SISTEMA DE TRANSPORTE

COLECTIVO METRO

FLORES HERNÁNDEZ JOSÉ MANUEL

GONZÁLEZ MORARES MAURICIO

LANDEROS ESCAMILLA JULIÁN

LAZCANO PÉREZ DIANA VANESSA

RUIZ ÁNGELES JUAN CARLOS

 AUDITORÍA DE TECNOLOGÍAS DE INFORMACIÓN

RESUMEN EJECUTIVO

ENTIDAD

Servicio Público de Sistema Colectivo Metro.

REFERENCIA

Auditoría de Tecnologías de Información.

INFORME

K3/IP05/S12

OBJETIVO

Verificar que los sistemas de información coadyuvan a los objetivos de la institución.

OBJETO

El objeto de auditoría comprende los siguientes sistemas informáticos relacionados con el proceso de pago de rentas del
Sistema de Transporte Colectivo metro STC, que se detallan a continuación:

SISTEMAS INFORMÁTICOS
ANEXO 15
DPINFO
DUODECIMAS
INICIO TRÁMITES VEJEZ
MÓDULO DE ABONO AUTOMÁTICO
PADME
PAGO DOM
RENAPEVI
REPOSICIONES
REVERSIONES
SISTEMA NOVEDADES NOVA
CRENTA
DESIN
SISP –SISP PROCESO

ALCANCE

El periodo de evaluación comprende el proceso de pago de planillas, efectuado durante el periodo enero de 2021 a abril de
2021. La evaluación se ha realizado en el marco de las Normas de Auditoria Gubernamental vigentes durante la auditoria,
específicamente la NAG 270.
RESULTADOS

Como resultado se han emitido 12 recomendaciones con el propósito de minimizar los riesgos y eliminar las causas
detectados que afectan a: la integridad y confiabilidad de la información gestionada por el STC, el cumplimiento del
ordenamiento jurídico administrativo por parte de los sistemas informáticos, la seguridad de la infraestructura tecnológica
y la confiabilidad y desempeño de los sistemas de comunicación.

Las recomendaciones emitidas son las detalladas a continuación:

SOBRE LA INTEGRIDAD Y CONFIABILIDAD DE LA BASE DE DATOS

R1. Implantar políticas y procedimientos para que la base de datos contenga controles que garanticen la integridad,
completitud y totalidad de la información. Estas políticas y procedimientos deben incluir el establecimiento de:

- El modelo de la arquitectura de la información,

- El diccionario de datos,

- La administración de la integridad.

R2. Implementar políticas y procedimientos que garanticen mantener actualizada toda la documentación técnica de las
bases de datos (modelo entidad relación, modelo relacional, diccionario de datos y otros que se considere
pertinentes), de forma tal que no se vuelvan a presentar las deficiencias detectadas en el presente informe.

R3. Actualizar la documentación técnica de la base de datos, de forma tal que esta documentación sea comprensible y útil
para los funcionarios del STC usuarios de la misma, ya sean usuarios finales del sistema así como para el personal
técnico de la Unidad de Tecnologías de Información, concordantes con las políticas y procedimientos implantados
en R2.

R4. Eliminar de la base de datos todas las tablas que contienen datos que no son parte de las estructuras del modelo de
datos.

2. SOBRE LAS POLÍTICAS Y PROCEDIMIENTOS DE SEGURIDAD

R5. Depurar los usuarios del Active Directory, tomando en cuenta únicamente a los usuarios activos del STC.

R6. Implantar políticas y procedimientos de seguridad para la gestión de usuarios del STC acorde a las necesidades de la
Entidad, tomando en cuenta que se subsanen las deficiencias detectadas en el presente informe y que permita
mantener la confidencialidad, la integridad y la disponibilidad de la información. Además, que contemplen la
administración de los roles y privilegios que se pueden conceder a los usuarios, y que estos roles y privilegios estén
acorde con las funciones y responsabilidades de los servidores públicos usurarios de los sistemas informáticos y la
infraestructura tecnológica. Asimismo, que se establezca claramente la segregación de responsabilidades entre
quienes solicitan, autorizan y conceden los privilegios
R7. Implantar políticas y procedimientos para el establecimiento y gestión de logs o pistas de auditoría que considere el
establecimiento de logs para la información sensible de la base de datos, las actividades de los usuarios a través del Active Directory
y los dispositivos de la infraestructura tecnológica de STC, tomando en cuenta que se subsanen las deficiencias detectadas en el
presente informe y que permita mantener la integridad y la disponibilidad de la información y de los dispositivos de la infraestructura
tecnológica.

R8. Implantar políticas y procedimientos de seguridad para la gestión de respaldos, establecimiento de planes de
contingencia y recuperación de desastres que contemplen un análisis de riesgos tecnológicos y el análisis de
vulnerabilidades en el STC, considerando se subsanen las deficiencias detectadas en el presente informe y que esté
acorde a las necesidades de la Entidad, y que permita mantener la disponibilidad de la información y de los
dispositivos de la infraestructura tecnológica.

R9. Implementar un cableado estructurado certificado en las instalaciones del STC, conforme a los parámetros del estándar
ANSI/TIA/EIA/568-B, identificando los puntos de comunicación de cada usuario y su conexión a la red interna y
la forma de resguardar el cableado.

3. SOBRE LOS PROCESOS Y CONTROLES INMERSOS EN EL SOFTWARE DE APLICACIÓN

R10. Implantar políticas y procedimientos para el desarrollo de las aplicaciones, que consideren todo el ciclo de vida de las
aplicaciones. Estas políticas y procedimientos deben considerar aspectos como: estándares de codificación de
software, normas de nomenclatura; formatos de archivos, estándares de diseño para esquemas y diccionario de
datos; estándares para la interfaz de usuario; interoperabilidad; eficiencia de desempeño de sistemas; escalabilidad;
estándares para desarrollo y pruebas; validación contra requerimientos; control de versión de las aplicaciones;
planes de pruebas; y pruebas unitarias, de regresión y de integración, concordantes con las buenas prácticas
recomendadas por COBIT. Asimismo, estas políticas y procedimientos deben considerar que indistintamente si se
desarrolla o se adquiere el desarrollo por terceros (consultoría externa), la propiedad intelectual del sistema debe
pertenecer a la Entidad, y en consecuencia, toda la documentación técnica relativa al análisis, diseño, desarrollo e
implementación del sistema debe pertenecer a la Entidad.

R11. Modificar los sistemas desarrollados y adquiridos por el STC, adicionando los controles detallados de aplicación para
el ingreso de datos a la base de datos a través de las aplicaciones con la validación de campos y que los datos que
se espera procesar se reciben y procesan completamente de manera que se pueda garantizar la integridad y
confiabilidad de la información almacenada y procesada.

R12. Implantar políticas y procedimientos para garantizar que las novedades reportadas a la DGPOT para el procesamiento
de las plantillas del Sistema de Transporte Colectivo Metro sean automatizadas, de forma tal se elimine el riegos de
materialización de errores cometidos por la intervención humana en el procesamiento.
 SISTEMA DE TRANSPOTR COLECTIVO METRO (STC)

AUDITORÍA DE TECNOLOGÍAS DE INFORMACIÓN

INFORME N.º K3/IP05/S12

1. ANTECEDENTES
El 4 de septiembre de 1969, la primera línea del Metro (llamado así por el término “tren metropolitano”), la 1, o
popularmente conocida como la rosa, comenzó a correr hacia el este y el oeste desde Zaragoza hasta Chapultepec y contó
con 16 estaciones y 12.6 kilómetros de extensión.
Fue en la década de 1950 cuando se propuso por primera vez la idea del Metro, la población de la Ciudad de México era
más pequeña que ahora, pero el sistema de autobuses y tranvías estaba muy tenso.
El 29 de abril de 1967, se publicó, en el Diario Oficial de la Federación, el decreto presidencial que crea el Sistema de
Transporte Colectivo, con los Juegos Olímpicos de 1968 a la vuelta de la esquina.
En junio de 1967, en el cruce de la avenida Chapultepec con la calle de Bucareli se inauguró los trabajos de la obra civil más
grande de la historia de México.

2. DESCRIPCIÓN DE LA ENTIDAD
En base al Decreto de Creación publicado en abril de 1967 y vigente en julio de 2007. El STC es un Organismo Público
Descentralizado, cuyo objeto es la operación y explotación de un tren rápido, movido por energía eléctrica, con recorrido
subterráneo, de superficie y elevado para dar movilidad principalmente a usuarios de la Ciudad de México y la zona
Metropolitana del Valle de México.

CON BASE EN EL ESTATUTO ORGÁNICO DEL SISTEMA DE TRANSPORTE COLECTIVO

ARTÍCULO 2
El Sistema de Transporte Colectivo es un Organismo Público Descentralizado de la Administración Pública Paraestatal de
la Ciudad de México, con personalidad jurídica y patrimonio propios, de conformidad con la Ley, que tiene por objeto la
realización de las actividades que expresamente le confiere su Decreto de Creación.

ARTÍCULO 3
Para el cumplimiento de su objeto, el Sistema de Transporte Colectivo conducirá sus actividades en forma programada, con
base en las políticas que establezca el Consejo de Administración para el logro de los objetivos y prioridades del Programa
General de Desarrollo y de los Programas Sectoriales e Institucionales que se deriven del mismo y a las asignaciones de
gasto y financiamiento autorizados, en los términos del artículo 67 de la Ley.

ARTÍCULO 4
Por su naturaleza jurídica y en los términos del artículo 47 de la Ley, la Entidad goza de autonomía de gestión para el cabal
cumplimiento de su objetivo, y de los objetivos y metas señalados en sus programas; en tal virtud, para el estudio, planeación
y despacho de los asuntos y actos administrativos que les competen conforme a las leyes aplicables en la materia.

DECRETO POR EL QUE SE CREA EL ORGANISMO PÚBLICO DESCENTRALIZADO “SISTEMA DE TRANSPORTE COLECTIVO”, PARA
CONSTRUIR, OPERAR Y EXPLOTAR UN TREN RÁPIDO CON RECORRIDO SUBTERRÁNEO Y SUPERFICIAL, PARA EL TRANSPORTE
COLECTIVO EN EL DISTRITO FEDERAL
ARTÍCULO 1
Se instituye un organismo público descentralizado con personalidad jurídica y patrimonio propios, que se denominará
"Sistema de Transporte Colectivo", con domicilio en el Distrito Federal y cuyo objeto será la construcción, mantenimiento,
operación y explotación de un tren con recorrido subterráneo, superficial y elevado, para el transporte colectivo de
pasajeros en la Zona Metropolitana de la Ciudad de México, áreas conurbadas de ésta y del Estado de México, así mismo,
dicho Organismo tiene por objeto la adecuada explotación del servicio público de transporte colectivo de personas mediante
vehículos que circulen en la superficie y cuyo recorrido complemente el del tren subterráneo. De igual manera, el referido
Organismo tendrá la atribución de prestar servicios de asesoría técnica a Organismos Nacionales e Internacionales en el
ámbito de su competencia.

ARTÍCULO 2
El patrimonio del "Sistema de Transporte Colectivo" se constituirá con los inmuebles, numerario, muebles y demás bienes
que le destine y entregue el Departamento del Distrito Federal, así como los que el propio Organismo adquiera en el futuro.

ARTÍCULO 21
La Dirección General tendrá a su cargo la conducción, organización, control y evaluación del Organismo, conforme al
presente Estatuto y a las demás disposiciones aplicables, a fin de que todas las actividades se realicen con eficiencia, eficacia
y productividad, contando para ello con las siguientes facultades y obligaciones:

I. Ejecutar los acuerdos y resoluciones del Consejo de Administración, así como administrar y representar
legalmente al Organismo en todos los actos que requieran su intervención.
II. Formular los programas institucionales, el Programa Operativo Anual y los Presupuestos de Ingresos y Egresos
del Organismo y las modificaciones que se hagan a los mismos y presentarlos ante el Consejo de Administración
dentro de los plazos correspondientes, así como todos aquellos asuntos que sean de la competencia del mismo.
III. Formular los programas de organización, reorganización y/o modernización de la Entidad.
IV. Establecer los procedimientos y métodos de trabajo para que las funciones se realicen de manera articulada,
congruente y eficaz.
V. Establecer los sistemas de control necesarios para alcanzar las metas y objetivos propuestos.

VI. Establecer sistemas eficientes para la administración del personal, de los recursos financieros y de los bienes y
servicios que aseguren la prestación de los servicios de la Entidad.
VII. Establecer y mantener un sistema de estadísticas que permita determinar los indicadores de gestión de la
Entidad.
VIII. Presentar periódicamente al Consejo de Administración el informe del desempeño de las actividades de la
Entidad.

IX. Suscribir, en su caso, las Condiciones Generales de Trabajo del Sistema de Transporte Colectivo y los
nombramientos de las personas servidoras públicas subalternas.
X. Asistir a las sesiones del Consejo con voz informativa y deberá ser citado para ellas.
XI. Proponer al Consejo de Administración las políticas y estrategias para la operación y desarrollo del Organismo.
XII. Someter a la consideración del Consejo de Administración los proyectos de reformas al Estatuto Orgánico y a
los reglamentos inherentes a la administración y operación del Organismo, así como los relativos a la elaboración
o actualización de su Manual Administrativo.
XIII. Expedir los manuales administrativo y de servicios al público, a efecto de que las funciones asignadas a las
distintas áreas del Organismo, se realicen de manera congruente y eficaz.
XIV. Proponer al Consejo de Administración el nombramiento o remoción de las y los titulares de las Subdirecciones
Generales y Direcciones de Área del Organismo.
XV. Definir e implantar las medidas necesarias para el mejoramiento técnico administrativo y del servicio del Sistema.
XVI. Ejercer las facultades que mediante acuerdos y disposiciones generales le delegue el Consejo de Administración,
para la mejor conducción del Organismo.
XVII. Establecer las directrices para la integración y funcionamiento de los órganos colegiados legalmente constituidos
en el Organismo, presidir aquellos que le señale la normatividad vigente, o bien designar expresamente a una
persona representante, así como dictar las medidas tendientes a su óptima operación; y
XVIII. Las que se señalen en otras leyes, reglamentos, decretos, acuerdos y demás disposiciones administrativas
aplicables.

ARTÍCULO 20
La representación legal de la Entidad estará depositada en la o el titular de la Dirección General, quien sin perjuicio
de las facultades que le otorguen otras leyes, ordenamientos o estatutos, en los términos del artículo 54 de la
Ley, estará facultado expresamente para:

I. Celebrar y otorgar toda clase de actos y documentos inherentes a su objeto.

II. Ejercer las más amplias facultades de dominio, administración, pleitos y cobranzas, aún de aquellas que
requieran de autorización especial, según otras disposiciones legales o reglamentarias con apego a la
Ley y al presente Estatuto Orgánico.
III. Emitir, avalar y negociar títulos de crédito;
IV. Formular querellas y otorgar perdón;
V. Ejercitar y desistirse de acciones judiciales inclusive del juicio de amparo;
VI. Comprometer asuntos en arbitraje y celebrar transacciones;
VII. Otorgar poderes generales y especiales con las facultades que le competan, entre ellas las que requieran
autorización o cláusula especial. Para el otorgamiento y validez de estos poderes, bastará la
comunicación oficial que la o el titular de la Dirección General expida al mandatario.
VIII. Sustituir y revocar poderes generales o especiales; y

IX. Colaborar y proporcionar toda la información que se requiera en términos de la legislación aplicable
para la debida integración, operación y seguimiento del Sistema Anticorrupción de la Ciudad de México,
y las demás que se requieran en términos de la legislación de la materia para el combate a la corrupción.
La o el titular de la Dirección General ejercerá las facultades a que se refieren las fracciones II, III, VI, y
VII, bajo su responsabilidad y dentro de las limitaciones que señale este Estatuto Orgánico.
3. OBJETIVOS Y ALCANCE

I. OBJETIVO GENERAL
Verificar que los sistemas de información coadyuvan a los objetivos de la institución.

II. OBJETIVOS ESPECÍFICOS

OBJETIVO ESPECÍFICO 1
Verificar si la información procesada y almacenada en la base de datos correspondiente al proceso de pago de plantillas
del Sistema Colectivo del STC es integra y confiable.

OBJETIVO ESPECÍFICO 2
Verificar cómo el STC garantiza la seguridad de la información y la existencia de controles de confiabilidad y
desempeño de los sistemas de comunicación en el proceso de pago de plantillas del Sistema Colectivo, para asegurar
la confidencialidad, integridad y disponibilidad de la información.

OBJETIVO ESPECÍFICO 3
Verificar la eficacia de los procesos y controles inmersos en las aplicaciones seleccionadas que se utilizan en el proceso
de pago de plantillas del Sistema Colectivo del STC; y que el diseño conceptual de éstos cumpla con el ordenamiento
jurídico administrativo.

III. ALCANCE

IV. OBJETO
El objeto de auditoría comprende los siguientes sistemas informáticos relacionados con el proceso de pago de rentas
del Sistema de Reparto en el SENASIR, que se detallan a continuación:

SISTEMAS INFORMÁTICOS
ANEXO 15
DPINFO
DUODECIMAS
INICIO TRÁMITES VEJEZ
MÓDULO DE ABONO AUTOMÁTICO
PADME
PAGO DOM
RENAPEVI
REPOSICIONES
REVERSIONES
SISTEMA NOVEDADES NOVA
CRENTA
DESIN
SISP –SISP PROCESO
4. SUJETO
Sistema de Transporte Colectivo Metro (STC)

5. ENFOQUE Y PERIODO
Conforme a los objetivos definidos corresponde aplicar los siguientes enfoques:
 Enfoque a la Información.
 Enfoque al Software de Aplicación.
 Enfoque de Comunicaciones y Redes.
 Enfoque a la Seguridad.
El periodo de evaluación comprende el proceso de pago de planillas, efectuado durante el periodo Enero de 2021 a Febrero
de 2021.
La evaluación se ha realizado en el marco de las Normas de Auditoria Gubernamental vigentes durante la auditoria,
específicamente la NAG 270.

6. ORDENAMIENTO JURÍDICO ADMINISTRATIVO, NORMAS LEGALES Y TÉCNICAS

Para la realización de la auditoria, se tomó en cuenta la siguiente normativa legal y técnica:
MARCO JURÍDICO DE ACTUACIÓN
I. ESTATUTOS
Estatuto Orgánico del Sistema de Transporte Colectivo y su última reforma el 27 de Febrero de 2015.

II. LINEAMIENTOS
Lineamientos para la implementación de Unidades de Igualdad Sustantiva y su vigilancia en la Administración Pública
de la Ciudad de México y su última reforma el 9 de Noviembre de 2016.

III. CRITERIOS
Criterios para la evaluación de las competencias profesionales y ocupación de los puestos que integran las Unidades
de Igualdad Sustantiva en los Órganos de la Administración Pública de la Ciudad de México y su última reforma el 29
de Agosto de 2017.

IV. DECRETOS
Decreto por el que se crea el organismo público descentralizado “Sistema de Transporte Colectivo”, para construir,
operar y explotar un tren rápido con recorrido subterráneo y superficial, para el transporte colectivo en el Distrito
Federal y su última reforma el 13 de Julio de 1992.

 Ley Ambiental de Protección a la Tierra en el Distrito Federal.

 Ley Constitucional de Derechos Humanos y sus Garantías de la Ciudad de México.
 Ley de Adquisiciones para el Distrito Federal.
 Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público.
 Ley de Amparo, Reglamentaria de los artículos 103 y 107 de la Constitución Política de los Estados Unidos
Mexicanos.
 Ley de Archivos del Distrito Federal.
 Ley de Atención Prioritaria para las personas con Discapacidad y en Situación de Vulnerabilidad en la Ciudad de
México.
 Ley de Auditoría y Control Interno de la Administración Pública de la Ciudad de México.
 Ley de Austeridad, Transparencia en Remuneraciones, Prestaciones y Ejercicio de Recursos de la Ciudad de
México.
 Ley de Ciencia y Tecnología
 Ley de Ciencia y Tecnología e Innovación del Distrito Federal.
 Ley de Comercio Exterior.
 Ley de Concursos Mercantiles.
 Ley de Cultura Cívica de la Ciudad de México.
 Ley de Desarrollo Urbano del Distrito Federal
 Ley de Disciplina Financiera de las Entidades Federativas y los Municipios.
 Ley de Entrega Recepción de los Recursos de la Administración Pública de la Ciudad de México.
 Ley de Fiscalización Superior de la Ciudad de México.
 Ley de Operación e Innovación Digital para la Ciudad de México.
 Ley de Ingresos de la Ciudad de México para el Ejercicio Fiscal 2019.
 Ley de Instituciones de Seguros y de Fianzas.
 Ley de Inversión Extranjera.
 Ley de Justicia Administrativa de la Ciudad de México
 Ley de la Accesibilidad para la Ciudad de México.
 Ley de la Comisión de Derechos Humanos del Distrito Federal.
 Ley de la Industria Eléctrica (antes del Servicio Público de Energía Eléctrica)
 Ley de la Propiedad Industrial.
 Ley de la Sala Constitucional del Poder Judicial de la Ciudad De México, Reglamentaria del Artículo 36 de la
Constitución Política de la Ciudad de México.
 Ley de los Derechos de las Personas Adultas Mayores de la Ciudad de México.
 Ley de los derechos culturales de los habitantes y visitantes de la Ciudad de México.
 Ley de los Sistemas de Ahorro para el Retiro
 Ley de Movilidad del Distrito Federal.
 Ley de Obras Publicas del Distrito Federal.
 Ley de Obras Públicas y Servicios Relacionados con las Mismas
 Ley de Participación Ciudadana del Distrito Federal.
 Ley de Planeación del Desarrollo del Distrito Federal.
 Ley de Premios, Estímulos y Recompensas Civiles
 Ley de Austeridad, Transparencia en Remuneraciones, Prestaciones y Ejercicio de Recursos de la Ciudad de
México.
 Ley de Procedimiento Administrativo de la Ciudad de México.
 Ley de Protección de Datos Personales en posesión de sujetos obligados de la Ciudad de México.
 Ley de Residuos Sólidos del Distrito Federal.
 Ley de Responsabilidad Patrimonial del Distrito Federal
 Ley de Responsabilidades Administrativas de la Ciudad de México.
 Ley de Salud del Distrito Federal.
 Ley de Seguridad Pública del Distrito Federal.
 Ley de Transparencia y Acceso a la Información Pública y de rendición de cuentas de la Ciudad de México.
 Ley del Impuesto al Valor Agregado.
 Ley del Impuesto sobre la Renta.
 Ley del Instituto de Seguridad y Servicios Sociales de los Trabajadores del Estado.
 Ley del Notariado para el Distrito Federal.
 Ley del Régimen Patrimonial y del Servicio Público
 Ley del Servicio Público de Carrera de la Administración Pública del Distrito Federal.
 Ley del Sistema Anticorrupción de la Ciudad de México.
 Ley del Sistema de Alerta Social de la Ciudad de México.
 Ley de Gestión Integral de Riesgos y Protección Civil de la Ciudad de México.
 Ley Federal de Derechos.
 Ley Federal de los Trabajadores al Servicio del Estado, Reglamentaria del Apartado B) del Artículo 123
Constitucional.
 Ley General de Responsabilidades Administrativas.
 Ley Federal de Transparencia y Acceso a la Información Pública.
 Ley Federal del Derecho de Autor.
 Ley Federal sobre Metrología y Normalización.
 Ley General de Bienes Nacionales.
 Ley General de Transparencia y Acceso a la Información Pública.
 Ley General del Equilibrio Ecológico y la Protección al Ambiente.
 Ley General del Sistema Nacional de Seguridad Pública.
 Ley Orgánica del Poder Ejecutivo y de la Administración Pública de la Ciudad de México.
 Ley General del Sistema Nacional Anticorrupción.
 Ley Orgánica de la Fiscalía Especializada en Combate a la Corrupción de la Ciudad de México.
 Ley Orgánica de la Secretaria de Seguridad Pública del Distrito Federal.
 Ley Orgánica del Consejo Nacional de Ciencia y Tecnología.
 Ley Orgánica del Tribunal de lo Contencioso Administrativo del Distrito Federal.
 Ley Orgánica del Poder Judicial de la Ciudad de México.
 Ley Orgánica del Tribunal de Justicia Administrativa de la Ciudad de México
 Ley para el Desarrollo del Distrito Federal como Ciudad Digital y del Conocimiento
 Ley para el Desarrollo Económico del Distrito Federal.
 Ley de Operación e Innovación Digital para la Ciudad de México.
 Ley para la integración al desarrollo de las personas con discapacidad de la Ciudad de México.
 Ley que regula el uso de la fuerza de los cuerpos de Seguridad Pública del Distrito Federal.
 Ley Registral para la Ciudad de México.
7. FUENTES DE CRITERIOS DE EVALUACIÓN

I. El documento “Objetivos de Control para la información y la Tecnología relacionada (COBIT), es un conjunto de

mejores prácticas para el manejo de información creado por la “Asociación para la Auditoría y Control de Sistemas
de Información (ISACA), y el “Instituto de Administración de las Tecnologías de la Información (ITGI).

II. Independientemente de la realidad tecnológica de cada caso concreto, COBIT determina, con el respaldo de las
principales normas técnicas internacionales, un conjunto de mejores prácticas para la seguridad, la calidad, la
eficacia y la eficiencia en Tecnología de la Información (TI) que son necesarias para alinear TI con el negocio,
identificar riesgos, entregar valor al negocio, gestionar recursos y medir el desempeño, el cumplimiento de metas
y el nivel de madurez de los procesos de la organización.

III. Los conceptos teóricos del modelo entidad relación y del modelo relacional de bases de datos. Estos conceptos
permiten analizar los modelos de datos de la base de datos del STC, la cual esta implementada en Microsoft SQL
Server 2008 que es un gestor de bases de datos relacional. Los mencionados modelos permiten describir los
componentes de la base de datos y su relación con el sistema de información para el cual existen. Entre los
conceptos teóricos que comprenden estos modelos, se establece la necesidad de contar con las definiciones de
llave primaria para las tablas que componen la base de datos LA EXISTENCIA DE LLAVES PRIMARIAS PERMITE
GARANTIZAR LA INTEGRIDAD DE ENTIDAD y las definiciones de llave foránea para establecer las relaciones que
deben existir entre las tablas LA EXISTENCIA DE LLAVES FORÁNEAS PERMITE GARANTIZAR LA INTEGRIDAD
REFERENCIAL. Asimismo, la conceptualización de la base de datos utilizando el modelo entidad relación, permite
garantizar la integridad semántica de la base de datos.

 COBIT, en inglés: Control Objectives for Information and related Technology.

 ISACA, en inglés: Information Systems Audit and Control Association
 ITGI, en inglés: IT Governance Institute

 En las bases de datos relacionales, se entiende por llave primaria a una columna o conjunto de columnas de una tabla que identifica de forma única a una
fila o registro de la tabla y no puede tener valores nulos.
 La integridad de entidad, en el contexto de bases de datos relacionales, se refiere a que en las tablas debe existir un campo o conjunto de campos que
identifican de manera única e inequívoca a cada registro de la tabla. La ausencia de integridad de entidad influye negativamente en la confiabilidad de la
información, ya que posibilita la existencia de registros duplicados en las tablas de la base de datos, que pueden ocasionar confusiones y errores en la
exposición de la información.
 En las bases de datos relacionales, la integridad referencial se logra con la implementación de llaves foráneas; y se entiende por llave foránea a una columna
o conjunto de columnas de una tabla, definidas con los mismos tipos de datos y longitudes de la columna que conforman la llave primaria o clave única de
otra tabla, para crear una relación que permita, en la tabla que contiene la llave foránea, referirse de forma inequívoca a los datos que se encuentran en el
registro de la tabla que contiene la llave primaria o clave única.
 La integridad referencial es una propiedad de las bases de datos. Gracias a la integridad referencial se garantiza que una entidad (fila o registro de una
tabla) siempre se relaciona con otras entidades válidas, es decir, que existen en la base de datos. Implica que en todo momento dichos datos sean correctos,
sin repeticiones innecesarias, datos perdidos y relaciones mal resueltas. La ausencia de integridad referencial influye negativamente en la confiabilidad de la
información, debido a que es posible ingresar datos que no guardan relación con la información válida que contiene la base de datos.
 La Integridad Semántica en una base de datos se refiere a que la información almacenada en esta debe reflejar el comportamiento de la realidad, es decir,
son propiedades del mundo real que modelan la base de datos. La ausencia de integridad semántica puede ocasionar que la información que se obtenga de
la base de datos no sea consistente con la realidad.
IV. Estándar ANSI/TIA/EIA/568-B, el cual promueve el diseño e implementación de sistemas de cableado
estructurado para edificios y entre edificios.

V. El ordenamiento jurídico administrativo siguiente:

I. Representar al Sistema de Transporte Colectivo, en toda clase de juicios, incluyendo los asuntos
contenciosos administrativos, laborales, civiles, mercantiles, agrarios o de cualquier otra naturaleza, en
todas y cada una de sus etapas, incluyendo sin limitar la promoción de todas aquellas pruebas, alegatos,
recursos y medios de impugnación que procedan para la defensa de los intereses del Organismo;
intervenir en toda clase de actos que puedan afectar su interés jurídico; presentar los desistimientos
que procedan; así como en los juicios de amparo: a) Intervenir como delegado en términos del artículo
9° de la Ley de Amparo; b) Actuar en representación de las unidades administrativas del Sistema
señaladas como autoridades responsables en términos del artículo 9° de la Ley de Amparo; c) Actuar
en representación del Sistema de Transporte Colectivo, cuando éste tenga el carácter de quejoso.

II. Formular ante el Ministerio Público del fuero común o federal, querellas y denuncias, así como
constituirse en coadyuvante del Ministerio Público y otorgar el perdón en los casos en que proceda.

III. Representar al Sistema de Transporte Colectivo en los trámites y procedimientos legales ante
dependencias, organismos autónomos, entidades y federales o de la Ciudad de México, y en su caso,
estatales y municipales.

IV. Presentar a la Dirección General la normatividad que habrá de observarse en el ejercicio de la delegación
de facultades.

V. Remitir a las autoridades que correspondan las disposiciones del Organismo que deban publicarse en
la Gaceta Oficial de la Ciudad de México o cuando se requiera de difusión nacional en el Diario Oficial
de la Federación, así como difundir los acuerdos de la Dirección General que no requieran ser publicados
en estos medios.

VI. Expedir copias certificadas, previo cotejo de los documentos originales, reproducciones de microfilm,
medios magnéticos, digitales, electrónicos o magneto ópticos que obren en los expedientes de las áreas
del Organismo, cuando deban ser exhibidas por las personas servidoras públicas del Sistema de
Transporte Colectivo, en toda clase de procedimientos administrativos y judiciales o ante los órganos
de control, o a petición formal de sus unidades administrativas.

VII. Compilar y divulgar las leyes, reglamentos, decretos, acuerdos, circulares y demás instrumentos
jurídicos que se relacionen con el ámbito de competencia del Organismo.
VIII. Proponer a la Dirección General, los proyectos de reformas que permitan mantener actualizado el
Decreto de Creación del Sistema de Transporte Colectivo, para que se sometan a la consideración de
la o el Jefe de Gobierno, por conducto de la Consejería Jurídica y de Servicios Legales de la Ciudad de
México.

IX. Representar al Sistema ante las organizaciones sindicales legalmente constituidas y reconocidas por la
autoridad competente, así como ante cualquier otra agrupación de las y los trabajadores del STC.

X. Coordinar la ejecución de los programas de trabajo y acciones orientadas a preservar la documentación

que ampare la propiedad de los inmuebles que conforman el patrimonio inmobiliario del Sistema de
Transporte Colectivo.

XI. Tramitar y dar seguimiento ante las dependencias competentes, a las resoluciones para la incorporación
y desincorporación de bienes que integran el patrimonio del Sistema de Transporte Colectivo.

XII. Gestionar ante las dependencias de la Administración Pública de la Ciudad de México la asignación o
destino de bienes inmuebles para el servicio del Organismo.

XIII. Participar en los órganos colegiados del Organismo que determine el Consejo de Administración o la
Dirección General, de conformidad con lo establecido en el presente Estatuto.

XIV. Participar de acuerdo con sus atribuciones en las comisiones y comités legalmente constituidos en el
Organismo.

XV. Atender conforme a las disposiciones legales, las consultas de las unidades administrativas, acerca de
la vigencia o prescripción de derechos laborales del personal del Organismo, para efectuar el pago o el
cobro de remuneraciones omitidas.

XVI. Asesorar a las áreas del Sistema de Transporte Colectivo, para la determinación de las sanciones a que
se haga acreedor el personal del Organismo, conforme a las disposiciones reglamentarias.

XVII. Iniciar, substanciar y resolver los procedimientos administrativos de suspensión, rescisión, revocación
e inconformidad y, en general, todos aquellos que tiendan a crear, modificar o extinguir derechos u
obligaciones derivados de resoluciones que dicte el Organismo, con excepción de aquellos que hubiesen
sido encomendados a otras unidades administrativas.

XVIII. Revisar, validar y custodiar los convenios, contratos y sus modificaciones, así como los demás actos
consensuales en que intervenga el Sistema, para cumplir con los requerimientos legales que deban
observar las demás áreas del Organismo.

XIX. Desahogar las consultas de carácter jurídico que le formulen los titulares de las distintas áreas del
Organismo.
 XX. Registrar los instrumentos normativos que emitan la Dirección General y las unidades administrativas
del Organismo, así como los nombramientos que expida el titular del STC.

XXI. Certificar de acuerdo con las disposiciones aplicables, los documentos que con carácter devolutivo
presenten los participantes en las licitaciones públicas, invitaciones restringidas y adjudicaciones
directas que realice el Organismo, a fin de cubrir los requerimientos de las diferentes áreas del Sistema
de Transporte Colectivo.

XXII. Auxiliar a la Dirección General, dentro de la esfera de su competencia, en las tareas de carácter legal
relacionadas con la conducción del Organismo.

XXIII. Someter a la consideración de la Dirección General los criterios para la formulación, ejecución y
evaluación de la política laboral del Organismo.

XXIV. Diseñar las estrategias y políticas de las relaciones laborales, para someterlas a consideración de la
Dirección General.

XXV. Establecer los mecanismos de comunicación y coordinación con las áreas del Organismo, para recibir
y desahogar las solicitudes de información pública; asimismo, coordinarse con la Dirección de Medios,
para la actualización y difusión de la información que el Sistema de Transporte Colectivo debe publicar
en su sitio oficial de Internet, en cumplimiento a lo dispuesto por la Ley de Transparencia, Acceso a la
Información Pública y Rendición de Cuentas de la Ciudad de México; y

XXVI. Las demás que le atribuyan las disposiciones legales y administrativas aplicables y las que le
encomiende la Dirección General.

8. METODOLOGÍA
I. METODOLOGÍA PARA LA CONSECUCIÓN DEL OBJETIVO ESPECÍFICO 1
Con el propósito de verificar si la información procesada y almacenada en la base de datos del STC
correspondiente al proceso de pago de plantillas del Sistema de Transporte Colectivo, es íntegra y confiable, se
consideró como criterio de evaluación el objetivo de control “PO2 Definir la Arquitectura de la Información”, el
cual menciona, entre otros, la necesidad de contar con un modelo de arquitectura de información, el diccionario
de datos empresarial y administración de la integridad. En este entendido, el modelo de datos del STC, por ser
una base de datos relacional (SQL server), está conformado por el modelo entidad relación y el modelo relacional,
en los cuales se establece los criterios de integridad de entidad, integridad referencial e integridad semántica de
la base de datos.

En este entendido, las metodologías y técnicas aplicadas para recabar evidencia respecto éste objetivo específico
se describen a continuación:
A) Se verificó la existencia y se revisó el contenido de los documentos técnicos proporcionados por el STC correspondientes
al modelo conceptual de la base de datos (modelo entidad relación), modelo lógico de la base de datos (modelo relacional)
y el diccionario de datos.

B) Se verificó la integridad referencial en la base de datos, para el efecto, se verificó si todas las llaves foráneas de cada tabla
secundaria coinciden con la llave primaria que se encuentra en las tablas padre. Se consideró las definiciones de llave
foránea definidas en el modelo físico de la base de datos así como las definiciones consensuadas como válidas con el
personal responsable de Base de Datos del STC.

C) Se verificó la integridad semántica, para el efecto, se verificó que cada atributo (columna) de las tablas es consistente por
el tipo de dato del atributo y el dominio definido para el atributo es consistente con la realidad del sistema de información,
ante la carencia de la documentación técnica del modelo conceptual de la base de datos.

D) Se verificó la integridad de entidad, para el efecto, se verificó que cada fila de cada tabla de la base de datos posea una llave
primaria o clave única definida y que la misma no sea nula; además, se verificó que estas definiciones sean concordantes
con los modelos de datos proporcionados por la entidad.

E) Se revisó que la integridad referencial definida en la base de datos respecto a las tablas está controlada por el motor de
base de datos, y esto responde a los modelos definidos en la documentación técnica de los módulos del sistema.

F) Se verificó que la información contenida en la base de datos, referida al proceso de pago de plantillas del Sistema de
Transporte Colectivo, es integra respecto de los conceptos relacionados con dicho proceso.

II. METODOLOGÍA PARA LA CONSECUCIÓN DEL OBJETIVO ESPECÍFICO 2

Las metodologías y técnicas aplicadas para recabar evidencia respecto al objetivo específico 2 se describen a
continuación:

A) Se revisó si las aplicaciones proporcionan un mecanismo de autenticación a los usuarios basado en al menos un
identificador único para cada usuario y una contraseña confidencial, además se verificó si existe controles para los
nombres de usuarios, duplicidad de usuarios y contraseñas como ser: longitud de caracteres, suspensión de la cuenta a
cierto número de intentos fallidos al crear una sesión, tiempo de expiración, etc.

B) Se verificó los niveles de acceso y los roles asignados a los usuarios para el acceso a los sistemas y si éstos están
debidamente establecidos y descritos en un procedimiento implantado.

C) Se verificó qué planes de contingencia o de continuidad del negocio aplica el STC.

D) Se verificó las pistas de auditoría o logs de eventos.

E) Se verificó los controles de acceso al servidor de base de datos, servidores de servicios (Web, correo electrónico,
directorio activo) y servidor de aplicaciones.

F) Se verificó qué mecanismos de encriptación para proteger la información que está en tránsito aplica el STC.

G) Se verificó qué políticas aplica el STC para el uso de los recursos tecnológicos.

H) Se verificó cómo el STC garantiza la disponibilidad de los canales de comunicación entre redes del STC (monitoreo,
controles de comunicación).

III. METODOLOGÍA PARA LA CONSECUCIÓN DEL OBJETIVO ESPECÍFICO 3

Las metodologías y técnicas aplicadas para recabar evidencia respecto al objetivo específico 3 se describen a
continuación:

A) Se revisó la documentación técnica de los sistemas informáticos objeto de la evaluación.

B) Se verificó la eficacia de los procesos y controles inmersos en las aplicaciones y si estos contienen controles detallados
incorporados respecto al ingreso de datos de todos los campos utilizados en la alimentación de información al sistema, a
efectos de que el diseño conceptual de éstas cumpla con el ordenamiento jurídico administrativo.

C) Se analizó la consistencia de la información correspondiente al procesamiento del pago de las planillas del Sistema de
Transporte Colectivo.

9. TÉCNICAS APLICADAS
Para la consecución de los objetivos específicos y la aplicación de las metodologías planteadas para cada uno de ellos, se
aplicaron las siguientes técnicas:

I. Revisiones documentales; que consisten en obtener información escrita o digital, para verificar y corroborar la
veracidad mediante la comprobación y la confirmación.

II. Técnicas de Auditoría Asistidas por Computador; que se refiere a las técnicas de auditoría que contemplan
herramientas informáticas.

10. LIMITACIONES
No se ha verificado la existencia de controles de aplicación inmersos en el aplicativo RENAPEVI, que realiza el Registro
Nacional de Pensiones Vitalicias para Beneméritos y Viudas de la Guerra del Chaco, debido a que la aplicación instalada por
funcionarios del STC en los servidores de la GETIC presenta defectos de instalación que impiden su funcionamiento.
11. RESULTADOS
Resultados de la evaluación de la integridad y confiabilidad de la base de datos
A continuación se expone el hallazgo relacionado con el objetivo específico 1 referido a verificar si la información
procesada y almacenada en la base de datos correspondiente al proceso de pago de planillas del Sistema de
Transporte Colectivo del STC es integra y confiable.
El objetivo de control de COBIT “PO2 DEFINIR LA ARQUITECTURA DE LA INFORMACIÓN” y los correspondientes
objetivos de control detallados mencionados como criterios para la evaluación, y su contextualización en el marco
de la realidad de las operaciones del STC y el objetivo de la evaluación, se explican a continuación:

I. El objetivo de control detallado PO2.1 MODELO DE ARQUITECTURA DE INFORMACIÓN EMPRESARIAL se

considera en virtud de que la información almacenada y gestionada en la base de datos debe responder a
un modelo de datos diseñado para adecuarse a la información utilizada en las operaciones de la entidad. En
este entendido, el modelo de datos que se espera exista en el STC, por ser una base de datos relacional
(SQL server), está conformado por el modelo entidad relación y el modelo relacional, en los cuales se
establece los criterios de integridad de entidad, integridad referencial e integridad semántica de la base de
datos.

II. El objetivo de control detallado PO2.2 DICCIONARIO DE DATOS EMPRESARIAL Y REGLAS DE SINTAXIS DE
DATOS se considera en virtud de que la información almacenada en la base de datos debe estar descrita en
un diccionario de datos.

III. El objetivo de control detallado PO2.4 ADMINISTRACIÓN DE INTEGRIDAD se considera en virtud de que para
garantizar la integridad y consistencia de los datos almacenada en los medios electrónicos (bases de datos,
discos duros, medios ópticos o cualquier otro medio de almacenamiento de datos digitales) es necesario
contar con procedimientos debidamente formalizados para el efecto.