SISTEMA DE TRANSPORTE

COLECTIVO METRO

FLORES HERNÁNDEZ JOSÉ MANUEL

GONZÁLEZ MORARES MAURICIO

LANDEROS ESCAMILLA JULIÁN

LAZCANO PÉREZ DIANA VANESSA

RUIZ ÁNGELES JUAN CARLOS

 AUDITORÍA DE TECNOLOGÍAS DE INFORMACIÓN

RESUMEN EJECUTIVO

ENTIDAD

Servicio Público de Sistema Colectivo Metro.

REFERENCIA

Auditoría de Tecnologías de Información.

INFORME

K3/IP05/S12

OBJETIVO

Verificar que los sistemas de información coadyuvan a los objetivos de la institución.

OBJETO

El objeto de auditoría comprende los siguientes sistemas informáticos relacionados con el proceso de pago de rentas del
Sistema de Transporte Colectivo metro STC, que se detallan a continuación:

SISTEMAS INFORMÁTICOS
ANEXO 15
DPINFO
DUODECIMAS
INICIO TRÁMITES VEJEZ
MÓDULO DE ABONO AUTOMÁTICO
PADME
PAGO DOM
RENAPEVI
REPOSICIONES
REVERSIONES
SISTEMA NOVEDADES NOVA
CRENTA
DESIN
SISP –SISP PROCESO

ALCANCE

El periodo de evaluación comprende el proceso de pago de planillas, efectuado durante el periodo enero de 2021 a abril de
2021. La evaluación se ha realizado en el marco de las Normas de Auditoria Gubernamental vigentes durante la auditoria,
específicamente la NAG 270.
RESULTADOS

Como resultado se han emitido 12 recomendaciones con el propósito de minimizar los riesgos y eliminar las causas
detectados que afectan a: la integridad y confiabilidad de la información gestionada por el STC, el cumplimiento del
ordenamiento jurídico administrativo por parte de los sistemas informáticos, la seguridad de la infraestructura tecnológica
y la confiabilidad y desempeño de los sistemas de comunicación.

Las recomendaciones emitidas son las detalladas a continuación:

1. SOBRE LA INTEGRIDAD Y CONFIABILIDAD DE LA BASE DE DATOS

R1. Implantar políticas y procedimientos para que la base de datos contenga controles que garanticen la integridad,
completitud y totalidad de la información. Estas políticas y procedimientos deben incluir el establecimiento de:

- El modelo de la arquitectura de la información,

- El diccionario de datos,

- La administración de la integridad.

R2. Implementar políticas y procedimientos que garanticen mantener actualizada toda la documentación técnica de las
bases de datos (modelo entidad relación, modelo relacional, diccionario de datos y otros que se considere
pertinentes), de forma tal que no se vuelvan a presentar las deficiencias detectadas en el presente informe.

R3. Actualizar la documentación técnica de la base de datos, de forma tal que esta documentación sea comprensible y útil
para los funcionarios del STC usuarios de la misma, ya sean usuarios finales del sistema así como para el personal
técnico de la Unidad de Tecnologías de Información, concordantes con las políticas y procedimientos implantados
en R2.

R4. Eliminar de la base de datos todas las tablas que contienen datos que no son parte de las estructuras del modelo de
datos.

2. SOBRE LAS POLÍTICAS Y PROCEDIMIENTOS DE SEGURIDAD

R5. Depurar los usuarios del Active Directory, tomando en cuenta únicamente a los usuarios activos del STC.

R6. Implantar políticas y procedimientos de seguridad para la gestión de usuarios del STC acorde a las necesidades de la
Entidad, tomando en cuenta que se subsanen las deficiencias detectadas en el presente informe y que permita
mantener la confidencialidad, la integridad y la disponibilidad de la información. Además, que contemplen la
administración de los roles y privilegios que se pueden conceder a los usuarios, y que estos roles y privilegios estén
acorde con las funciones y responsabilidades de los servidores públicos usurarios de los sistemas informáticos y la
infraestructura tecnológica. Asimismo, que se establezca claramente la segregación de responsabilidades entre
quienes solicitan, autorizan y conceden los privilegios
R7. Implantar políticas y procedimientos para el establecimiento y gestión de logs o pistas de auditoría que considere el
establecimiento de logs para la información sensible de la base de datos, las actividades de los usuarios a través del Active Directory
y los dispositivos de la infraestructura tecnológica de STC, tomando en cuenta que se subsanen las deficiencias detectadas en el
presente informe y que permita mantener la integridad y la disponibilidad de la información y de los dispositivos de la infraestructura
tecnológica.

R8. Implantar políticas y procedimientos de seguridad para la gestión de respaldos, establecimiento de planes de
contingencia y recuperación de desastres que contemplen un análisis de riesgos tecnológicos y el análisis de
vulnerabilidades en el STC, considerando se subsanen las deficiencias detectadas en el presente informe y que esté
acorde a las necesidades de la Entidad, y que permita mantener la disponibilidad de la información y de los
dispositivos de la infraestructura tecnológica.

R9. Implementar un cableado estructurado certificado en las instalaciones del STC, conforme a los parámetros del estándar
ANSI/TIA/EIA/568-B, identificando los puntos de comunicación de cada usuario y su conexión a la red interna y
la forma de resguardar el cableado.

3. SOBRE LOS PROCESOS Y CONTROLES INMERSOS EN EL SOFTWARE DE APLICACIÓN

R10. Implantar políticas y procedimientos para el desarrollo de las aplicaciones, que consideren todo el ciclo de vida de las
aplicaciones. Estas políticas y procedimientos deben considerar aspectos como: estándares de codificación de
software, normas de nomenclatura; formatos de archivos, estándares de diseño para esquemas y diccionario de
datos; estándares para la interfaz de usuario; interoperabilidad; eficiencia de desempeño de sistemas; escalabilidad;
estándares para desarrollo y pruebas; validación contra requerimientos; control de versión de las aplicaciones;
planes de pruebas; y pruebas unitarias, de regresión y de integración, concordantes con las buenas prácticas
recomendadas por COBIT. Asimismo, estas políticas y procedimientos deben considerar que indistintamente si se
desarrolla o se adquiere el desarrollo por terceros (consultoría externa), la propiedad intelectual del sistema debe
pertenecer a la Entidad, y en consecuencia, toda la documentación técnica relativa al análisis, diseño, desarrollo e
implementación del sistema debe pertenecer a la Entidad.

R11. Modificar los sistemas desarrollados y adquiridos por el STC, adicionando los controles detallados de aplicación para
el ingreso de datos a la base de datos a través de las aplicaciones con la validación de campos y que los datos que
se espera procesar se reciben y procesan completamente de manera que se pueda garantizar la integridad y
confiabilidad de la información almacenada y procesada.

R12. Implantar políticas y procedimientos para garantizar que las novedades reportadas a la DGPOT para el procesamiento
de las platillas del Sistema de Transporte Colectivo Metro sean automatizadas, de forma tal se elimine el riegos de
materialización de errores cometidos por la intervención humana en el procesamiento.