j5f. m/ /jm&lc · de "mantenimiento anual del software aleph" para el periodo del 01...
TRANSCRIPT
room JUDICIAL DE LA FEDERAC10N •I t lo
,.;oRH: u t � \ "' .�
... i..i'' '"::t•\•..r�
ACO 18 5 13 fH t�I.'
� · t ' e
CONTRALORÍA
J!REGC:f::.-N GL :;:: Ciudad de México, a 17 de agosto de 2017.
LIC. ENRIQUE GAMEROS HIDALGO MONROY DIRECTOR GENERAL DE TECNOLOGÍAS DE LA INFORMACIÓN DE LA SUPREMA CORTE DE JUSTICIA DE LA NACIÓN P R E S E N T E
En cumplimiento al Programa Anual de Control y Auditoría 2017, aprobado por el H. Comité de Gobierno y Administración, el 19 de enero de 2017 se emitió, a través del oficio CSCJN/021/2017, la orden para practicar la revisión correspondiente a la evaluación del desempeño de la Dirección General de Tecnologías de la Información (DGTI) de la Suprema Corte de Justicia de la Nación (SCJN), por el periodo del 1 de enero al 31 de diciembre de 2016.
Con fundamento en el punto 11.3, apartado "Informe de auditoría", numeral 2, último párrafo de la Guía General de Auditoría1, se presenta el informe número DED/2017/14, de cuyas recomendaciones se otorga un plazo de 1 O días hábiles contados a partir del día siguiente de la recepción del presente para remitir la documentación e información que solvente las recomendaciones emitidas.
l. OBJETIVO
Verificar el grado de eficiencia, eficacia y economía con que se lograron los resultados de la gestión para los procesos denominados "Seguridad informática y administración de riesgos", "Desarrollo y mantenimiento de sistemas jurisdiccionales" y "Atención a servicios informáticos y de comunicaciones".
11. ALCANCE
- Se aplicó cuestionario de control al 54% del personal de la DGTI.
- Se revisaron los informes trimestrales del "Reporte Avance Físico-Financiero" de la DGTI.
- Se analizó y verificó el cumplimiento de las metas programadas por la DGTI.
- Se evaluó el 43% de los procedimientos establecidos para la DGTI, específicamente los procesos denominados "Seguridad informática y administración de riesgos", "Desarrollo y mantenimiento de sistemas jurisdiccionales" y "Atención a servicios informáticos y de comunicaciones".
J5f. M/ /JM&lC 1 p1·i rm presentado �pr la Dirección General de Auditoria será autorizado por el Contralor, quien lo enviará al superior jerárquico del órgano ud1tado. al titular de dicho órgano y a las instancias que en cada caso se requiera."
111. OBSERVACIONES
ESTRUCTURA ORGÁNICA
Uno. De la comparación de la estructura orgánico - ocupaciona l , vigente a parti r del 1 6 de marzo de 20 1 6 , autorizada med iante oficio OM/246/20 1 6 del 24 de mayo de 20 1 6 , con la publ icada en la pág ina de transparencia de la Suprema Corte de J usticia de la Nación (SCJ N) , se determ inó lo sigu iente :
a) Las mod ificaciones ocurridas con la reestructuración orgánico - ocupacional mencionada no se muestran en la representación gráfica de la estructura orgánica publ icada en la pág ina de transparencia , ya que no señalan el cambio de adscripción y denominación de la ahora "Subd i rección de comun icaciones lóg icas" , así como, e l cambio de adscripción de la "Jefatura de departamento de redes y enlaces" .
b) De la comparación de la estructura orgán ica ocupacional actua l izada a d iciembre de 20 1 6 , pub l icada en la pág ina de transparencia de la SCJ N , con lo asentado por los servidores púb l icos en los cuestionarios de control que se apl icaron en los meses de enero y febrero de 20 1 7 , se observó que las áreas de adscripción y subord inación no coinciden con lo señalado por 21 servidores públ icos adscritos a la D i rección Genera l .
Lo anterior, no cumple con lo estab lecido en el a rtícu lo 70 de la Ley Genera l de Transparencia y Acceso a la I nformación Púb l ica , que d ispone:
''Artículo 70. En la Ley Federal y de las Entidades Federativas se contemplará que los sujetos obligados pongan a disposición del público y mantengan actualizada, en los respectivos medíos electrónicos, de acuerdo con sus facultades, atribuciones, funciones u objeto social, según corresponda, la información, por lo menos, de los temas, documentos y políticas que a continuación se señalan:
[. . .]
11. Su estructura orgánica completa, en un formato que permita vincular cada parte de la estructura /as atribuciones y responsabilidades que le corresponden a cada servidor público, prestador de servicios profesionales o miembro de los sujetos obligados. de conformidad con /as disposiciones aplicables."
Al respecto , med iante el oficio número DGTl/DAPTl-1 432-20 1 7 , la DGTI informa que "no es la responsable de actualizarla, asimismo se informa que se consultó el 16 de junio, identificando que dicha representación gráfica ya se encuent'.a actualizada".
De lo anterior, esta Dirección General toma en cuenta lo señalado por la DGTI , no obstante , cabe aclarar que aun cuando no son los responsables de actua l izar los cambios estructurales a los que hub iera lugar, es conven iente que verifique que d ichos cambios se l leven a cabo en t iempo y forma en las d iversas plataformas.
2
Recomendación correctiva.
1 . 1 El titu lar de la D i rección General de Tecnolog ías de la I nformación deberá instru ir a qu ien corresponda para que mantengan actua l izados el organ ig rama y estructura orgán ica ocupaciona l .
MANUALES ADMINISTRATIVOS
Dos.
Manual de Organización. El Manual de Organ ización Específico (MOE) de la D i rección General identifica 3 áreas
principa les: Sistemas informáticos, Servicios e I nfraestructura Tecnológ ica , de las cua les , med iante una muestra se revisó el cumpl im iento de las funciones señaladas en él , determinándose lo s igu iente :
• La Subd i rección Genera l de Sistemas I nformáticos (SGSI ) t iene, entre otras, la s igu iente función:
"Dar seguimiento a los contratos de servicios propios de la Subdirección General a cargo"
Ésta la rea l iza med iante un control a través de entregables , los cuales son exped ientes que contienen la documentación soporte de las contrataciones , siendo un total de 8 contratos a cargo de la SGS I. De la revisión a los m ismos se determinó que:
1 . Los responsables de va l idar las facturas no tienen la tota l idad de la documentación soporte, como son los contratos, facturas va l idadas, reportes periód icos, entre otros . De igual forma, se observó que el control uti l izado no permite conocer la información relativa a los contratos de manera ág i l , como son vigencia , montos , así como los servicios y/o b ienes contratados, por lo que no se tiene la certeza de un adecuado segu imiento al cumpl imiento de d ichos contratos .
2. En 4 casos, a propuesta de la DGTI , el Comité de Adqu isiciones y Servicios , Obras y Desincorporaciones (CASOD) autorizó los pagos anticipados , por lo que éstos se rea l izaron previo a la conclusión del periodo contratado; no obstante , no se identificó evidencia suficiente y competente que perm itieran conocer que los servicios pagados por anticipado , efectivamente se recib ieron , toda vez que en los oficios enviados a la D i rección Genera l de Recursos Materia les contienen la leyenda "la factura . . . se va l ida técnicamente , en virtud de que los servicios fueron recibidos a entera satisfacción" , lo cua l en el supuesto de algún incumpl imiento por parte de las empresas contratadas, no son sujetas de la penal ización correspond iente, como son los sigu ientes casos:
El 1 2 de abri l de 20 1 6 se real izó el va l idación de la factura A72067 con fecha de emisión del 25 de marzo de 20 1 6 , referente a los servicios de "Actua l ización ,
3
manten im iento , soporte técn ico del Software SAP" por el periodo de enero a d iciembre de 20 1 6 , con la empresa SAP México , S .A. de C .V. , por un total de $5 ,960 ,84 1 .46 pesos ($322 , 1 27 .55 USO, IVA inclu ido). E l pago se rea l izó en jun io de 20 1 6 .
La val idación de la factura 3257 1 con fecha del 1 5 de d iciembre de 20 1 5 , por concepto de "Manten imiento Anual ATEB COF ID I " se elaboró el 27 de enero de 20 1 6 , por e l periodo del 27 de marzo de 20 1 5 a l 26 de marzo de 201 6 , con la empresa ATEB Servicios , S .A. de C .V. , por un tota l de $1 2 ,506 .64 pesos, IVA inclu ido . E l pago de la m isma se l levó a cabo en septiembre de 201 6 .
La va l idación de la factura 0343 emitida del 1 5 de noviembre de 20 1 6 , p"or concepto de "Manten imiento Anual del Software ALEPH" para el periodo del 0 1 de septiembre de 20 1 6 al 3 1 de agosto de 20 1 7 , con el proveedor Grupo Sistemas Lóg icos , S .A. de C.V. , por un tota l de $943 , 7 1 8 .66 pesos (45 ,729 .45 USO, IVA inclu ido) , se efectuó el 1 4 de d iciembre de 20 1 6 . Cabe mencionar que el pago de la misma se rea l izó en febrero de 20 1 7 .
E l 26 de febrero de 20 1 6 se val idó la factura 1 02 con fecha de emisión del 1 7 de febrero de 20 1 6 , por concepto de "Servicio de soporte y Mantenimiento para la l icencia de software SmartLogic Semaphore" por el periodo de enero a d iciembre de 20 1 6 , con la empresa JWM Solutions Grupo, S .A. de C.V. , por un tota l de $567 , 527.66 pesos ($32 ,6 1 0 . 1 6 USO, IVA inclu ido) . E l pago se h izo en marzo de 20 1 6 .
En consecuencia , no se cuenta con evidencia suficiente y competente de un adecuado contro l por parte de la SGS I , que asegure y sustente la supervisión de los servicios recib idos , toda vez que fueron pagados por anticipado , el cumpl im iento y la recepción de los servicios de acuerdo a los térm inos contratados, en beneficio de este Alto Tribunal .
• La Dirección de I nnovación Tecnológ ica (D IT) tiene a su cargo las funciones de:
"Administrar los recursos humanos que servirán de apoyo a las áreas de desarrollo, a fin de racionalizar los recursos en los diferentes proyectos que se requieran", y
"Desarrollar reportes, componentes y/o sistemas que sean compartidos y reutilizados por los sistemas en operación, a fin de estandarizar y homologar funcionalidad similar'';
No obstante , no se contó con evidencia de la rea l ización de d ichas funciones por esa Dirección de área.
• La Dirección de Atención a Usuarios (DAU) tiene la función de
"f. laborar e implementar los lineamientos para el uso y aprovechamiento de los equipos de cómputo de oficina y periféricos".
De conformidad a los señalado por el área aud itada , los l ineamientos para el uso y aprovechamiento de los equ ipos de cómputo de oficina y periféricos , se encuentran
-1�/JNf 4
dentro del Acuerd o Genera l de Admin istración IV/2008, s in embargo se observó que en el capítulo tercero , se trata ún icamente del uso y cuidado y no se estab lecen las acciones para el aprovechamiento de los equ ipos. Aunado a que la función emiti r un Lineamiento específico es puntual para la D i rección de Atención a Usuarios
La DGTI ind icó , con el oficio número DGTl/DAPTl-1 432-201 7 del 1 9 de jun io de 201 7 , en lo que respecta a las atribuciones de la SGSI que "En cada caso se cuenta con la información del seguimiento que se da a cada proyecto, tales como: avisos del vencimiento del servicio al área solicitante, dictamen de calidad del servicio, justificación para la continuidad del servicio, entre otros documentos que amparan el seguimiento y tratamiento para cada caso en específico. Se cuenta con reportes de la recepción de los servicios para el seguimiento de Jos contratos, reportes de validación de servicios ofrecidos por los proveedores, y reportes de validación de los servicios generados por personal de la Dirección General de Tecnologías de la Información".
En relación a las atribuciones de la D i rección de I nnovación Tecnológica; "en lo correspondiente a la primera función, Ja DIT en conjunto con la Subdirección General de Sistemas Informáticos inició el programa para el seguimiento de las actividades de los desarrolladores, en los reportes mensuales y reporte de actividades diarias que se realizan por cada uno del personal; se inició el análisis e implementación de la primera versión de la herramienta para la administración (se adjunta manual}, con un primer alcance para el registro de proyectos y actividades. En lo correspondiente a la función de desarrollar reportes y componentes, se informa que a la fecha se han realizado diversas reuniones de trabajo para la adopción de los mencionados componentes y el seguimiento de difusión de nuevas herramientas".
Respecto a la atribución de la D i rección de Atención a Usuarios ind icó que "los lineamientos señalados están incorporados al Nuevo AGA, considerando todos los aspectos que motivaron su observación y anexando extracto de los mismos".
De lo anterior, se toma en consideración lo expresado por la DGTI , no obstante, no se local izaron los controles establecidos para l levar el puntual seg uimiento de los sigu ientes servicios:
a) D ig i logics , S .A. de C .V. , p lan de soporte y manten imiento preventivo y,
b) JWM Solut ions Grupo, S .A. de C .V. , servicio de soporte y manten im iento para la l icencia de software Smartlog ic Semaphore .
Respecto a la DAU , no se proporcionó evidencia de l i neamientos específicos para el uso y aprovechamiento de los b ienes i nformáticos.
Manual de procedimientos.
Se anal izó el Manua l de Proced im ientos vigente para 20 1 6 específicamente en lo referente a los procesos de "Atención a servicios informáticos y de comunicaciones", "Desarrollo y mantenimiento de sistemas jurisdicciones" y "Seguridad Informática y Administración de Riesgos"; también se sol icitó a la DGTI que proporcionara copia de los procedimientos vigentes en 2 1 6 los cuales entregó el 27 de enero de 20 1 7 con el oficio DGTl/DAPTl-248-20 1 7 , en
5
formato Word , s in fi rmas de autorización , i nformando que éstos se encontraban en proceso de revisión por parte de la DGRH IA, s in proporcionar evidencia de su envío . De lo anterior, se observó lo sig u iente:
Aclaraciones de la
No. Proceso Procedimiento* Código Fecha de Proporcionados
Observaciones DGTI (oficio No.
elaboración por la DGTI DGTl/DAPTl-1432-I• 2017)
Monitoreo de aplicaciones PO-Tl-SE-01 30-sep-13 v
e infraestructura.
Incorporación de nuevos componentes tecnológicos al Sistema de Monitoreo PO-Tl-SE-03 30-sep-13 v de los servicios informáticos.
Análisis de riesgos PO-Tl-SE-04 14-oct-13 v
Evaluación de cumplimiento de condiciones de seguridad PO-Tl-SE-05 14-oct-13 X informática de nuevas tecnologías
Administración de borrado Hacen mención a áreas que En proceso de seguro en dispositivos PO-Tl-SE-06 14-oct-13 v ya no forman parte de la actualización por el informáticos estructura. área de seguridad Análisis de de la DGTI
vulnerabilidades en la PO-Tl-SE-07 14-oct-13 v infraestructura tecnológica
Seguridad Respuesta a incidentes de . 3
informática y seguridad de la PO-Tl-SE-08 14-oct-13 v administración información de riesgos
Actualización de planes de recuperación ante PO-Tl-SE-09 14-oct-13 v desastres Administración de políticas de seguridad para el PO-Tl-SE-11 14-oct-13 v filtrado de contenido
Administración de políticas PO-Tl-SE-12 14-oct-13 v
para seguridad perimetral.
Se dieron como En proceso de
Administración y procedimientos del "Centro actualización por el
Operación de Antivirus PO-Tl-OP-04 27-sep-13 v de Datos", sin embargo,
área de seguridad.
Forefront según lo publicado en la Los procedimientos en efecto
página de internet de la corresponden al
SCJN, son parte del proceso de
proceso de "Continuidad de continuidad de
Administración de los PO-Tl-OP-03 09-dic-13 v Operaciones". Hacen operaciones, y es
Centros de Datos mención a áreas que ya no operado por la forman parte de la Dirección de estructura. Seguridad .
. .
*De acuerdo al Manual de Proced1m1entos publicado en la pagina de mtranet el mes de enero 2017.
Del aná l isis rea l izado se determinó lo s igu iente :
• El 24% , es deci r 14 de 58 servidores públ icos , manifestaron desconocim iento del Manual de Proced im ientos autorizado vigente para 2016.
Asimismo, 8 servidores púb l icos ind icaron que los proced imientos en los que i ntervienen se encuentran conten idos en el Manual de Organ ización Especifico de la D i rección Genera l , por lo que no se tiene la certeza de que conozcan los Proced im ientos q ue rigen sus funciones .
• Las "Normas de Operación" de los proced imientos revisados , no incluyen la normatividad que se debe observar en el desarro l lo de las actividades correspond ientes a d ichos proced im ientos , ta les como las normas oficia les y mexicanas ap l icables a l Centro de Datos, políticas de seguridad para los centros de datos y cuartos de telecomunicaciones, modelo
Jt\M1\)&1'6tJMwc 6
de seg uridad de la i nformación (MOSI ) , ISOs, política interna para la apl icación de buenas prácticas para el desarrol lo de software, aseguramiento de ca l idad en el proceso de desarrol lo de software, po lítica de la gestión de la ca l idad y estándares de programación, entre otras, en los que se pueda determinar si éstos se encuentran sobre regu lados o existen lagunas normativas .
Es importante señalar la importancia de mantener el Manua l de Proced imientos actual izado , ya que es un med io va l ioso de comunicación que sirve , entre otras funciones, para reg istrar y transmitir i nformación respecto a l área y su funcionamiento; es una herramienta admin istrativa que ayuda a identificar y delimitar el que hacer del área, apoyando la coord inación, d irección, eva luación y contro l admin istrativo , así como el desarrol lo ord inario de las actividades; también permite conocer las políticas genera les y normas de operación que rigen sus actividades , aumentando la eficacia del persona l , a l establecerse claramente el qu ién , cómo, cuándo y para q ué de cada una de sus funciones.
Lo anterior , en i ncumpl im iento a -las sigu ientes d isposiciones legales:
- Artículo 70 de la Ley General de Transparencia y Acceso a la Información Pública, que dispone:
"Artículo 70. En la Ley Federal y de las Entidades Federativas se contemplará que los sujetos obligados pongan a disposición del público y mantengan actualizada, en los respectivos medios electrónicos, de acuerdo con sus facultades, atribuciones, funciones u objeto social, según corresponda, la información, por lo menos, de los temas, documentos y políticas que a continuación se señalan:
l. El marco normativo aplicable al sujeto obligado, en el que deberá incluirse leyes, códigos, reglamentos, decretos de creación, manuales administrativos, reglas de operación, criterios, políticas, entre otros;
- Reglamento Orgánico en Materia de Administración de la Suprema Corte de Justicia de la Nación:
"Artículo 9. Los titulares tendrán las siguientes atribuciones:
[. . .]
VI. Coordinar la elaboración y actualización de /os manuales de organización y de procedimientos. así como validar su contenido;"
- Guía Técnica para la Elaboración de Manuales de Procedimientos, en la que se establece:
"Normas de Operación.- Son /as reglas y directrices de carácter obligatorio que se deben observar en el desarrollo de las actividades correspondientes a un procedimiento y que rigen la actuación de las distintas áreas funcionales que participan en su operación, para el debido cumplimiento de las responsabilidades que tienen asignadas".
- Manual de Organización Específico, que señala:
"1.3.0.0.6.0.2. SUBDIRECCIÓN GENERAL DE SISTEMAS /NFORMÁ T/COS FUNCIONES
[. . .]
- ''Dar seguimiento a los contratos de servicios propios de la Subdirección General a cargo ".
{. . .]
1.3.0.0.6.0.0.0.1. DIRECCIÓN DE INNOVACIÓN TECNOLÓGICA FUNCIONES
[. . .]
� ) 7
-''Administrar los recursos humanos que servirán de apoyo a las áreas de desarrollo, a fin de racionalizar los recursos en los diferentes proyectos que se requieran".
[. . .]
-"Desarrollar reportes, componentes y/o sistemas que sean compartidos y reutilizados por los sistemas en operación, a fin de estandarizar y homologar funcionalidad similar".
1.3.0.0.6.0.1.0.1. DIRECCIÓN DE A TENCIÓN A USUARIOS FUNCIONES
[. . .]
- "Elaborar e implementar los lineamientos para el uso y aprovechamiento de los equipos de cómputo de oficina y periféricos. "
Con el oficio número DGTl/DAPTl- 1 432-20 1 7 del 1 9 de jun io de 20 1 7 , la DGTI informó, respecto al personal que desconocía los proced imiento y su ub icación que "Se emitieron memorandos al personal para hacer de su conocimiento la ubicación de los manuales de procedimientos".
Respecto a las "Normas de operación" i nd icó que "Se aclara que las normas de operación que aplican a las áreas especializadas, están incluidos en la sección correspondiente en cada uno de sus procedimientos, los temas de mejores prácticas o metodologías o referencias a otras normas, no se incluyen dado que dichos elementos varían conforme las versiones que se van generando en el mercado y no se pueden aplicar tal cual, sino se hacen adopciones de acuerdo a las necesidades que se tienen en esta SCJN".
De lo anterior, se toma en consideración lo expresado por el á rea aud itada , s in embargo, la i nformación proporcionada por la DGTI no proporciona elementos suficientes que aclaren o desvirtúen el presente resu ltado".
Recomendaciones correctivas.
2. 1 Que la D i rección Genera l de Tecnologías de la I nformación fortalezca los mecan ismos de control estab lecidos para dar puntual segu im iento a los contratos de la SGSI proporcionando evidencia de la recepción de los servicios por parte de la DGTI , de conformidad a lo establecido en el memorando n úmero DGTl-1/43 1 -201 6 del 2 de septiembre de 20 1 6 , en el que el Di rector Genera l de Tecnologías de la I nformación i nd ica , entre otros :
"2) Establecer controles que garanticen el cumplimiento de cada una de las cláusulas de los contratos que administran".
2.2 La Dirección General de Tecnologías de la I nformación elabore los l ineamientos necesarios para el aprovechamiento de los equ ipos de cómputo y periféricos de conformidad con su Manua l de Organ ización .
2.3 La D i rección Genera l d e Tecnologías d e l a I nformación proporcione evidencia documenta l del proceso de actua l ización de los proced imientos a cargo del á rea de seguridad , así como de la forma en que se da a conocer al personal operativo adscrito a la D i rección Genera l .
8
PROGRAMA ANUAL DE TRABAJO
Tres .
El Programa Anual de Trabajo 20 1 6 de la DGTI está conformado por 3 subprogramas y 1 2 metas , como se muestra a contin uación :
Subprograma Área Responsable Número de Nombre de la meta metas a cargo
1. Automatización de Asegurar que el 95% de los requerimientos instalados en
procesos jurídicos y Subdirección General en
2 producción sean aprobados por el área solicitante.
administrativos Sistemas de Información Asegurar que el 95% de los requerimientos autorizados del
área solicitante sean atendidos.
Garantizar el 100% de las vulnerabilidades críticas sean Dirección de Seguridad
2 atendidas en las aplicaciones web.
Informática Asegurar el 100% de los dispositivos solicitados a monitorear sean inteQrados a la plataforma de monitoreo.
Dirección de Administración Atención al 100% de los requerimientos solicitados a las de Bases de Datos 1
Institucionales bases de datos. 2. Infraestructura tecnológica y Asegurar el 99.92% de la disponibilidad de los servicios de
seguridad informática comunicaciones. Asegurar el 99.95% de disponibilidad del servicio de red inalámbrica.
Dirección de Operación 4 Asegurar la disponibilidad al 99.95% de los servicios de comunicaciones móviles y fijo.
Garantizar que el total de mantenimientos contratados para la infraestructura sean realizados en el tiempo solicitado. Asegurar que el 90% de los usuarios solicitantes encuestados queden satisfechos por los servicios
3. Servicios integrales informáticos proporcionados. Asegurar el 100% de los equipos de cómputo y periféricos
de soporte a la Subdirección General de 3 reportados con fallas y que tienen póliza de mantenimiento
infraestructura y Servicios sean atendidos con oportunidad.
atención a usuarios Entregar el 100% de los acervos jurídicos y administrativos digitalizados, que fueron solicitados por los órganos de la SCJN.
Total 12
*Fuente: Programa Anual de Trabajo 2016, proporcionado por la DGTI.
En relación a l Tablero de Control (TC) , la DGTI reportó un avance de cumpl im iento anual genera l del 99. 1 2%, del cual se revisó el soporte documenta l correspond iente a la Subd i rección General de S istemas I nformáticos (96 .25) y a la Subd i rección Genera l de Servicios (98 .99%) , determinándose lo s igu iente :
Subprograma 1 . Automatización de procesos juríd icos y admin istrativos.
De acuerdo al tablero de cumpl imiento de la DGTI , las metas reportaron lo sigu iente:
Subprograma Metas Método de cálculo TC
2016
Asegu rar que el 95% de los requerimientos (Total de requerimientos aprobados / el 96.25% instalados en prod ucción sean aprobados total de requerimientos instalados en
Automatización de los por el área solicitante. producción)*100 procesos j urídicos y
Aseg urar que el 95% de los requerimientos (Total de requerimientos autorizados 96.25% administrativos a utorizados del área solicitante sean atendidos I el total de requerimientos atendidos. autorizados solicitados)*1 00
De lo anterior, se observó lo s igu iente:
-1�1b1Jfc 9
• Ambos ind icadores tienen el m ismo porcentaje de cumpl imiento , ya que según lo señalado por la SGS I , e l cálcu lo se rea l izó con la m isma información , es decir, tomó el número de req uerim ientos aprobados también como atend idos y el número de requerim ientos tanto insta lados como sol icitados , por lo que los ind icadores no cumpl ieron con la final idad de dar segu imiento , eva luar y controlar los resu ltados de las metas estab lecidas, n i aportaron información para la mejora en la atención de sus procesos.
Se advierte que el método de cálculo estab lecido para med i r cada meta es d istinto , ya que estaba claramente asentado que uno pretendía med ir el g rado de aprobación de los requerim ientos insta lados en producción y el otro, el grado de avance de los requerimientos autorizados, por lo cual esta un idad aud itora no comparte la apreciación de la SGSI respecto a que los ind icadores se a l imenten de la m isma información, observándose una indebida apl icación de los métodos de cálculo para reportar los avances que no son veraces , ni confiables .
• El arch ivo denominado "Listado de Requerimientos 20 1 6 3" , proporcionado por la SGSI como base para el cálcu lo de los porcentajes de cumpl im iento para ambas metas, es el concentrado de lo reg istrado en la herramienta MS Project y e l documento de Excel denominado Control de Cambios , m ismos que se uti l izan como control para segu imiento de los requerim ientos de las áreas de la SCJ N . D icho l istado señaló un tota l de 2 1 3 requerim ientos sol icitados , de los cua les se ind icaron 8 pend ientes y 205 atend idos, determ inándose lo s igu iente :
1. El criterio para el reporte de los requerim ientos a la SGSI no es un iforme n i sobre una misma base entre las áreas de d icha Subd i rección General , ya que 4 de el las lo hacen de manera g lobal (agrupando un conjunto de sol icitudes por requerimiento reportado) y 3 de forma específica (deta l lando las actividades de cada sol icitud) , por lo que existe un grado de complej idad para verificar y valorar los avance de los proyectos en forma conjunta , debiendo hacer un anál isis ind ivid ual lo que resta eficiencia en la operación del área.
2. De los 2 1 3 requerim ientos, 1 7 1 de los reportados como atend idos, mostraron un porcentaje de avance del 1 00%, mientras que los 42 restantes , señalaron porcentajes de 0% a 99% de avance , por lo cual el reporte entregado no es consistente con la información del cumpl im iento capturado en el TC .
3 . Se consideraron 20 requerim ientos , con porcentajes del 0% a l 99%, como atend idos, los cua les corresponden a proyectos que están pend ientes de conclu i rse como son :
I mplementar e l flujo de despachos, Agregar la funciona l idad de un chip por cada tomo del exped iente, Construcción del l ibro de gobierno, S I RCUS Casas de la Cu ltu ra Juríd ica , entre otros ,
Lo anterior, debido a los cambios en las prioridades, en el personal de las áreas sol icitantes o por no haber sido revisados por los usuarios, pr incipa lmente , según lo ind icado por los responsables de su seguimiento . Como consecuencia, se le resta certeza a las cifras para el cálculo del avance en el cumpl imiento de metas , ya que con base en la i nformación obten ida , se determinó un promed io de cumpl imiento de la meta
�M/�/Jf 10
2 del 87% , por lo que a consideración de esta un idad aud itora , no se cumpl ió la meta estab lecida en el PAT 20 1 6 fa ltando un 8% para a lcanzar el porcentaje de cumpl imiento del 95%.
4 . En 8 casos , los requerim ientos reportados se refieren a in iciativas de mejoras a los sistemas, propuestas por la DGTI , como son los componentes de Admin istración , de Consu lta (Buscador) y de despl iegue, mejora a la plataforma para admin istrar la i nformación del Porta l I beroamericano del Conocimiento Ju ríd ico , s itio de órganos centra l izados de mantenim iento de catálogo de órganos , implementación de arqu itectura empresarial, actua l ización de infraestructura del S IA, instalaciones para d iscos compactos de la CCST.
5. E l requerim iento denominado "Documentación" del Porta l Iberoamericano del Conocim iento Ju ríd ico , reportó un porcentaje de avance del 0%, lo cual ind ica que no se tiene evidencia de la documentación soporte de d icho s istema como es: la ficha técn ica del proyecto , d iseño de arqu itectura , manual del usuario , entre otras, no obstante d icho requerim iento se reportó como atendido.
Aunado a lo anterior, se identificaron d iversos oficios de la Coord inación de Compi lación y Sistematización de Tesis (CCST) , en los que reiteradamente se señala: " ... esta Coordinación continúa en espera de que se corrija su operatividad y se atiendan en su totalidad los requerimientos formulados en torno al motor de búsqueda del sistema, a la función de copiado e impresión, a la recuperación y limpieza de caracteres inválidos o no permitidos, a la incorporación de operadores lógicos, . . . ", es de hacer mención que d ichas sol icitudes no se local izaron dentro de las 8 pend ientes reportadas en 20 1 6 , ya que la D i rección de Sistemas J u ríd icos-Admin istrativos reportó el requerimiento correspondiente a l Semanario Jud icial de la Federación con un avance del 1 00%.
Derivado de lo anterior, med iante cuestionario de control interno , la SGSI ind icó lo sigu iente :
''. . . se informa que la funcionalidad actualmente implementada en el Semanario Judicial de la Federación permite la ejecución de consultas para la localización de la información sin problemas reportados por los usuarios de Internet.
"Para un mejor entendimiento de los requerimientos y de las observaciones señaladas en los oficios de peticiones que a la fecha no cuenten con una solución completa o integral, se enviara oficio a la Coordinación, solicitando el llenado del formato para documentación de los requerimientos del sistema, en ese sentido el área usuaria deberá establecer la funcionalidad de operación que despeje /as dudas que pudieran existir, detallando puntualmente cada requerimiento para su atención total."
Asimismo , med iante oficio DGTl/DSJA-682-20 1 7 del 1 5 de marzo de 20 1 7 , la DGTI remitió a la CCST u n cronograma relativo a l desarro l lo y manten imiento de funcional idades del Sistema de Contro l y Gestión del Semanario Jud icial de la Federación , con el fin de dar atención a lo
sol icitado y/o reiterado por la CCST en d iversas reun iones de trabajo , como son los ajustes a
la estructura del sistema , relacionados con "P lenos de Ci rcu ito" y "SCJN", entre otros.
Lo anterior no cumpl ió con lo estab lecido en el documento denominado "Criterios de Cal idad" , de fecha 16 de febrero de 20 1 6 , e l cua l establece:
Se considera a evaluación de la calidad en la Subdirección General de Sistemas de Informáticos, los �i¡mtes rubros:
1 1
• Calidad de código • Calidad de Entregables e Información • Calidad de Pruebas • Calidad de Servicios en tecnologías
D. Calidad de servicio en tecnología (para aplicaciones entregadas): Se determina como evaluación hacia la calidad del servicio prestado por parte de tecnologías de la
información por el líder de proyecto o encargado de la liberación con el área solicitante, a través de un correo electrónico apoyado de una llamada telefónica permeadas hacia las entregas realizadas, para
medir la satisfacción del cliente y el monitorear el desarrollo después de su tiempo de estabilización (periodo de 3 a 6 meses) Agendado por el cumplimiento estratégico del servicio.
Por lo anterior, se advierte que el control de la SGSI no es efectivo, ya que los criterios para reg istrar las sol icitudes asignadas para su atención se rea l iza de forma d iferente entre las áreas que la i ntegran , lo cua l afecta el segu imiento y supervisión periód ica· del avance de cumpl im iento para detectar con oportun idad las desviaciones para el logro de las metas y objetivos de la Subd i rección Genera l , ya que existen inconsistencias entre lo real izado y lo reportado en el TC .
Con el oficio número DGTl/DAPTl- 1 432-201 7 del 1 9 de jun io de 20 1 7 , la DGTI i nformó que " ... dada la complejidad para llevar un control efectivo, un registro oportuno y eficaz, la DGTI se encuentra desarrollando una herramienta que permita el seguimiento de las actividades, que proporcionará el establecimiento de una forma de trabajo que atienda la complejidad referida, así como el registro de la evidencia de actividades, nuevos requerimientos y modificaciones de alcance y prioridades. Se prevé que dicha herramienta pueda ser utilizada por otras áreas de este Alto Tribunal, considerando que las necesidades de administración requeridas".
De lo antes expuesto , se toma en cuenta lo estab lecido por el área auditada , no obstante , es de mencionarse que en el propio PAT 20 1 6 se estab leció que "un requerimiento puede ser un cambio a un sistema de producción, nueva funcionalidad, nueva interfaz", en razón , de acuerdo a los métodos de cálcu lo , a las áreas sol icitantes , por lo que las observaciones persisten .
Subprograma 3. Servicios integrales de soporte a la infraestructura y atención a usuarios
De acuerdo a l tablero de cumpl im iento de la DGTI , la meta 1 reportó lo s igu iente :
No. Subprograma Meta Avance físico
promedio
Asegu ra r que el 90% de los usuarios
3 Servicios integrales de soporte a la solicitantes encuestados queden 96.98% infraestructura y atención a usuarios satisfechos por los servicios
informáticos proporcionados
El Subd i rector Genera l ind icó que el objetivo principa l del ind icador era aprender sobre aquel las áreas en que no se cumplen las expectativas de los usuarios para poder establecer procesos de mejora continua como lo ind ica el ITI L (bib l ioteca de i nfraestructura de TI por sus sig las en ing lés) . No obstante , e l formato de las encuestas está d iseñado para que el personal ca l if1 ue ú n icamente la satisfacción en cuanto a la atención telefónica de la mesa de servicios
12
y a l tiempo de resolución , así como un espacio abierto para sus comentarios . Asimismo se observó , que no se tiene una defin ición estab lecida que ind ique qué es la "satisfacción de usuario" para la DGTI , por lo que se uti l iza la defin ición de "evaluación de servicios" que p roporciona el propio ITI L: "evaluar a calidad de servicio regularmente. Esto incluye la identificación de áreas en que no se cumplen los niveles de servicio propuestos para asegurar que sean cónsonos con sus necesidades".
El resu ltado del ind icador se m id ió con las encuestas contestadas por los servidores públ icos , las cua les son enviadas automáticamente por la herramienta ProactivaN ET. De acuerdo a la información proporcionada por el área aud itada , du rante el 201 6 se atendieron 40, 1 43 sol icitudes de usuarios ( 1 3 , 578 i ncidentes y 26, 565 requerim ientos) . De lo anterior, ún icamente 1 83 servidores púb l icos contestaron las encuestas sol icitadas.
Se considera que la fa lta de respuestas en las encuestas se debe en parte , a que la pág ina a la que remite el sistema no es accesible, ya que se abre el "Porta l para usuarios del Centro de Atención de Tecnologías de la I nformación de la SCJ N" , el cual contiene dos accesos a ProactivaN ET y no muestra la encuesta que se debe contestar, lo que no resu lta amigable para el usuario .
De las encuestas rea l izadas, se obtuvieron los sigu ientes resu ltados:
• Pregunta 1 . La atención telefón ica que usted recibe en la mesa de servicios es:
Contestación No. de Representación (vs
respuestas número de encuestas) Excelente: 87 47% Buena: 78 43% Reg ular: 6 3% Malo: 3 2% Pésimo: 4 2% No utilizó el servicio: 5 3% S um a 1 83 1 00%
• Pregunta 2 . E l t iempo de resolución de los incidentes informáticos en sitio es :
Contestación No.de Representación (vs
respuestas número de encuestas) Excelente: 79 43% Buena: 80 44% Reg ular: 1 3 7% Malo: 2 1 % Pésimo: 9 5% No uti l izó el servicio: o 0% Suma 1 83 1 00%
Según el método de cálcu lo empleado por la DGTI, se tomaron en cuenta los resu ltados clasificados como "pésimos" y "malos" obten idos en la respuesta 2 , por lo que según el ind icador establecido , se determinó que la DGTI obtuvo un 93 . 98% de satisfacción de los usuarios [( 1 83-1 1 )/1 83] , comparado contra el 96 .98% reportado, se aprecia que la meta aún con las cond iciones que enfrenta para responder la encuesta , fue a lcanzada .
La encuesta también m ide la satisfacción de los usuarios en cuanto a la atención telefón ica , y a rtado para q ue los usuarios escriban sus comentarios , de los cua les 7 1 servidores
13
públ icos d ieron contestación, s iendo 25 referentes a l tiempo o falta de atención, no obstante, no se obtuvo evidencia de que los resultados obtenidos se valuaron para coadyuvar a la mejora continua y a la consecución de la meta respectiva .
De lo anterior, se observó que el resu ltado del ind icador no representa adecuadamente la satisfacción de los usuarios sol icitantes respecto a los servicios informáticos proporcionados debido a que es l im itado el número de servidores públ icos que atienden la encuesta enviada por la DGTI, además de que no se toman en cuenta todas las variab les de la misma .
En re lación a la Meta 2 , se obtuvo el s igu iente resultado :
No. Subprograma Meta Avance físico
promedio
Asegu rar que el 1 00% de los equipos de
3 Servicios integrales de soporte a la cómputo y periféricos reportados con fa llas 100.00% infraestructura y atención a usuarios y que tienen póliza de mantenimiento sean atendidos con oportunidad
En el cuestionario ap l icado, el Subd i rector Genera l de Servicios ind icó que con este ind icador se buscó brindar servicios de vanguard ia a l personal de este Alto Tribuna l de manera oportuna, q ue coadyuven en el desempeño de sus funciones. Además de que se obtuvo un mejor servicio y e l cumpl imiento de los Acuerdos de niveles de servicio requeridos por este Alto Tribuna l .
De acuerdo a la información proporcionada por la DGTI para 20 1 6 , se tenían 46 contratos de servicios de mantenim iento a equ ipos de cómputo y periféricos . De los 44 contratos, 22 representaron un costo, para 20 1 6 , de $2 ,645,579.74 pesos por servicios de mantenim iento preventivo y correctivo, y en los 24 restantes, el costo de los equ ipos incluía la pól iza de garantía .
Para fines de la meta y del ind icador, la DGTI tomó únicamente el servicio del contrato número 45 1 6000078 celebrado con Compusof Mexico, S .A. de C V. , lo anterior debido a que "el indicador se establece para el contrato establecido en el 2016, ya que se contrataría el servicio que cubriera los equipos fuera de garantía. Los demás equipos ya estaban considerados desde años anteriores con una cobertura y controles establecidos con la subdirección de abastecimiento informático". En razón de lo expuesto , se observó que el ind icador presentó el resu ltado de manera sesgada, ya que únicamente se midió e l servicio proporcionado a 2 ,356 equ ipos de 5 ,891 que tenían mantenim iento contratado durante el 20 1 6 , según la información proporcionada por el área aud itada .
Asim ismo, de l anál isis a l contrato s impl ificado número 451 6000078 de fecha 1 8/0 1 /20 1 6 , se observó que éste ind ica que el objetivo de este servicio es atender todos los incidentes que se generen en los eq u ipos a fin de garantizar la continu idad de operaciones de los usuarios, para el lo el proveedor deberá, entre otros:
- ''Atender el 1 00% de los reportes que (sic) registrados en el Centro de Atención de Tecnologías de la Información, referente a los equipos adjudicados".
- "Prever y considerar el equipo y refacciones, materiales, insumos necesarios para el correcto funcionamiento de los equipos. y personal especializados necesario para llevar a cabo /as labores de soporte a los equipos previstos".
14
- "Realizar todas /as acciones que considere necesarias a fin de atender los incidentes reportados mantener en correcta operación la infraestructura provista''.
"Llevar a cabo el mantenimiento correctivo siempre y cuando sea necesario y lo solicite la DG T/".
Los N iveles de Servicios requeridos fueron los s igu ientes :
"Ventana de servicio de 8 a 20 horas de lunes a viernes Tiempo de atención a partir de la hora del reporte inicial (TA): 30 minutos - Tiempos de atención y solución a partir de la hora del reporte inicial (dentro de la ventana de
servicio) (TS): 24 horas".
"Los tiempos de atención comenzarán a contar en el momento de la notjficacíón a la empresa adjudicada".
En caso de fa l la de equ ipo , el técn ico de la empresa adjud icada deberá presentarse a revisar el equ ipo en un tiempo máximo de 30 minutos , asimismo, reparará el equ ipo en un intervalo de tiempo no mayor a 24 horas, las cua les se contabi l izarán dentro de la ventana de servicio, a la ubicación que se ind ique. Si en el lapso antes mencionado, no ha sido pos ib le repara r e l equ ipo, la empresa adjud icada proporcionará en ca l idad de préstamo otro equ ipo de igua les características o superiores s in costo extra para la SCJ N .
L a pena convencional por i ncumpl imiento será determinada por l a SCJ N e n función del i ncumpl imiento decretado conforme a lo sigu iente:
a) "En caso de incumplimiento de las obligaciones pactadas en este instrumento contractual, la SCJN podrá aplicar a /os proveedores una pena con vencional hasta por un 1 0% del monto que corresponda al valor de los bienes (sin incluir / VA) que no se hayan entregado a entera satisfacción de este Alto Tribunal".
b) "El proveedor responsable del incumplimiento se hará acreedor a las sanciones previstas en /os párrafos anteriores, con independencia de que se hagan efectivas las garantías otorgadas las penas podrán descontarse de /os monos pendientes por parte de la se al proveedor".
La Subd i rección General de Servicios I nformáticos rea l izó el control de los incidentes med iante la herramienta ProactivaN ET, y de acuerdo a l reporte proporcionado por la DGTI , el proveedor atend ió 904 incidentes y requerim ientos . En d icho control se observó que 1 8 i ncidentes y requerim ientos sobrepasaron el tiempo de atención estab lecido (30 minutos a parti r de la notificación) y 7 sobrepasaron el tiempo de resolución establecido en 24 horas.
Al respecto , el Subdirector General de Servicios especificó que el ProactivaN ET no se encuentra parametrizado para separar los tiempos de atención y solución de los d iferentes n iveles de servicio , n i para tomar en cuenta la ventana de tiempo, por lo que, con el control estab lecido , no se puede comprobar que el proveedor haya atendido los incidentes/requerim ientos en los tiempos especificados en el contrato , no obstante , el deta l le de los tiempos ocupados por los d iferentes n iveles se pueden constatar en cada uno de los reportes de la herramienta .
Debido a que en el contrato se estab lecieron los tiempos de respuesta del proveedor para cumpl i r con la cláusu la de garantía o tiempos de mantenimiento , o en caso contrario , habría u na sanción , e l sistema estab lecido no d iferenció los tiempos por cada n ivel de servicio, así como la ventana de servicio ( 1 2 horas por día) , lo que ocasiona que no se cuente con la evidencia necesaria en caso de que proceda la penal ización , lo que podría afectar los recursos de este Alto Tribuna l .
�J;1b1J' 15
Con el oficio número DGTl/DAPTl-1 432-20 1 7 del 1 9 de jun io de 20 1 7 , la DGTI informó que: "en relación a la falta de respuestas de las encuestas de "satisfacción del usuario", se presenta evidencia del funcionamiento de la encuesta publicada en la intranet para facilitar y promover su utilización; esto a sugerencia de lo observado".
En relación de la meta y del indicador número 2, la OGTI tomó únicamente el servicio del contrato número 4516000078 celebrado con Compusof Mexico, SA de CV. ya que este contrato cubre solo los mantenimientos correspondientes al 2016 y que no tenían garantía, tomando en cuenta que el indicador era para el Programa Anual de Trabajo 2016; se consideró solo este contrato por/as características para su medición, determinando llevare/control mediante la herramienta de PROACTIVANET ya que el módulo estaba recién adquirido. El resto de los equipos observados, corresponden a años y contratos anteriores, cuyo control se realiza de otra manera. Se hace una aclaración, respecto de lo señalado por el Subdirector General de Servicios, la herramienta PROACTIVANET se encuentra parametrizado para separar los tiempos de atención y solución de los diferentes niveles de servicio".
De lo anterior este órgano de control i nterno, toma en cuenta lo señalado por el área auditada , no obstante , los documentos proporcionados no son suficientes para determinar e l fáci l acceso a la encuesta y si el s istema ProactivaN ET se encuentra parametrizado para separar los tiempos de atención y solución de los d iferentes n iveles de servicio . También cabe aclarar que en el PAT 20 1 6 , la meta 2 se estab leció para asegurar que los equ ipos de cómputo y periféricos reportados con fa l las y que tenían pól iza de manten im iento fueran atend idos con oportun idad , s in de l im itarlo a un solo contrato .
Por otra parte , de los cuestionarios de control apl icados a los servidores públ icos, se observó q ue :
• El 7 4%, es deci r 43 de 58 servidores púb l icos conocen los programas I subprogramas del PAT 201 6 según las actividades que le corresponden , no obstante , el 1 0% mencionó programas I subprog ramas d iferentes a los establecidos.
• El 69%, es decir 40 de 58 servidores públ icos entrevistados, conocen las metas en las que colabora para su cumpl im iento , no obstante , el 34% desconoce los resu ltados obten idos de las m ismas y el 1 0% reportó metas d istintas a las establecidas en el PAT 201 6 .
• Dada la importancia de la admin istración de los recursos h umanos , se observó que el 1 9% ( 1 1 de 58) del personal de la DGTI consideró susceptible de mejora la comunicación interna de esa Dirección General para el cumpl im iento de los objetivos, destacando el conocimiento formal de las responsab i l idades a todos los integrantes de cada proyecto , la determinación de p lanes de acción bajo un documento explícito , así como informar las estrateg ias, metas y log ros cumpl idos del área, y la d ifusión de las políticas y decisiones adoptadas en el ámbito estratég ico de la D i rección Genera l .
Con el oficio número DGTl/DAPTl-1 432-20 1 7 de l 1 9 de jun io de 20 1 7 , la DGTI ind icó que para los casos en los que se observó que a lgunos servidores públ icos desconocen el PAT y las metas, se adjuntan evidencias (minuta y correo mandos med ios) donde se les informó de los lugares en donde se pueden consu ltar.
�'''Jfc 1e
Recomendaciones correctivas
3 . 1 La D i rección General de Tecnolog ías de la I nformación un ifique los criterios para contar con datos confiab les para sustentar el reporte del avance de cumpl im iento del Tablero de Contro l , para un mejor segu im iento , evaluación y control de resu ltados en el cumpl imiento de las metas.
3.2 La DGTI deberá estab lecer, para el segu im iento de los contratos, un control que permita med i r y comparar los tiempos rea les contra los tiempos de respuesta contractuales a fin de contar con un control eficiente que asegure el adecuado ejercicio de los recursos .
3.3 La Dirección General de Tecnolog ías de la I nformación evalúe la necesidad de inclu i r , en el "Porta l para usuarios del Centro de Atención de Tecnologías de la I nformación de la SCJ N" , un instructivo para faci l itar e l acceso a la encuesta de satisfacción , o en su caso, que la pág ina d i reccione a la encuesta .
3.4 La D i rección Genera l de Tecnolog ías de la I nformación proporcione evidencia de la d ifusión de su PAT, así como del avance , cumpl im iento y desviaciones de las metas para poder orientar las acciones a la consecución de los objetivos y metas establecidas, a todo el personal que integra la D i rección Genera l .
Seg u ridad i nformática y adm i n istración de riesgos
Cuatro. La DGTI ha estab lecido d iversas normas relativas a la seguridad para el acceso a los Centros de Datos (CEDA) y Cuartos de Telecomunicaciones ( I DF) , lo cua l fue i nformado por el Subd i rector Genera l de I nfraestructura Tecnológ ica , med iante un cuestionario de control interno y son las s ig u ientes :
- Pol íticas de Seguridad para los Centros de Datos (CEDA) y Cuartos de Telecomunicaciones ( I DF) de la SCJ N .
- Listado actua l izado y por n iveles de acceso del personal autorizado para el acceso a los Centros de Datos (CEDA) y/o Cuartos de Telecomunicaciones ( I DF) .
- Plan de Recuperación de Desastres de Centros de Datos y Cuartos de Telecomun icaciones.
- Reg lamento de los Centros de Datos y Cuartos de Telecomunicaciones .
De la normatividad proporcionada por la Subd i rección General antes mencionada , se coi:nprobó lo sigu iente :
1 . Las Pol íticas de Seg uridad para los CEDA e IDF de la SCJ N , se d ieron a conocer a l personal de la DGTI de manera impresa, como constancia de el lo se proporcionó copia del acuse de recibo de una relación que se i ntegró por 1 7 servidores púb l icos , en la que se observó q ue se entregaron del 3 al 6 de octubre de 20 1 6 , es deci r, en el ú lt imo trimestre de ese año .
17
Por otra parte , se observó que en la relación antes mencionada , se reg istraron a 2 servidores púb l icos que no se encuentran considerados en el l istado del personal que cuenta con autorización de acceso a los CEDA e I DF .
2 . Del l istado autorizado para los CEDA e I DF , s e conoció q u e s e l levaba por sit io: Sede, Alterno , B ib l ioteca , y Sexto P iso; y por t ipo de acceso: Entrada, Exclusa , Servidores, Servidores 1 , Servidores 2, U PS, Comunicaciones y Mon itoreo, en d icho l istado se otorgó autorización a 1 7 servidores públ icos en los d iferentes sitios ; 7 servidores públ icos tienen acceso tota l para todos los sitios; los 1 O restantes se encuentran l imitados conforme a sus actividades .
De lo anterior, se identificaron 2 servidores púb l icos que se encuentran reg istrados en el l istado del persona l que cuenta con autorización para los accesos a los CEDA e I D F , que no se loca l izaron en la relación del personal a qu ienes se les entregaron las Pol íticas de Seg uridad para los CEDA e I DF de la SCJ N .
D e l o antes mencionado , se concluye que n o se d ieron a conocer las Pol íticas d e Seguridad para los CEDA e I D F de la SCJ N a los servidores públ icos involucrados en tiempo y forma, derivado de que se les entregaron del 3 a l 6 de octubre de 20 1 6 ; no fueron entregadas a todo el personal que se tiene en el "listado del personal que cuenta autorizado [sic] para los accesos a los CEDA e IDF"; y se entregaron a personal que no se tiene reg istrado en el antes mencionado l istado, por lo que d icho l istado no se encuentra actual izado .
Lo anterior i ncumple con lo establecido en el párrafo sexto de l punto 7 "Alcances" de las Pol íticas de Seguridad para los CEDA e I DF .
"El Subdirector de Centros de Datos e s la persona encargada de mantener actualizado e l listado del personal que cuenta autorizado para los accesos a los Centros de Datos (CeDa) y/o Cuartos de Telecomunicaciones (IDF) y de asegurarse del cumplimiento de /os procedimientos y políticas descritas en el presente documento ''.
De lo expuesto , y con el fi n de va l idar que a l personal se le hub iera proporcionado y/o dado a conocer las Pol íticas de Seguridad para los CEDA e IDF y el Reg lamento de los Centros de Datos y Cuartos de Telecomu nicaciones, se apl icaron cuestionarios a 8 de 1 7 servidores púb l icos (47%) , obten iendo los sigu ientes resu ltados:
1 . Se uti l izaron d iferentes métodos para dar a conocer las Pol íticas de Seguridad y el Reg lamento de los CEDA e I DF , ya que 4 servidores públ icos respond ieron que se les d ieron a conocer de forma electrón ica e impresa , a 3 de forma electrónica y a 1 de manera impresa.
2 . Respecto de las Pol íticas de Seguridad para los CEDA e I D F , los 8 servidores púb l icos entrevistados h icieron referencia a sólo 3 numera les, los cuales son : 7 "Alcances" , 8 " I nfraestructu ra de Seguridad" y 1 O "Restricciones" , cuando el citado documento cuenta con 1 4 apartados.
Por otra parte , 3 servidores públ icos h icieron mención a 3 pol íticas que no se identificaron en el documento denominado "Pol íticas de Seguridad para los CEDA e I DF" , como: no obstru i r accesos principa les , se debe informar toda insta lación para que el Comité de Cambios autorice y no dejar cajas de cartón dentro del Centro de Datos.
18
3 . En lo referente a l Reg lamento de los Centros de Datos y Cuartos de Telecomunicaciones, se observó que los 8 servidores públ icos encuestados solamente recordaron las 3 reg las más comunes, cuando se tienen establecidas 8.
De los 8 servidores púb l icos entrevistados , se observa que 6 h icieron mención de reg las que no se identificaron en el citado Reg lamento , las cuales se describen a continuación:
No. de Servidores
Públicos
2
3
4
5
6
Reglas No identificadas en el Reglamento de los CEDA e IDF
Informar el motivo de la Entrada y si existe personal para identificar. Cualquier movimiento o apagado de equipo debe ser previamente autorizado.
···fae:fo···e;·
qüTpa.mT0·ñ·i'a .. ya· .. 5·e;·¡i··e;·
q'Ui"�»a .. cie ... comúñi"cadc»ñ·0·5··
Y7º···5e;·;vkfo.res··5·e; .. ci0"be ... i1�i"ce·¡:··¿¡:,-ñ·adm.ien"fü ... <ier .............. .
Área encarqada del Centro de Datos. Alinear cableado de trabajo.
···Av°i!ii·ar:··c-u-afriüTer:··9·ñ«:>ñlaTía···0·ñ ... el""·ce·ñfra··cie···oafr>·5·�· ................................................................................................................................................................................................................. .
Proporcionar datos técnicos del equipo a ingresar previa notificación por correo y reporte al CATI. ····r::fa··aeT
ii¡:···5·a'iO ... aro·9·¡:5(j·ñaTexte.rño .... iñie.ñfras···e;·ñfre ... e.ñ .. 'i'as ... c.EoA ... e ... 1b'F:;·5� .................................................................................................................................... ..
No dejar personal externo trabajando sin supervisión.
... �-�---�-�-�� ... !:l .. �.P..�.r.Y..!.!:l.�.r. ... � ... !�.9..� ... .P..�.r.�.<:?..�.é:!L.��-�-��.<:?. ... �.� .. ..l.� ... §..9.�.N.: ........................................................................................................................................................................................ . Queda prohibido realizar mantenimiento físico a los disoositivos dentro de los centros de datos.
Al respecto , se aprecia que el personal que cuenta con acceso a las instalaciones críticas de la SCJ N no conoce , en su tota l idad , la normatividad respecto de las Pol íticas de Seguridad para los CEDA e I D F y el Reg lamento de los Centros de Datos y Cuartos de Telecomun icaciones, ya que en a lgunos casos describieron reg las como pol íticas y viceversa , con lo que se ve afectado el log ro del "objetivo y alcance" de las pol íticas, que se describen a continuación :
''Definir la cultura. prácticas y mecanismos de operación que deben adoptarse en /os Centros de Datos (CeDa) y Cuartos de Telecomunicaciones (IDF) de la Suprema Corte de Justicia de la Nación, destinados a mantener la seguridad de la información, así como la integridad de los bienes informáticos críticos a través de los cuales se prestan /os servicios informáticos sustantivos y administrativos ''.
"Esta política es de observación obligatoria a todo el personal interno y externo de la SCJN que labore en /os Centros de Datos (CeDa) o Cuartos de Telecomunicaciones (IDF) de forma remota y local cuyas funciones o actividades estén orientadas a la administración. mantenimiento y soporte
de los Centro de Datos (CeDa), ya sea de forma eventual o permanente".
En lo referente a l P lan de Recuperación de Desastres (DRP) , se conoció que la DGTI elaboró las Líneas Generales de Tecnologías de la I nformación y Comun icaciones 201 5 - 20 1 8 , aprobadas med iante oficio número SSCM/1 53/20 1 5 del 2 de ju l io de 201 5 , en las que se estab leció que "fa presente administración tiene planeado implementar un mayor número de soluciones integrales que abarquen y simplifiquen procesos institucionales, para ello, se requiere de esquemas de administración alineados a las mejores prácticas internacionales y a los objetivos institucionales definidos en el Plan de Desarrollo Institucional para el cuatrienio 2015 - 2018". Para el lo se estab lecieron dos Líneas Estratég icas, "Continuidad de las operaciones" e "Innovación Tecnológica"; la primera se i ntegra por cinco l íneas de acción , en lo particu lar se encuentra la "1 . 4. Fortalecer los mecanismos de seguridad de la información y la firma electrónica certificada", en la que se considera el componente tecnológ ico de "Seguridad de la Información" que contempla la Implementación del Plan de Recuperación ante Desastres du rante el periodo 201 6 - 20 1 7 .
�'�'Jfc 19
En lo que respecta a l P lan de Recuperación de Desastres (DRP) de Centros de Datos y Cuartos de Telecomunicaciones , se consu ltó med iante cuestionario apl icado a la Subd irección Genera l de I nfraestructura Tecnológ ica , lo s igu iente :
''5. - Indique s i se cuenta con u n manual, procedimiento, política o documento normativo autorizado por parte de la DGTI, respecto de las acciones necesarias que se deben de realizar cuando se presentan los riesgos que se tienen establecidos en /as Políticas de Seguridad para /os CeDa e /DF, en su numeral 5 Análisis de Riesgos. Proporcione evidencia documental.
R= Si. se aplicaría el plan de recuperación de desastres de Centros de Datos y Cuartos de Telecomunicaciones. El cual se anexa al presente. "
Derivado del aná l is is a l DRP , que proporcionó la Subd i rección Genera l de I nfraestructura Tecnológ ica , se conoció que se integra por los apartados s igu ientes:
Núm. Descripción de los Apartados
1 Introducción. 2 Propósito. 3 Alcance. 4 Cómo usar este Plan. 5 Objetivos. 6 Conceptos y Definiciones. 7 Grupo Coordinador.
Líder de Grupo. Líder suplente de Grupo. Centro Alterno de Trabajo (CAT).
- Centro de Control de Crisis (CCC).
8 MARC (Configuración de Recuperación Mínima Aceptable). 9 Integración de los Grupos de Respuesta y Recuperación.
1 0 Funciones d e los Grupos de Recuperación. 1 1 Funciones del Líder del Grupo Coordinador. 1 2 Las responsabilidades del Líder del Grupo Coordinador. 1 3 Las responsabilidades del Grupo Coordinador. 1 4 Resumen d e Actividades. 1 5 Actividades de Respuesta v Recuperación. 1 6 Centro de Control de Crisis (CCC). 1 7 Actividades Previas a la Recuperación . 1 8 Tareas Previas del Grupo Coordinador. 1 9 4 .3 Tareas Previas del Grupo de Recuperación de Comu nicaciones. 20 5. Activación del Plan de Recuperación . 2 1 5 . 1 Reconocimiento d e l Evento y su Notificación. 22 5.2 Evaluación de los Daños. 23 6.- I nicio de la recuperación 24 Tareas del grupo de Comu nicaciones 25 Tareas del g rupo de Seg u ridad Informática 26 Tareas de grupo de Desarrollo de Sistemas
De lo anterior, se observó que el documento proporcionado por la Subdirección General de I nfraestructu ra Tecnológ ica , no cuenta con fi rmas de autorización , por lo q ue se sol icitó a l titu lar de la Subd i rección Genera l de I nfraestructura Tecnológica informara los motivos por las cua les prevalecía la problemática de esta situación , a través de la apl icación de un cuestionario como se menciona a contin uación :
1 . En relación con el "Plan de Recuperación de Desastres de Centros de Datos y Cuartos de Telecomunicaciones". que fue proporcionado anexo al Cuestionario Control Interno que contestó la Subdirección General de Infraestructura Tecnológica el 3 de marzo de 201 7, indique si dicho documento se encuentra autorizado.
R= Si ( ) No ( X )
R= Está en proceso de maduración y afinación para ser presentado y se apruebe por parte del �,
¡�J
:erguridad.
20
4. Respecto al "Plan de Recuperación de Desastres de Centros de Datos y Cuartos de Telecomunicaciones", en su apartado denominado "Integración de los Grupos de Respuesta y Recuperación '', indique si se cuenta con las relaciones del personal que integran los grupos definidos, siguientes:
- Comité Directivo - Grupo Coordinador - Grupo Operación Centro de Cómputo - Grupo Servicios de Informática - Grupo Telecomunicaciones - Grupo Seguridad Informática - Grupo Desarrollo de Sistemas - Grupo Mesa de Ayuda - Un Vocero Oficial
R= Sí ( ) No ( X )
R= Está en proceso de maduración y afinación para ser presentado y se apruebe por parte del Comité de Seguridad
Conforme a la información y documentación proporcionada por la DGTI , se observó que se tiene un avance en la implementación del Plan de Recuperación de Desastres; s in embargo, no se ha concretado d icha actividad , ya que seg ún lo manifestado por la propia área , éste se encuentra en proceso de maduración o concreción para su posterior autorización por la i nstancia correspond iente.
Con el oficio número OG TllDAPTl- 1 432-20 1 7 del 1 9 de junio de 20 1 7, la DG TI indicó que "se extendió la difusión de las Políticas de Seguridad a los Centros de Datos al siguiente personal: Máyela Sosa Hernández, Antonio Astorga Puga, Érick Alfonso Castañeda Hernández, Julio César Vargas Barajas, Adrián Carmona Escobar, Gabriel Ve/asco Gutiérrez, Carlos Manuel Leyva. Siendo que los servidores públicos Adrián Carmona y Gabriel Ve/asco faltaban de firmar en el acuse de recepción de la Política de Seguridad de /os CEDA e IOF.
Finalmente la revisión del DRP que será puesta a consideración del Comité de Seguridad de la Información, para aprobación será presentada el segundo semestre del año en curso" .
La i nformación proporcionada por la DGTI no proporciona elementos suficientes q ue aclaren o desvi rtúen el presente resu ltado .
Recomendaciones correctivas.
4. 1 La Dirección Genera l de Tecnolog ías de la I nformación actua l ice el l istado del tota l del personal q ue se encuentra autorizado para el acceso a los CEDA e IDF de la SCJ N de acuerdo a la normatividad estab lecida .
4.2 La D i rección Genera l de Tecnolog ías de la I nformación concluya la implementación del DRP y proporcione evidencia de la presentación del m ismo al Comité de Seguridad de la I nformación para que se garantice la sa lvag uarda y manten imiento del hardware , software , comun icaciones, arch ivos , bases de datos , e instalaciones a n ivel I nstitucional (SCJ N) .
2 1
LÍNEAS G ENERALES DE TIC'S 20 1 5-20 1 8
Cinco. Las Líneas Genera les de TI C , son esquemas de admin istración a l ineados a las mejores prácticas internacionales y a los objetivos instituciona les defin idos en el Plan de Desarrol lo I nstitucional para el periodo 201 5-20 1 8 .
Dentro de estas l íneas se encuentran calendarizados los compromisos para la gobernabi l idad de las tecnolog ías por e l periodo 201 5-20 1 8 , como se muestran a continuación:
Consec. 2015 2016
1 Aprobación del nuevo AGA, relativo al uso y aprovechamiento de los bienes y servicios informáticos.
2 Plan de adopción de metodologías Adopción de metodologías y mejores prácticas de las TIC's (hasta y mejores prácticas de las TIC's 201 7)
3 Plan de ca lidad Implementación del Sistema de Gestión de la Calidad (hasta 201 8)
Planes de modelo de Ejecución de los planes del modelo de gobernabil idad ( Innovación 4 gobernabi l idad Tecnológica, contin uidad de las operaciones, riesgos, actualización
de las TIC'S, pruebas) (hasta 201 8) Plan de capacitación especializado en TIC's. Manual de competencias,
Ejecución del plan de capacitación y aplicación del manual de perfi les, habilidades, sucesión de 5 personal , así como la evaluación y
competencias, perfiles, habil idades, sucesión de personal ,
supervisión del personal evaluación y supervisión del personal tercerizado (hasta 201 8))
tercerizado.
Con el oficio DGTl/DAPTl-746-20 1 7 del 23 de marzo de 20 1 7 , la DGTI i nformó de las d iversas tareas rea l izadas para dar cumpl imiento al Plan de Gobernabi l idad , de lo cual se observó lo sig u iente :
1 . La DGTI informó q ue el 1 2 de enero de 20 1 7 , se envió para revisión la propuesta de d icho Acuerdo Genera l , además proporcionó copia de un correo electrónico de fecha 05 de enero de 20 1 7 , enviado a la Oficia l ía Mayor, en el cual se señaló dentro de los temas a tratar en la reun ión semana l , el Acuerdo General de Admin istración , relativo a l uso y aprovecham�ento de los bienes informáticos , ind icando que el 27 de septiembre de 20 1 6 se entregó versión impresa y d ig ita l d e l a propuesta del mismo, sobre los temas y servicios que competen a la DGTI .
2. La DGTI entregó u n cronog rama de las acciones genéricas a rea l izar relativas a l Plan de adopción de metodolog ías y mejores prácticas de las TIC's , e l cual no cuenta con fi rmas de Vo . Bo . , ni de autorización ; así como d iversos documentos con los que el área aud itada demostró que ha l levado a cabo acciones para d ichas tareas.
3 . En cuanto a l Plan de Cal idad , l a DGTI proporcionó los documentos denominados "Criterios de ca l idad" y "Aseguramiento de ca l idad" , los cuales son apl icab les a l desarrol lo de proyectos ; además se entregaron d iversos documentos con lo que se demuestra que el área aud itada verifica la ca l idad en los servicios otorgados . No obstante, no entregó evidencia del avance del Sistema de Gestión de Cal idad en cual se desarrol laría en 201 5 e implementaría de 20 1 6 a 201 8 .
4 . Respecto a los p lanes de l modelo de gobernabi l idad , no se identificó evidencia de l "Plan de Riesgos" , del "Plan de Actual ización de las T IC 'S" n i del "P lan de Pruebas"; a l respecto
22
de los 2 primeros, la DGTI entregó un cronograma de sustitución de b ienes informáticos el cual no cuenta con fi rmas de autorización .
5 . No s e loca l izó evidencia del "P lan d e capacitación especia l izado e n TIC 'S 201 5- 20 1 8" , ya que el área ún icamente entregó el p lan de capacitación 20 1 6 , así como su ca lendario. Respecto al "Manua l de competencias, perfi les , habi l idades, sucesión de personal , eva luación y supervis ión del personal tercerizado" , el área ind icó que la incorporación de estos elementos en las Líneas Generales de la DGTI son tota lmente enfocados a la normatividad apl icable a la D i rección Genera l de Recursos Humanos e I nnovación Admin istrativa , al ser el á rea con estas atribuciones , y se h izo el señalam iento , ya que en lo correspond iente a la gobernabi l idad también interviene el recurso humano, sin embargo, en las Líneas Generales de TIC's , se estab leció un Plan y un Manual , los cua les se elaborarían en 20 1 5 y se ejecutarían e implementarían de 20 1 6 a 20 1 8 .
Por otro lado, la "Po l ítica interna para la apl icación de buenas prácticas", con fecha de elaboración del 29 de febrero de 20 1 6 , ind ica como pend iente la fecha de emisión y cód igo, no obstante, se entregó fi rmada a esta un idad aud itora .
Además, se revisó el cumpl im iento al cronograma del Plan de I nnovación Tecnológ ica , correspond iente a l ejercicio 201 6 , determinándose un atraso en el cumpl imiento de las sig u ientes actividades :
Actividad programada 2016 Justificación de atraso • Anál isis para la implementación de interfaces de "No se da evidencia, porque la actividad no fue consulta para la plataforma de escritorio. realizada dado que las acciones anteriores
absorbieron en su mavoría el tiempo. " • Revisar el actual estándar de los servicios del "Estas actividades se dejaron pendientes para área de comunicaciones (tra nsmisión de datos 201 7 dado se requiere madurar el plan de video y voz) acción de las pruebas que hay que ejecutar, • Realizar una prueba de com unicación con un además de realizarlas en conjunto con el área segmento de la plataforma distribuida para de infraestructura. " determinar e l performance d e las comunicaciones actuales
Derivado de lo anterior, no se da cumpl im iento a las actividades programadas en las Líneas Genera les de Tecnolog ías de la I nformación y Comun icaciones 20 1 5-20 1 8
Componente tecnológico Gobierno de TI
"Aprobación del nue vo Acuerdo General de Administración, relativo al uso y aprovechamiento de los bienes y servicios informáticos" (2015-2016)
''Plan de adopción de metodologías y mejores prácticas de las TIC's (Servicios -ITIL-, Desarrollo ágil de aplicaciones -SCRUM-, Gestión de Proyectos -PMI-, Seguridad -IS02700 1 -, Gobernabílidad -COBIT-)" 2015
"Adopción de metodologías y mejores prácticas de las TIC's" (2016-2017)
"Plan de la Calidad" (2015)
"Implementación del Sistema de Gestión de la Calidad" (2016-2018)
''Planes del modelo de gobernabílidad: -Innovación Tecnológica. -Continuidad de las operaciones, -Riesgos, -Actualización de las TIC 'S, -Pruebas " (2015)
''Ejecución de los planes del modelo de gobernabilidad (Innovación Tecnológica. continuidad de las operaciones. riesgos, actualización de las T/C'S, pruebas)" (2016-2018)
23
"Plan de capacitación especializado de TIC 's y Manual de competencias. perfiles, habilidades, sucesión de personal, así como la evaluación y supervisión del personal tercerizado" (2015) "Ejecución del plan de capacitación y aplicación del manual de competencias, perfiles, habilidades,
sucesión de personal, e valuación y supervisión del personal tercerízado" (2016-2018)
Plan de Innovación Tecnológica 2015-2018
Acción 2.1. Incorporar nuevas tecnologías, aplicando mejores prácticas.
• Implementar interfaces de consulta y sistemas de recomendación para plataformas de escritorio y móviles. (septiembre a noviembre 2016)
Acción 2.4 Modernizar los servicios del área de comunicaciones de voz, datos y vídeo.
• Revisar el actual estándar de los se1vicios del área de comunicaciones (transmisión de datos vídeo y voz) (diciembre 2016)
• Realizar una prueba de comunicación con un segmento de la plataforma distribuida para determinar el performance de las comunicaciones actuales (diciembre 2016)
Con el oficio número DG TllDAPTl- 1 432-20 1 7 del 1 9 de junio de 20 1 7, la DGTI indicó que "que cada área de especialización tiene el plan inmerso en su operación, cuyas evidencias se presentaron en el proceso de revisión de la auditoría; asimismo el término adopción corresponde a tomar solo aquellos conceptos que apliquen en cada área de especialización conforme a las necesidades que se tiene en esta SCJN.
Respecto del Plan de Capacitación, anualmente se incorpora en el Programa Anual de Necesidades los cursos y capacitación que se tienen determinados tomar, esto, con base al histórico y análisis de los cursos que cada una de los servidores públicos adscritos a esta DGTI está llevando, a fin de optimizar y dar un seguimiento de capacitación más preciso de acuerdo a sus funciones.
En relación a l manua l "Se aclaró el uso que se le dio al término "MANUAL", ya que como área no se tienen las atribuciones de determinar aspectos que corresponden a la DGRHIA, en este sentido, se hizo referencia a ese término para considerar estos aspectos en el personal adscrito a este DG TI, pero bajo los lineamientos ya establecidos y definidos por el área que los regula.
En cuanto a l P lan de Innovación se especifica que se real izaron trabajos que absorbieron los tiempos "por lo tanto se tuvo que dejar de realizar las actividades señaladas para construir y adelantar parte de la funcionalidad de extracción de información, las funcionalidades que se requirieron para dar atención a lo solicitado para el Portal de Internet fueron:
• Uso de la plataforma distribuida para extraer información de diferentes fuentes de datos, explotando el manejo de procesamiento distribuido para la distribución de cargas de trabajo. Se generó la extracción de la información en una funcionalidad acorde a los requerimientos del Portal de Internet.
• Uso del almacenamiento distribuido para guardarla información procesada y poder integrarla como fuente al portal de la SCJN".
Por lo anterior, este órgano interno de control , considera que en la DGTI deberá evaluar una mod ificación a las l lamadas " l íneas estratég icas" por acciones específicas o cualqu ier otra denominación , ya que el área aud itada no conceptua l izó los planes como tales , según lo
-/�G/J� 24
señalado en su oficio de respuesta , al no contar con cronogramas, objetivos específicos al ineados a u n propósito general , toda vez q ue de la documentación proporcionada en las acciones emprendidas no se visualiza un proceso integral para el desarrollo del área y que perm ita el cumplimiento de los objetivos, en virtud de que la planeación estratégica se entiende como:
El documento que sintetiza de forma global el posicionamiento actual y futuro de un área u organización, el cual consta de la elaboración, desarrollo y puesta en marcha de distintos planes operativos por parte de las organizaciones, con Ja intención de alcanzar objetivos y metas planteadas. Estos planes pueden ser a corto, mediano o largo plazo.
Por lo que u na vez analizada la información y documentación proporcionada, la observación persiste.
Recomendación correctiva
5.1 El titu lar de la Dirección General de Tecnologías de la Información , deberá instruir que se real icen las adecuaciones necesarias a las líneas estratégicas con base en un plan general que permita integrar los planes indicados, al ineados a u n objetivo específico, de conformidad con las en Líneas Generales de TIC's y así facilitar el monitoreo, el avance, la detección de desviaciones y la toma de decisiones.
CONCLUSIÓN
La revisión se practicó con base en la información proporcionada por la un idad auditada, atendiendo a los ordenamientos legales, las d isposiciones normativas apl icables a la naturaleza de las operaciones revisadas, a la normativa institucional y a las mejores prácticas, en consecuencia, existe una base razonable para sustentar la opinión.
No se cuenta con evidencia suficiente y competente de un adecuado control por parte de la SGS I , que sustente la supervisión de los servicios recibidos, que fueron pagados por anticipado, asegu rando el cumplimiento y la recepción de los servicios de acuerdo a los términos contratados.
El control de la Subdirección General de Sistemas Informáticos (SGS I) no es efectivo, ya que los criterios para registrar las sol icitudes asignadas para su atención se realiza de forma d iferente entre las áreas que la integran , lo cual afecta la supervisión periódica del avance de cumplim iento para detectar con oportu nidad las desviaciones para el logro de las metas y objetivos de la Subdirección General , ya que existen inconsistencias entre lo realizado y lo reportado en el Tablero de Control .
Se observó q ue el resultado del ind icador uti l izado por la DGTI no representa adecuadamente la satisfacción de los usuarios sol icitantes respecto a los servicios informáticos proporcionados debido a q ue es l imitado el número de servidores públ icos que atienden la encuesta enviada por la DGTI , además de que no se toman en cuenta todas las variab les de la m isma.
25
El resultado de los indicadores para los subprogramas 1 "Automatización de procesos jurídicos y administrativos" y 2 "Servicios integrales de soporte a la infraestructura y atención a usuarios" informado en el Tablero de Control 20 1 6, no muestran con veracidad la gestión del área auditada debido a la falta de representatividad del número de encuestas contestadas y a la falta de control sobre las operaciones realizadas.
La herram ienta para dar seguimiento a los contratos de mantenimiento preventivo y correctivo, no se encuentra parametrizado para separar los tiempos de atención y solución de los d iferentes n iveles de servicio, ni para tomar en cuenta la ventana de tiempo, por lo que no se p uede comprobar, por parte del área aud itada q ue el proveedor haya atendido los incidentes/requerimientos en los tiempos especificados en el contrato.
La Dirección General de Tecnologías de la I nformación no cuenta con un Plan de Recuperación de Desastres (DRP) de Centros de Datos y Cuartos de Telecomunicaciones. El l istado del personal autorizado para los accesos a los Centros de Datos (CeDa) y/o Cuartos de Telecomu nicaciones ( I DF) no está debidamente actual izado de acuerdo a lo establecido en las Políticas de Segu ridad para los CeDa e IDF.
Existen desviaciones en e l cumplimiento de los compromisos para la gobernabi lidad de las tecnologías por el periodo 20 1 5-201 8 , los cuales se encuentran calendarizados dentro de las Líneas Generales de TIC .
¡ C O I T R A l O R \ �
Lic. Man&\A Jík �3�ómez Director G�eral de Auditoría
JCDOM/MDIG/JMMC
Lic. José Manuel Martínez Cortés Director de Evaluación del Desempeño
Estas firmas forman parte al I nforme de Auditoría número DED/201 7/1 4, relativo a la evaluación del desempeño de la Dirección General de Tecnologías de la Información, por el ejercicio del 1 de enero al 31 de diciembre de 201 6
26