6 13 11 1 31 3 6 5 1 15

La muestra del universo por auditar se determinó mediante un método de muestreo no

estadístico, con fundamento en la Norma Internacional de Auditoría (NIA) 530, “Muestreo

de Auditoría”, emitida por la Federación Internacional de Contadores (IFAC); en la Norma

5

Internacional de las Entidades Fiscalizadoras Superiores (ISSAI) 1530, “Muestreo de Auditoría”,

emitida por el Comité de Normas Profesionales de la Organización Internacional de Entidades

Fiscalizadoras Superiores (INTOSAI); y en el Manual del Proceso General de Fiscalización de

la Auditoría Superior de la Ciudad de México.

Los trabajos de auditoría se efectuaron en la Subdirección de Informática, adscrita a la

Dirección General de Administración en la Alcaldía Xochimilco por ser la unidad administrativa

con atribuciones y funciones previstas en el manual administrativo de esa Alcaldía, vigente

en 2017, encargada del cumplimiento de la Ley de Gobierno Electrónico del Distrito Federal, las

Normas Generales que deberán observarse en materia de Seguridad de la Información en

la Administración Pública del Distrito Federal, la Normatividad en materia de Administración de

Recursos para las Delegaciones de la Administración Pública del Distrito Federal (Circular

Uno Bis 2015) y demás normatividad relativa a la gobernanza TIC, vigente en 2017.

PROCEDIMIENTOS, RESULTADOS Y OBSERVACIONES

Evaluación del Control Interno

1. Resultado

Con la finalidad de evaluar el control interno implementado por el sujeto fiscalizado y para

contar con una base para determinar la naturaleza, extensión y oportunidad de las pruebas de

auditoría, se analizaron las atribuciones del órgano político-administrativo, el marco normativo y

su manual administrativo del sujeto fiscalizado, vigentes en 2017; se realizaron entrevistas

y se aplicaron cuestionarios de control interno y de marco normativo de gobernanza de TIC a la

Oficina de la Jefatura Delegacional y a la Dirección General de Administración, en particular, a los

servidores públicos responsables de la administración, gestión y gobernanza TIC, en relación

con los cinco componentes del control interno (Ambiente de Control, Administración de Riesgos,

Actividades de Control, Información y Comunicación y Supervisión).

La evaluación se realizó tomando como parámetro de referencia el Marco Integrado de

Control Interno para el Sector Público (MICI), que es un documento de carácter técnico

que fue desarrollado por el Grupo de Trabajo de Control Interno del Sistema Nacional de

Fiscalización en su quinta reunión plenaria celebrada en 2014 y que tiene por objeto

6

la implementación de un control interno efectivo como una herramienta fundamental para

aportar elementos que promuevan la consecución de objetivos institucionales, minimicen

los riesgos, reduzcan la probabilidad de ocurrencia de actos de corrupción y fraudes, consideren

la integración de las tecnologías de la información a los procesos institucionales, respalden la

integridad y el comportamiento ético de los servidores públicos y consoliden los procesos

de rendición de cuentas y de transparencia gubernamentales; asimismo, está diseñado como

un modelo de control interno que puede ser adoptado y adaptado por las instituciones en

ámbitos federal, estatal y municipal. El marco referido gozaría de mayor aceptación e impacto si

los distintos niveles de gobierno, en el ámbito de sus atribuciones, expidieran los decretos

correspondientes para su aprobación.

Como resultado del análisis de las respuestas a los cuestionarios aplicados, de las entrevistas

realizadas y de la información y documentación proporcionadas por el sujeto fiscalizado,

se determinó lo siguiente:

Ambiente de Control

Se identificaron las unidades administrativas del sujeto fiscalizado que estuvieron relacionadas

con el rubro sujeto a revisión; las funciones, objetivos, actividades y procedimientos aplicados; las

normas, procesos y estructura orgánica que proporcionan la base para llevar a cabo el control

interno en el sujeto fiscalizado; así como la normatividad que proporciona disciplina y estructura

para apoyar al personal en la consecución de los objetivos institucionales; y se verificó si

el sujeto fiscalizado estableció y mantiene un ambiente de control que implique una actitud de

respaldo hacia el control interno, como se indica a continuación:

1. El sujeto fiscalizado contó en 2017 con la estructura orgánica núm. OPA-XOCH-15/010715,

dictaminada favorablemente por la Coordinación General de Modernización Administrativa

(CGMA) y notificada al sujeto fiscalizado por medio del oficio núm. OM/0416/2015 del

30 de junio de 2015, vigente a partir del 1o. de julio de 2015.

En dicha estructura orgánica, se previeron una oficina de la Jefatura Delegacional y

seis Direcciones Generales (Jurídica y de Gobierno, de Administración, de Obras

y Desarrollo Urbano, de Servicios Urbanos, de Desarrollo Social y de Medio Ambiente y

Desarrollo Sustentable).

7

La Subdirección de Informática se encuentra adscrita a la Dirección General de

Administración en el órgano político-administrativo.

2. En 2017, el sujeto fiscalizado dispuso de un manual administrativo elaborado conforme al

dictamen de estructura orgánica núm. OPA-XOCH-15/010715, el cual fue registrado

por la CGMA con el núm. MA-05/110416-OPA-XOCH-15/010715 y notificado al sujeto

fiscalizado mediante el oficio núm. OM/CGMA/0753/2016 del 11 de abril de 2016. En

la Gaceta Oficial de la Ciudad de México del 29 de abril de 2016, se publicó el “Aviso

por el que se da a conocer el Enlace Electrónico donde podrá ser consultado

el Manual Administrativo de la Delegación Xochimilco, con número de registro

MA-05/110416-OPA-XOCH-15/010715”, en cuya consulta se verificó su publicación y

vigencia a partir del día siguiente.

Posteriormente, con el oficio núm. XOCH13-100/667/2016 de noviembre de 2016, el

titular del sujeto fiscalizado solicitó a la CGMA la cancelación del procedimiento “Apoyo a

Maestros Jubilados”. Como resultado de dicha actualización el sujeto fiscalizado obtuvo el

registro núm. MA-17/011216-OPA-XOCH-15/010715-A1, notificado al sujeto fiscalizado

con el oficio núm. OM/CGMA/2360/2016 del 1o. de diciembre de 2016. En la Gaceta

Oficial de la Ciudad de México núm. 229 del 26 de diciembre de 2016, se publicó

el “Aviso por el que se da a conocer el Enlace Electrónico donde podrá ser consultado el

Manual Administrativo de la Delegación Xochimilco con registro de actualización

MA-17/011216-OPA-XOCH-15/010715-A1.” En la consulta del enlace citado, se verificó su

publicación y vigencia a partir del día siguiente.

El manual citado, junto con su actualización, se integró por los apartados de marco jurídico

de actuación; atribuciones; misión, visión y objetivos institucionales; organigrama de la

estructura básica; organización y procedimientos; glosario y aprobación del manual

administrativo.

3. El sujeto fiscalizado contó con unidades administrativas encargadas de generar información

para cumplir las obligaciones en materia de transparencia y acceso a la información,

fiscalización, rendición de cuentas y armonización contable, así como de administrar

los recursos humanos, financieros y de TIC, por medio de la Subdirección de Informática,

8

para lo cual implementó dos procedimientos específicos para el rubro de gobernanza

de las TIC, que se formalizaron con su registro ante la CGMA y se incorporaron a su

manual administrativo.

Con base en lo anterior, se determinó que el sujeto fiscalizado dispuso de una estructura

orgánica, de un manual administrativo dictaminado por la CGMA y de unidades administrativas

encargadas de generar información para cumplir las obligaciones en materia de fiscalización,

rendición de cuentas y armonización contable, así como de administrar los recursos humanos,

financieros y tecnológicos, por lo que ha establecido un ambiente de control que implica

una actitud de respaldo hacia el control interno.

Administración de Riesgos

Con relación a si el sujeto fiscalizado contó con un proceso para identificar el cumplimiento de

sus objetivos y reunió las bases para desarrollar respuestas apropiadas al riesgo que permitan

administrarlo y controlarlo, se identificó lo siguiente:

1. Los objetivos institucionales del sujeto fiscalizado no se encuentran definidos toda vez

que careció del Programa Delegacional de Desarrollo 2015-2018, de modo que no tiene un

documento que coadyuve en la identificación de los riesgos potenciales asociados a

éstos y en la determinación de cómo se gestionarán; no obstante, se identificó que en

su Programa Operativo Anual (POA) el sujeto fiscalizado cuenta con ejes estratégicos

asociados a su mandato legal y alineados al Programa General de Desarrollo del

Distrito Federal 2013-2018 (PGDDF), publicado en la Gaceta Oficial del Distrito Federal

núm. 1689, Tomo II del 11 de septiembre de 2013, en el que se incluye el rubro de gobernanza

de las TIC, los cuales fueron comunicados de manera formal a sus servidores públicos.

Por carecer del Programa Delegacional de Desarrollo 2015-2018, el sujeto fiscalizado

incumplió el primer párrafo del artículo 28 BIS y 31 de la Ley de Planeación del Desarrollo

del Distrito Federal publicada en la Gaceta Oficial del Distrito Federal, núm. 16, del

27 de enero de 2000, vigente en 2017, que establecen:

9

“Artículo 28 BIS. Los titulares de los órganos políticos-administrativos deberán presentar el

proyecto de Programa Delegacional de la demarcación a su cargo al Jefe de Gobierno, a

más tardar el día 5 de enero del año inmediato siguiente al de su toma de posesión.”

“Artículo 31. El programa delegacional de cada demarcación territorial contendrá como

mínimo:

”I. Los antecedentes; el diagnóstico económico, social y territorial del desarrollo de la

demarcación; la proyección de tendencias y los escenarios previsibles; así como el

contexto regional y nacional del desarrollo;

”II. Los lineamientos contenidos en el Programa General y los programas que deban

ser observados por la demarcación territorial;

”III. La imagen objetivo que consistirá en lo que el propio programa pretende lograr en

su ámbito espacial y temporal de validez;

”IV. La estrategia del órgano político-administrativo con base en la orientación establecida

en los componentes rectores contenidos en el Programa General;

”V. La definición de objetivos y prioridades del desarrollo de mediano y largo plazo;

”VI. Las metas generales que permitan la evaluación sobre el grado de avance en la

ejecución del programa delegacional;

”VII. La definición de los programas parciales que deban realizarse en la demarcación

territorial;

”VIII. La previsión de programas especiales para la coordinación con otros órganos político-

administrativos y las responsabilidades para su instrumentación.”

En la reunión de confronta, celebrada el 7 de febrero de 2019, la Directora General de

Administración de la Alcaldía Xochimilco, en representación del titular del órgano político-

administrativo, mediante el oficio núm. XOCH13-DGA-537-2019 del 6 de febrero de 2019,

10

proporcionó el oficio núm. XOCH13/DRM/3651/2019 del 6 de febrero de 2019, donde

el Director de Recursos Materiales y Servicios Generales del sujeto fiscalizado, no

presentó respuesta alguna.

De lo anterior, la hoy Alcaldía Xochimilco no presentó ninguna respuesta, por lo que la

presente observación no se modifica.

2. La Contraloría Interna del sujeto fiscalizado, adscrita a la entonces Contraloría General

de la Ciudad de México (CGCDMX), de acuerdo con el artículo 113, fracción III, del

Reglamento Interior de la Administración Pública del Distrito Federal vigente en 2017,

contó con atribuciones para revisar e inspeccionar que el órgano político-administrativo

cumpla las normas y disposiciones en materia de TIC. El órgano interno de control no

practicó auditoría al sujeto fiscalizado relacionada con la gobernanza de las TIC por el

ejercicio de 2017.

Con base en lo anterior, aun cuando el sujeto fiscalizado no dispuso del Programa de

Desarrollo Delegacional 2015-2018, de acuerdo con los artículos 28 BIS y 31, de la Ley de

Planeación del Desarrollo del Distrito Federal, en su POA consideró los ejes estratégicos

asociados a su mandato legal y alineados al PGDDF 2013-2018; y dispuso de un órgano interno

de control que lo vigila, el cual no auditó la gobernanza de las TIC por el ejercicio de 2017.

Actividades de Control

Las acciones establecidas por el sujeto fiscalizado para prevenir, minimizar y responder

a los riesgos que pudieran afectar el cumplimiento y logro de sus objetivos, en particular a

la eficacia y eficiencia de las operaciones del rubro sujeto a revisión, son las siguientes:

1. En 2017, el sujeto fiscalizado dispuso de 177 procedimientos elaborados conforme

al dictamen de estructura orgánica núm. OPA-XOCH-15/010715, que se integraron al manual

administrativo que la CGMA registró con el núm. MA-17/011216-OPA-XOCH-15/010715-A1,

de acuerdo con el oficio núm. OM/CGMA/2360/2016 del 1o. de diciembre de 2016, cuyo

enlace electrónico http://www.xochimilco.gob.mx fue publicado en la Gaceta Oficial

11

de la Ciudad de México núm. 229 el 26 de diciembre de 2016, y de su consulta se

comprobó su publicación y vigencia a partir del día siguiente.

De 177 procedimientos que estuvieron vigentes en 2017, tres estuvieron relacionados

con el rubro auditado. Dichos procedimientos permiten cumplir los objetivos de control

y administrar riesgos inherentes a la gestión de las TIC y garantizan razonablemente

el cumplimiento de las leyes, reglamentos, normas, políticas y otras disposiciones de

observancia obligatoria. Los tres procedimientos identificados para el rubro de gobernanza

de las TIC fueron los siguientes:

Concepto Procedimiento

Gobernanza TIC, Desarrollo y Adquisición, Continuidad del Servicio y Recuperación de Desastres, y Seguridad de la Información

“Baja de Equipo de Cómputo”

“Atención de Solicitudes Relacionadas con Servicios de Internet y Telecomunicaciones”

“Desarrollo de Sistemas Informáticos”

2. Para la operación y desarrollo de sus actividades sustantivas, administrativas y financieras,

el órgano político-administrativo contó con el Sistema de Planeación de Recursos

Gubernamentales (SAP-GRP), cuyas políticas y lineamientos de seguridad, fueron establecidos

por la entonces Secretaría de Finanzas (SEFIN) como autoridad administradora del sistema.

Con base en lo anterior, se elaboró una matriz de control para evaluar si los mecanismos

establecidos hicieron factible la administración de los riesgos. Al respecto, se determinó

que el sujeto fiscalizado contó con dos procedimientos para prevenir, minimizar y responder

a los riesgos que pudieran afectar el cumplimiento y logro de sus objetivos, en particular,

la eficacia y eficiencia de las operaciones del rubro sujeto a revisión.

Información y Comunicación

Respecto a si el sujeto fiscalizado dispuso de mecanismos de comunicación interna que

permitieran que la información que se genera al exterior fuera apropiada, oportuna, actualizada

exacta y accesible, así como para comunicar internamente al personal los objetivos

y responsabilidades, se observó lo siguiente:

12

1. En 2017, el órgano político-administrativo difundió su manual administrativo registrado

con el núm. MA-17/011216-OPA-XOCH-15/010715-A1, mediante el oficio circular

núm. XOCH13-100/005/2017 del 2 de enero de 2017 y lo incorporó a su portal de

transparencia de la página de internet del órgano político-administrativo para consulta

de sus servidores públicos.

2. En 2017, el sujeto fiscalizado contó con unidades administrativas que se encargaron

de generar la información requerida para el cumplimiento de sus obligaciones en

materia de contabilidad gubernamental, fiscalización y rendición de cuentas, y con el

SAP-GRP para gestionar la información relativa a los recursos humanos, financieros

y presupuestales con unidades administrativas externas; así como con la información

generada respecto a la operación de la gobernanza TIC, por conducto de la Subdirección de

Informática.

Con base en lo anterior, se determinó que el órgano político-administrativo difundió el

manual administrativo registrado con el núm. MA-17/011216-OPA-XOCH-15/010715-A1 y

lo incorporó en el portal de transparencia de su página de internet para consulta de sus

servidores públicos y dispuso de unidades administrativas para generar información necesaria,

veraz y suficiente para el cumplimiento de sus obligaciones. Sin embargo, no generó información

oportuna.

Supervisión

Con relación a si se encuentran identificados los tramos de control y supervisión en los diferentes

niveles jerárquicos para el cumplimiento de los objetivos del sujeto fiscalizado, se identificó que,

en términos generales, en los tres procedimientos establecidos en su manual administrativo

registrado por la CGMA, aplicables al rubro sujeto a revisión se encuentran plasmados

tramos de control y supervisión.

Procedimientos establecidos en su manual administrativo

“Baja de Equipo de Cómputo”


“Desarrollo de Sistemas Informáticos”

13

En el estudio y evaluación del control interno establecido por el sujeto fiscalizado, una vez

recopilada y analizada la información general de las áreas y operaciones sujetas a revisión, a

partir del flujo general de las áreas y operaciones sujetas a revisión, a partir del flujo general de

las actividades, de los objetivos específicos y mecanismos de control identificados en cada

proceso, así como de la respuesta al cuestionario de control interno aplicado, se elaboró

una matriz de control para evaluar si los mecanismos establecidos hicieron factible la

administración de los riesgos de irregularidades e ineficiencias y si disminuyeron las debilidades

detectadas, y se determinó que el control interno fue apropiado para administrar los riesgos de

irregularidades e ineficiencias a que estuvieron expuestas las actividades y el cumplimiento de los

objetivos del sujeto fiscalizado relacionados con el marco normativo de gobernanza TIC.

Tanto la ASCM como la entonces CGCDMX no han practicado auditorías al Marco Normativo

de Gobernanza de Tecnologías de la Información y Comunicaciones.

Lo anterior, toda vez que de la evaluación del control interno se determinó que el sujeto

fiscalizado propició un ambiente de control que implica una actitud de respaldo hacia el control

interno, consideró los ejes estratégicos asociados a su mandato legal y alineados al

PGDDF 2013-2018, aun cuando careció del Programa Delegacional de Desarrollo 2015-2018,

reunió las bases para desarrollar respuestas al riesgo que permiten administrarlo y controlarlo,

contó con procedimientos que permiten prevenir, minimizar y responder a los riesgos que

pudieran afectar el cumplimiento y logro de sus obligaciones y se encuentran identificados

los tramos de control y supervisión en los diferentes niveles jerárquicos para el cumplimiento

de los objetivos del sujeto fiscalizado.

En la revisión de la Cuenta Pública 2016, en el informe final de la auditoría ASCM/79/16,

practicada a la Delegación Xochimilco, resultado núm. 1, recomendación ASCM-79-16-1-XOC,

se considera el mecanismo para contar con los lineamientos del Programa Delegacional

de Desarrollo, consistente en establecer el control para asegurarse de que se elabore y remita

su Programa Delegacional de Desarrollo al Jefe de Gobierno de la Ciudad de México, a

más tardar el día 5 de enero del año inmediato siguiente al de la toma de posesión del titular del

órgano político-administrativo de acuerdo con la Ley de Planeación del Desarrollo del Distrito

Federal, por lo que se dará tratamiento a dicha circunstancia como parte de la recomendación

citada.

14

Gobernanza de TIC

2. Resultado

Según la INTOSAI, la gobernanza de TIC puede considerarse como “el marco general que

guía las operaciones TIC en una organización para asegurar que satisface las necesidades de la

empresa en el día a día y que incorpora planes para el crecimiento y futuras necesidades.

Es parte de la gestión y comprende el liderazgo organizacional, las estructuras y procesos

institucionales y otros mecanismos (cumplimiento, recursos, informes y retroalimentación, etc.)

que aseguran que los sistemas de TIC puedan sostener las metas y estrategias organizacionales

equilibrando los riesgos y gestionando eficazmente los recursos. La gobernanza de TIC

desempeña un papel clave en la determinación del entorno de control y construye las

bases para establecer prácticas sólidas de control interno e informar a niveles funcionales

para la supervisión y revisión de la administración”.

A fin de constatar que el órgano político-administrativo haya implementado y ejecutado las

políticas de gobernanza de TIC, establecidas por la OM, acordes con los controles generales

alineados con la normatividad y buenas prácticas TIC aplicables, así como participado en

el Comité de Gobierno Electrónico de la Ciudad de México, se realizó una entrevista a servidores

públicos adscritos a la Subdirección de Informática del órgano político-administrativo, el

28 de noviembre de 2018, e inspecciones físicas, como se asentó en el acta circunstanciada

núm. ACF-B/104-17/18/01 de la misma fecha, para verificar que el sujeto fiscalizado haya

cumplido la Normatividad en materia de Administración de Recursos para las Delegaciones de

la Administración Pública del Distrito Federal (Circular Uno Bis 2015), la Ley de Gobierno

Electrónico del Distrito Federal, publicada en la Gaceta Oficial del Distrito Federal el

7 de octubre de 2015, lo dispuesto por la OM y demás normatividad relativa a la gobernanza de

TIC vigente en 2017. Al respecto, se determinó lo siguiente:

1. En su manual administrativo con registro núm. MA-17/011216-OPA-XOCH-15/010715-A1,

el órgano político-administrativo contó con tres procedimientos relacionados con la gestión

y gobernanza TIC y con 14 políticas de TIC internas, todos vigentes en 2017, de cuyo

análisis, se determinó lo siguiente:

15

a) En el análisis de la información proporcionada por el sujeto fiscalizado, se determinó

que un procedimiento y una política de TIC interna se ajustaron con lo establecido

en la Normatividad en materia de Administración de Recursos para las Delegaciones de

la Administración Pública del Distrito Federal (Circular Uno Bis 2015), vigente en 2017.

Asimismo, se verificó que dos procedimientos y 14 políticas de TIC internas se

ajustan a las Normas Generales que deberán observarse en materia de Seguridad

de la Información en la Administración Pública del Distrito Federal, publicadas en

la Gaceta Oficial del Distrito Federal el 9 de julio de 2007, vigente en 2017.

b) Se verificó que los 3 procedimientos y las 14 políticas de TIC internas se alinearon con

los controles generales de TIC que especifica la INTOSAI en el WGITA-IDI Handbook on

IT Audit for Supreme Audit Institutions (Manual del Grupo de Trabajo en Auditoría

TIC de la Iniciativa de Desarrollo de la INTOSAI, sobre Auditoría TIC para Instituciones

Superiores de Auditoría) de 2014 y en la ISSAI 5300, “Directrices sobre Auditoría

de TIC” de 2016, ambas publicadas, aprobadas y autorizadas por dicha organización

internacional.

Los procedimientos y políticas TIC internas, aplicadas por el órgano político-administrativo,

se muestran en la siguiente tabla:

Procedimiento o política interna de TIC Circular Uno Bis Normas

Generales Handbook on IT Audit

Procedimientos manual administrativo

“Baja de Equipo de Cómputo” X X


X X

“Desarrollo de Sistemas Informáticos” X X

Políticas TIC internas

“Del Equipo de Comunicaciones” X X

“De los Mantenimientos” X X

“Acceso a la Red de Datos” X X

“Del Crecimiento de la Red” X X

“Administración” X

“Seguridad de la Información” X X

“Acceso a Internet” X X

“Correo Electrónico Institucional” X X X

Continúa…

16

… Continuación

Procedimiento o política interna de TIC Circular Uno Bis Normas

Generales Handbook on IT Audit

“Uso de la Infraestructura Informática y de Comunicaciones”

X X

“Redes de Área Local” X X

“Sobre el Mantenimiento y Buen Uso de la Infraestructura” X X

“Desarrollo de Sistemas” X X

“Modificación y/o Ampliación de un Sistema” X X

“Alta, Modificación o Baja de Usuarios de un Sistema” X X

En el análisis de las respuestas al cuestionario y a las entrevistas realizadas al

personal de la Subdirección de Informática, se constató que el sujeto fiscalizado

dispuso de procedimientos y políticas TIC internas. Por ello, el órgano político-

administrativo cumplió el artículo 9, inciso II, de la Ley de Gobierno Electrónico del

Distrito Federal vigente en 2017.

2. Mediante el oficio núm. XOCH13/100/079/2017 del 17 de enero de 2017, se comunicó

la designación del Subdirector de Informática como vocal ante la Comisión de Gobierno

Electrónico de la Ciudad de México.

Se determinó que el sujeto fiscalizado contó con procedimientos relativos a la gobernanza

y gestión TIC en su manual administrativo y con políticas de TIC internas; y con un vocal

ante la Comisión de Gobierno Electrónico de la Ciudad de México.

Desarrollo y Adquisición de TIC

3. Resultado

De acuerdo con la Normatividad en materia de Administración de Recursos para las

Delegaciones de la Administración Pública del Distrito Federal (Circular Uno Bis 2015),

vigente en 2017, el Plan Estratégico de Tecnologías de la Información y Comunicaciones

(PETIC) es el instrumento de planeación estratégica del desarrollo de las tecnologías de la

información y comunicaciones que deberán realizar las Delegaciones de la Administración

Pública para alinear las acciones y proyectos en materia de informática al PGDDF 2013-2018.

Dicho instrumento es el fundamento para la adquisición y arrendamiento de bienes y servicios

informáticos y deberá registrarse ante la Dirección General de Gobernabilidad de Tecnologías

17

de la Información y Comunicaciones (DGGTIC), con el propósito de que se fundamenten

técnicamente las mencionadas adquisiciones, conforme a las políticas, normas, lineamientos

y procedimientos que para tal efecto emita la Dirección citada.

Con la finalidad que el sujeto fiscalizado haya aplicado y desempeñado la normatividad

relativa a desarrollo y adquisición de TIC establecidas por la OM y demás normatividad de

TIC aplicable, la ASCM solicitó al ente auditado, mediante el oficio núm. ACF-B/18/0657

del 2 de julio de 2018, la respuesta al cuestionario de TIC. Dicha respuesta fue proporcionada con

el oficio núm. XOCH13/DGA/2811/2018 del 13 de julio de 2018. Al respecto, se determinó

lo siguiente:

1. El órgano político-administrativo no registró, ni sometió para su aprobación el PETIC;

así como, tampoco informó de las adquisiciones ante la DGGTIC, por lo que incumplió

los numerales 9.3.3, 9.3.4, 9.3.5, 9.4.16 y 9.4.17 del punto 9, “Tecnologías de la Información

y Comunicaciones de la Administración Pública del Distrito Federal”, correspondiente

a la Normatividad en materia de Administración de Recursos para las Delegaciones de la

Administración Pública del Distrito Federal (Circular Uno Bis 2015), vigente en 2017,

que establece lo siguiente:

“9.3.3 El Plan Estratégico de Tecnologías de la Información y Comunicaciones (PETIC), es

el instrumento de planeación estratégica del desarrollo de las tecnologías de la información y

comunicaciones que deberán realizar las Delegaciones de la APDF para alinear las

acciones y proyectos en materia de informática al Programa General de Desarrollo del

Distrito Federal (PGDDF), en concordancia con el modelo de Gobierno Electrónico

contenido en el MEITIC. En el PETIC se referenciarán claramente las acciones en materia de

informática con el soporte hacia las acciones o políticas del PGDDF.”

“9.3.4 El PETIC es el fundamento para la adquisición y arrendamiento de bienes y servicios

informáticos que realicen las Delegaciones. El PETIC deberá ser registrado ante la

DGGTIC con el propósito de que se fundamenten técnicamente las mencionadas adquisiciones

del ejercicio presupuestal.”

“9.3.5 Las Delegaciones, a más tardar en el mes de febrero del año en curso, deberán

registrar el PETIC ante la DGGTIC y someterlo a su consideración para su aprobación.

El PETIC deberá realizarse conforme a las políticas, normas, lineamientos y procedimientos

18

que para tal efecto emita la DGGTIC, asimismo se deberá informar a la DGGTIC mediante

oficio la conclusión del registro del mismo, así como las modificaciones que sufra a lo largo

de su periodo de validez.”

“9.4.16 El Informe de Adquisición es el documento que deben presentar las Delegaciones a

través de las DGAD a la DGGTIC, cuando se hayan adquirido bienes o servicios informáticos

que han requerido o no dictamen técnico de la DGGTIC conforme a los numerales anteriores.

Dicho informe deberá presentarse con base en los formatos y medios que para tal efecto

sean definidos por la DGGTIC, conforme se publique en la página web de la OM. Los

requisitos para realizar el registro del Informe de Adquisición son los siguientes:

”I.- Ser enviado a la DGGTIC por el Vocal ante la CGEDF;

”II.- Requisitar los formatos establecidos de acuerdo al tipo de bien informático del que

se trata;

”III.- Realizar el registro de los datos del proveedor: Nombre o razón social, domicilio, RFC,

así como la descripción de bienes y costo total de la adquisición.”

“9.4.17 Es obligatorio que las Delegaciones registren el Informe de Adquisición ante la

DGGTIC una vez que hayan llevado a cabo la formalización de la adquisición de algún bien

o servicio informático en un lapso no mayor de 30 días hábiles posteriores a la firma

del contrato.”





el Director de Recursos Materiales y Servicios Generales del sujeto fiscalizado, informó que,

“debido a la restructuración de la Jefatura de Gobierno, ha sido imposible tener contacto

con el personal de la DGGTIC para solicitar las claves que darán acceso al PETIC (Plan

Estratégico de Tecnologías de la Información) e informar a esa DGGTIC la conclusión

del registro del mismo, así como las modificaciones que sufra a lo largo de su periodo de

validez.”

19

De lo anterior, se desprende que la Alcaldía Xochimilco no registró, ni sometió para su

aprobación el PETIC; así como, tampoco informó de las adquisiciones ante la DGGTIC, por

lo que la presente observación no se modifica.

2. Con objeto de verificar que el sujeto fiscalizado haya implementado y ejecutado en sus

sitios web el marco normativo de gobernanza de TIC, se realizaron inspecciones físicas y

pruebas sustantivas informáticas al centro de datos y al servidor. De lo anterior, se observó

que el centro de datos careció de un servidor propio que hospedara el sitio web del

órgano político-administrativo, pues se encuentra hospedado en un servidor externo.

Por lo anterior, el órgano político-administrativo incumplió la fracción V, del artículo 35

de la Ley de Gobierno Electrónico del Distrito Federal; así como, el numeral 9.6.14 de

la Normatividad en materia de Administración de Recursos para las Delegaciones de la

Administración Pública del Distrito Federal (Circular Uno Bis 2015), ambas vigentes en 2017,

que establecen:

“Artículo 35. La Administración Pública deberá contar con la infraestructura que le permita

aprovechar al máximo el uso de las tecnologías de la información y comunicaciones y

generar las condiciones de comunicación con los ciudadanos. Para tal efecto, deberá:

V. Procurar el uso de tecnologías que permitan la consolidación, eficiencia, eficacia y ahorro

en costos de transacción.”

“9.6.14 La OM, a través de la DGGTIC, proporcionará el servicio de hospedaje de sitios de

Internet a las Delegaciones que así lo soliciten.”

Se verificó que el nombre de dominio del sitio web del sujeto fiscalizado es

www.xochimilco.gob.mx, por lo que incumplió el numeral 9.6.8 de la Normatividad en

materia de Administración de Recursos para las Delegaciones de la Administración

Pública del Distrito Federal (Circular Uno Bis 2015), vigente en 2017, que establece:

“9.6.8 Todos los Sitios de Internet de la APDF deberán responder a un subdominio del

dominio ‘.df.gob.mx՚ y del dominio que indique la CGCS conforme a la imagen institucional.”



20



el Director de Recursos Materiales y Servicios Generales del sujeto fiscalizado informó que

“debido a la restructuración de la Jefatura de Gobierno, ha sido imposible tener contacto

con el personal de la DGGTIC para solicitar el servicio de hospedaje del sitio web de esta

Alcaldía y los requisitos para ello.” También informó que “en cuanto se tenga el hospedaje de

la página web de esta Alcaldía en la DGGTIC, la propia DGGTIC procederá a poner el

dominio correcto.”

Al respecto, se observó que la Alcaldía Xochimilco, en el centro de datos, careció de

un servidor propio que hospedara el sitio web del órgano político-administrativo y el

nombre de dominio del sitio web del sujeto fiscalizado es www.xochimilco.gob.mx, por

lo que la presente observación no se modifica.

3. Se realizó inspección y pruebas electrónicas al sitio web mismo, en las cuales, se observó

lo siguiente:

a) Dispuso de acceso a la información de cada trámite y servicio en un máximo de

tres pasos.

b) Contó con un apartado especial para trámites y servicios en el menú de navegación

principal del sitio.

c) Tiene un recuadro de información general sobre trámites y servicios.

d) Los datos de contacto no están siempre visibles en todas las páginas de trámites

y servicios.

e) Contó con un listado de los trámites y servicios más solicitados.

f) No tuvo ligas rotas o enlaces a archivos rotos.

De lo anterior se desprende que el sitio web oficial del órgano político-administrativo cumplió el

Manual de Identidad Gráfica para las Unidades de Atención Ciudadana (UNAC) publicado

en la Gaceta Oficial del Distrito Federal núm. 141 del 27 de julio de 2015, vigente en 2017, en lo

que respecta a navegación, puesto que se brinda de manera efectiva el servicio a la ciudadanía.

http://www.xochimilco.gob.mx/

21

El sitio web oficial cumple lo establecido en el UNAC; sin embargo, el sujeto fiscalizado no

registró, ni sometió para su aprobación el PETIC; así como, tampoco informó de las

adquisiciones ante la DGGTIC; asimismo, se verificó que el órgano político-administrativo

careció de un servidor propio en su centro de datos para el hospedaje de su sitio web.

Recomendación ASCM-104-17-1-XOC

Es necesario que la Alcaldía Xochimilco establezca mecanismos de supervisión para asegurarse

de registrar y someter para su aprobación el Plan Estratégico de Tecnologías de la Información y

Comunicaciones; así como, informar de las adquisiciones ante la Dirección General de

Gobernabilidad de Tecnologías de la Información y Comunicaciones, conforme la Normatividad

en materia de Administración de Recursos para las Delegaciones de la Administración

Pública del Distrito Federal (Circular Uno Bis 2015).



de que el centro de datos cuente con un servidor propio que hospede el sitio web del

órgano político-administrativo, de conformidad con la normatividad aplicable.



de que el sitio de internet del órgano político-administrativo responda a un subdominio del

dominio “.df.gob.mx”, conforme la Normatividad en materia de Administración de Recursos para

las Delegaciones de la Administración Pública del Distrito Federal (Circular Uno Bis 2015).

Continuidad del Servicio y Recuperación de Desastres

4. Resultado

De acuerdo con la Normatividad en materia de Administración de Recursos para las Delegaciones

de la Administración Pública del Distrito Federal (Circular Uno Bis 2015), vigente en 2017,

al planear la continuidad de las operaciones, se deben identificar y especificar desde un inicio

22

los requerimientos y controles de seguridad de la información; así como garantizar la

coordinación con el personal del sujeto fiscalizado y los contactos externos que participarán en

las estrategias de planificación de contingencias, asignando funciones para cada actividad

definida, con el objetivo de minimizar la interrupción de las operaciones y proteger los procesos

que se consideren críticos de los efectos de fallas importantes de los sistemas de información o

desastres, para asegurarse de su reanudación oportuna.

Con la finalidad de verificar que el sujeto fiscalizado haya establecido planes de mantenimiento

correctivo y preventivo a la infraestructura TIC, conforme a lo establecido con el marco normativo

de gobernanza TIC, la ASCM realizó una entrevista a servidores públicos adscritos a la

Subdirección de Informática del órgano político-administrativo el 28 de noviembre de 2018, así

como, inspecciones físicas, las cuales quedaron plasmadas en el acta circunstanciada

núm. ACF-B/104-17/18/01 de la misma fecha. Además, mediante el oficio núm. ACF-B/18/0657

del 2 de julio de 2018, se envió el cuestionario de TIC, del cual el órgano político-administrativo

proporcionó respuesta mediante el oficio núm. XOCH13/DGA/2811/2018 del 13 de julio de 2018.

De lo anterior, se desprende que el sujeto fiscalizado acreditó contar con el Plan de

Contingencia Informático de la Delegación Xochimilco, que tiene como objetivo: “Formular

un adecuado plan de contingencias, que permita la continuidad en los procedimientos

informáticos de la dependencia, así como enfrentarnos a fallas y eventos inesperados…”

Por lo tanto, cumplió lo establecido en el artículo 13, objetivo del apartado 11, “Continuidad de

las Operaciones” de las Normas Generales que deberán observarse en materia de Seguridad

de la Información en la Administración Pública del Distrito Federal.

Con el objetivo de verificar que el órgano político-administrativo haya incorporado y utilizado las

políticas de continuidad del servicio y recuperación de desastres establecidas por la OM,

y que los servicios electrónicos proporcionados por medio del sujeto fiscalizado hayan reflejado

la implementación y ejecución del marco normativo de gobernanza TIC, a fin de que la

infraestructura tecnológica del sujeto fiscalizado brindara servicio de manera ininterrumpida

a la ciudadanía, en alineación con las mejores prácticas y estándares TIC aplicables,

se realizaron inspecciones y pruebas sustantivas informáticas al centro de datos y a la

infraestructura tecnológica, para lo cual se determinó una muestra por verificar, la cual

se constituyó de la siguiente manera:

23

Número de equipos en la infraestructura TIC utilizada para servicios ciudadanos de la Alcaldía

Universo Muestra

Centro de datos

VUD CESAC Sitio web Centro

de datos VUD CESAC Sitio web

6 13 11 1 3 6 5 1

En la revisión de la muestra, se determinó lo siguiente:

1. Se identificó que el órgano político-administrativo dispuso de un centro de datos que

operó con seis servidores físicos, de los cuales se seleccionaron tres, acorde con la muestra

seleccionada. Dichos servidores contaron con las siguientes características técnicas:

Servidor Marca

y modelo Procesador Arquitectura Velocidad del reloj Núcleos

Memoria caché Tamaño Uso

Sistema operativo

Virtualización Dell R730 Intel Xeon E5-2600

64 bits 2.4 GHz 14 35 MB 32 GB Virtualización Linux CentOS 7

Virtualización Dell R730 Intel Xeon E5-2600

64 bits 2.4 GHz 14 35 MB 32 GB Virtualización Linux CentOS 7

Prueba Dell 6850 Intel Xeon 7100

64 bits 2.6 GHz 8 4 MB 4 TB Prueba y testeo de desarrollos

Linux CentOS 7

Por contar con un centro de datos que le permitiera aprovechar al máximo el uso de

TIC y generar las mejores condiciones de comunicación con los ciudadanos, el sujeto

fiscalizado cumplió lo establecido en el artículo 35, fracción I, de la Ley de Gobierno

Electrónico del Distrito Federal vigente en 2017.

Respecto de la entrevista realizada a los servidores públicos adscritos a la Subdirección de

Informática del órgano político-administrativo, así como de la inspección física, celebradas

mediante acta circunstanciada núm. ACF-B/104-17/18/01 del 28 de noviembre de 2018, se

observó que el centro de datos dispuso de energía eléctrica polarizada y aterrizada para

evitar que la infraestructura de TIC sufra daños en caso de alguna situación adversa,

en cumplimiento de lo establecido en el artículo 13, numeral 6, “Seguridad Física y del

Entorno”; subnumeral 6.2, “Seguridad del Equipamiento”, de las Normas Generales que

deberán observarse en materia de Seguridad de la Información en la Administración

Pública del Distrito Federal, vigente en 2017 y se alineó con la norma Building Industry

Consulting Service International (BICSI), en su apartado 9.9.1.

24

El órgano político-administrativo contó con el documento Plan de Contingencia Informático

de la Delegación Xochimilco, el cual está orientado a la identificación y calificación de

los riesgos, así como la evaluación del impacto en los procesos críticos y la creación

de estrategias de contingencias, en cumplimiento del numeral 11.1.1, “Planeación de

la Continuidad de las Operaciones”, de las Normas Generales que deberán observarse en

materia de Seguridad de la Información en la Administración Pública del Distrito Federal,

vigente en 2017, y se alineó con las mejores prácticas de Control Objectives for Information

and related Technology (COBIT 5), en el control DSS04.07.

El sujeto fiscalizado careció de una herramienta de monitoreo de redes que vigile los equipos

(hardware) y servicios (software), como los servidores, enrutadores y enlaces, a fin de detectar

actividades no autorizadas ni, en su caso, de procedimientos formales para que de forma

periódica se revisen las bitácoras de auditoría de los recursos críticos de TIC.

Por carecer de una herramienta de monitoreo de redes y procedimientos formales para que

de forma periódica se revisen las bitácoras de auditoría de los recursos críticos de TIC, el

órgano político-administrativo incumplió el artículo 13; numerales 7, “Seguridad de las

Operaciones”; 7.6, “Monitoreo de los Sistemas”; subnumeral 7.6.2, “Monitoreo de los Sistemas

y Recursos en Uso”, de las Normas Generales que deberán observarse en materia de

Seguridad de la Información en la Administración Pública del Distrito Federal vigente

en 2017, que establece:

“Se deben desarrollar procedimientos formales para que de forma periódica se revisen las

bitácoras de auditoría, de al menos los recursos críticos de TI, a fin de detectar actividades no

autorizadas. El análisis de riesgos y los requerimientos regulatorios, ayudan a determinar el

nivel de seguimiento necesario.”





el Director de Recursos Materiales y Servicios Generales del sujeto fiscalizado informó que

“la Subdirección de Informática tiene contemplado la adquisición de software de monitoreo

25

(PAESSLER PRTG5000), para los edificios de esta Alcaldía ‘Quetzalcóatl’ y ‘Gladiolas’, se

está en espera del techo presupuestal para proceder a dicha compra.”

Se observó que la Alcaldía Xochimilco careció de una herramienta de monitoreo de redes y

procedimientos formales para que de forma periódica se revisen las bitácoras de

auditoría de los recursos críticos de TIC, por lo que la presente observación no se modifica.

2. En la muestra de auditoría se analizaron cinco equipos utilizados en el Centro de Servicios y

Atención Ciudadana (CESAC), y seis en la Ventanilla Única Delegacional (VUD), cuyas

características técnicas se presentan a continuación:

Equipos en VUD

Equipos de cómputo Procesador Memoria RAM Disco duro

Marca modelo Procesador Arquitectura Velocidad de reloj

Núcleos Memoria

caché Tamaño Tipo Velocidad Tamaño Interfaz RPM

Velocidad de transferencia

Dell MSI L8-7521 Intel Core 2 Duo E8400

64 bits 3 GHz 2 6 MB 1 GB DDR2 400 MHz 160 GB SATA 3 Gbps

Lenovo OptiPlex 745

Intel Core 2 Duo E4400

64 bits 2 GHz 2 2 MB 2 GB DDR2 400 MHz 320 GB SATA 3 Gbps

Dell OptiPlex GX620

Intel Pentium 4 650

64 bits 3.4 GHz 1 2 MB 1 GB DDR2 400 MHz 80 GB ATA 1.5 Gbps

HP EliteDesk 705 G2MT

AMD PRO A8-8650B

64 bits 3.2 GHz 4 4 MB 8 GB DDR3 800 MHz 500 GB SATA 7200 6 Gbps

HP EliteDesk 705 G2SFF

AMD PRO A8-8650B


HP EliteDesk 800 G2TWR

Intel Core i7-6700

64 bits 3.4 GHz 4 8 MB 16 GB DDR4 1200.5 MHz 1 TB SATA 7200 6 Gbps

RPM: Revoluciones por minuto.

Equipos en CESAC

Equipos de cómputo Procesador Memoria RAM Disco duro

Marca modelo Procesador Arquitectura Velocidad del reloj

Núcleos Memoria

caché Tamaño Tipo Velocidad Tamaño Interfaz RPM

Velocidad de

transferencia

HP EliteDesk 705 SFF AMD PRO A8-8650 B


HP EliteDesk 705 SFF AMD PRO A8-8650B


HP EliteDesk 705 SFF AMD PRO A8-8650B


HP500-212la Intel Core i3-4130 64 bits 3.4 GHz 2 3 MB 4 GB DDR3 800 MHz 1 TB SATA 7200 6 Gbps

HP500-212la Interl Core i3-4130 64 bits 3.4 GHz 2 3 MB 4 GB DDR3 800 MHz 1 TB SATA 7200 6 Gbps

RPM: Revoluciones por minuto.

Con la finalidad de verificar que los equipos de VUD y CESAC dispusieran de energía

eléctrica polarizada y aterrizada que permitieran evitar daños en dichos equipos, se practicó

26

una entrevista a los servidores públicos adscritos a la Subdirección de Informática del

órgano político-administrativo, así como una inspección física, formalizadas mediante

acta circunstanciada núm. ACF-B/104-17/18/01 del 28 de noviembre de 2018. Al respecto,

se observó que el órgano político-administrativo contó con energía eléctrica polarizada y

aterrizada en los equipos, en cumplimiento del artículo 13; numeral 6, “Seguridad Física y del

Entorno”; subnumeral 6.2, “Seguridad del Equipamiento”, de las Normas Generales que

deberán observarse en materia de Seguridad de la Información en la Administración

Pública del Distrito Federal, vigente en 2017.

Por lo anterior, se determinó que el sujeto fiscalizado dispuso de un centro de datos que

le permite aprovechar al máximo el uso de TIC y generar las mejores condiciones de

comunicación con los ciudadanos; asimismo, acreditó contar con energía eléctrica polarizada y

aterrizada para evitar que la infraestructura de TIC sufriera daños en caso de alguna situación

adversa, además de contar con un plan de recuperación de desastres. Sin embargo, careció de

una herramienta de monitoreo o procedimientos formales que le permitiera supervisar los

recursos críticos de TIC.



de contar con una herramienta de monitoreo de redes y procedimientos formales para que de

forma periódica se revisen las bitácoras de auditoría de los recursos críticos de TIC, establecido

en las Normas Generales que deberán observarse en materia de Seguridad de la

Información en la Administración Pública del Distrito Federal.

Seguridad de la Información

5. Resultado

De acuerdo con la Asociación de Auditoría y Control de Sistemas de Información (Information

Systems Audit and Control Association, ISACA), la seguridad de la información es “la protección

de activos de información, a través del tratamiento de amenazas que ponen en riesgo la

información que es procesada, almacenada y transportada por los sistemas de información que

se encuentran interconectados”.

27

De acuerdo con las Normas Generales que deberán observarse en materia de Seguridad

de la Información en la Administración Pública del Distrito Federal, el objetivo de una política de

seguridad es establecer desde el más alto nivel de la administración la relevancia, el soporte, el

compromiso y la comunicación a todos los empleados y terceros con los que se interactúa, en

relación con la seguridad de la información, en consideración de los requerimientos institucionales

y el marco normativo aplicable.

Con la finalidad de verificar que el órgano político-administrativo haya establecido y aplicado las

políticas de seguridad TIC señaladas por la OM para salvaguardar los bienes informáticos

y la información gestionada, de acuerdo con los estándares, buenas prácticas y normas

de TIC aplicables, la ASCM realizó inspecciones físicas y una entrevista a servidores públicos

adscritos a la Subdirección de Informática del sujeto fiscalizado el 28 de noviembre 2018,

como se acordó en el acta circunstanciada núm. ACF-B/104-17/18/01 de la misma fecha.

Además, mediante el oficio núm. ACF-B/18/0657 del 2 de julio de 2018, se aplicó al sujeto

fiscalizado el cuestionario de TIC, al cual dio respuesta con el oficio

núm. XOCH13/DGA/2811/2018 del 13 de julio de 2018. Al respecto, se determinó lo siguiente:

1. De las respuestas al cuestionario, se observó que el sujeto fiscalizado dispuso de un

documento referente a políticas de seguridad de la información, denominado “Políticas de

Seguridad Informática”, el cual es de uso interno y cumple la Normatividad en materia

de Administración de Recursos para las Delegaciones de la Administración Pública del

Distrito Federal (Circular Uno Bis 2015), vigente en 2017.

2. En las inspecciones físicas de la infraestructura tecnológica del órgano político-administrativo,

se observó que éste, en el CESAC y la VUD no estableció una política documentada

de escritorio limpio y pantalla limpia, lo que puede derivar en un riesgo de accesos no

autorizados a dichos equipos, por lo que incumplió el artículo 13; numeral 8.3,

“Responsabilidad de Usuarios”; subnumeral 8.3.2, “Escritorio Limpio y Pantalla Limpia”, de

las Normas Generales que deberán observarse en materia de Seguridad de la Información

en la Administración Pública del Distrito Federal, vigente en 2017, que establece:

28

“Cuando el personal no se encuentre en su área de trabajo o se aleje por un tiempo

considerable, no debe dejar al alcance información sensible o confidencial en cualquier

forma (papel, dispositivos de memoria removibles, monitores de computadoras, entre otros).

”Se debe establecer una política de escritorio y monitor limpios para reducir el riesgo

de accesos y divulgación no autorizados, pérdida y daño de Información.”


Administración de la Alcaldía Xochimilco, en representación del titular del órgano

político-administrativo, mediante el oficio núm. XOCH13-DGA-537-2019 del 6 de febrero

de 2019, proporcionó el oficio núm. XOCH13/DRM/3651/2019 del 6 de febrero de 2019,

donde el Director de Recursos Materiales y Servicios Generales del sujeto fiscalizado

informó que “la Subdirección de Informática realizará la corrección a las políticas

internas de seguridad informática, en el rubro seguridad de la información, para

anexar la política de escritorio limpio y pantalla limpia y darla a conocer a todos los

usuarios de los equipos de cómputo de esta Alcaldía”.

La Alcaldía Xochimilco no estableció una política documentada de escritorio limpio

y pantalla limpia, lo que puede derivar en un riesgo de accesos no autorizados a dichos

equipos, por lo que la presente observación no se modifica.

Por lo anterior, se concluye que el sujeto fiscalizado acreditó contar con un documento

denominado “Políticas de Seguridad Informática”, el cual se constituye como una política de uso

interno. Sin embargo, no estableció una política de escritorio limpio y pantalla limpia.



de que se cuente con una política documentada de escritorio limpio y pantalla limpia, de

conformidad con las Normas Generales que deberán observarse en materia de Seguridad

de la Información en la Administración Pública del Distrito Federal.

29

RESUMEN DE OBSERVACIONES Y ACCIONES

Se determinaron cinco resultados, que generaron cinco observaciones, las cuales corresponden

a cinco recomendaciones.

También se determinó un resultado, que generó una observación, y se dará tratamiento a

la implementación del mecanismo que evite su recurrencia como parte del seguimiento

de la recomendación ASCM-79-16-1-XOC.

La información contenida en el presente apartado refleja las acciones derivadas de las

auditorías que hasta el momento se han detectado por la práctica de pruebas y procedimientos

de auditoría; sin embargo, podrían sumarse observaciones y acciones adicionales a las

señaladas, producto de los procesos institucionales, de la recepción de denuncias y de

las funciones de investigación y sustanciación a cargo de esta entidad de fiscalización

superior de la Ciudad de México.

JUSTIFICACIONES Y ACLARACIONES

La documentación proporcionada a esta entidad de fiscalización superior de la Ciudad de

México por el sujeto fiscalizado en la reunión de confronta fue analizada con el fin de determinar

la procedencia de desvirtuar o modificar las observaciones incorporadas por la Auditoría

Superior de la Ciudad de México en el Informe de Resultados de Auditoría para Confronta,

cuyo resultado se plasma en el presente Informe Individual, que forma parte del Informe

General Ejecutivo del Resultado de la Fiscalización Superior de la Cuenta Pública de la

Ciudad de México.

En atención a las observaciones señaladas, el sujeto fiscalizado remitió el oficio

núm. XOCH13-DGA-537-2019 del 6 de febrero de 2019, mediante el cual presentó información y

documentación con el propósito de atender lo observado; no obstante, derivado del

análisis efectuado por la unidad administrativa de auditoría a la información y documentación

proporcionada por el sujeto fiscalizado, se advierte que los resultados uno, tres, cuatro y

cinco se consideran no desvirtuados.

30

PERSONAS SERVIDORAS PÚBLICAS A CARGO DE REALIZAR LA AUDITORÍA

En cumplimiento del artículo 36, párrafo decimotercero, de la Ley de Fiscalización Superior

de la Ciudad de México, se enlistan los nombres y cargos de las personas servidoras

públicas de la Auditoría Superior de la Ciudad de México involucradas en la realización

de la auditoría:

Persona servidora pública Cargo

Fase de planeación

Mtro. Sergio Jesús González Muñoz Director General

Mtro. Edgar Alan Apantenco Belmont Director de Área

Mtra. María del Carmen Mendoza Arreola Subdirectora de Área

Fases de planeación y ejecución

L.C. María Guadalupe Xolalpa García Encargada del Despacho de la Dirección General

Mtro. Fidel López Gaona Subdirector de Área

L.A. Jorge Alejandro Jurado Rentería Jefe de Unidad Departamental

C.P. Víctor Erik Briseño Sánchez Auditor Fiscalizador “C”

Confronta y fase elaboración de informes

C.P. Adriana Julián Nava Directora General

Lic. Jaime Mundo Ortega Director de Área

Lic. Juan José Vera Figueroa Subdirector de Área

L.A. Jorge Alejandro Jurado Rentería Jefe de Unidad Departamental

C.P. Víctor Erik Briseño Sánchez Auditor Fiscalizador “C”

CXXI. I A R C P C M Enormativo de gobernanza de TIC es de interés para los habitantes de la...

Documents

Transcript of CXXI. I A R C P C M Enormativo de gobernanza de TIC es de interés para los habitantes de la...