Oficiala Mayor

Direccin General de Tecnologas de la Informacin y Comunicaciones

REQUERIMIENTO ORGNO INTERNO DE CONTROL EN LA SE

ASUNTO: Informe sobre las acciones realizadas en 2013, en materia de Seguridad de la Informacin en la SE

Evidencia:
Concepto (Sealar
Descripcin nombre de
archivo)
Revisin del cumplimiento de los controles mnimos de seguridad de la informacin solicitados en el Manual Los archivos
Administrativo de Aplicacin General en las Materias de Tecnologas de la Informacin y Comunicaciones y de adjuntos
Seguridad de la Informacin (MAAGTICSI) para incorporarse al Sistema de Gestin de Seguridad de la incluidos en la
Informacin. seccin tipos
de controles
aplicados.

Emisin del informe del estado de implementacin del MAAGTICSI, primer trimestre de 2013, el cual detalla un 01 Reporte
conjunto de actividades de mejora para los 29 procesos del MAAGTICSI, toda vez que a juicio de la Direccin MAAGTICSI 1er
General de Tecnologas de la Informacin y Comunicaciones, la implementacin existente a noviembre de 2012, semestre 2013
resultaba con una implementacin insuficiente y una gran cantidad de oportunidades de mejora. Situacin que ok.pdf
se hizo del conocimiento del rgano Interno de Control en esta Dependencia.
02 Mensaje de
envo de
informe al
OIC.pdf

Acciones realizadas 03 Acta de la

durante el ejercicio 2013 Emisin del documento de Integracin y de Trabajo Estratgico de Seguridad, con fecha de noviembre del 2013, Primera Sesin
que detalla los objetivos, roles, operacin del Grupo, responsabilidades y operacin del citado Grupo. del Grupo de
Trabajo de
Direccin de
TIC.pdf

Realizacin de la Primer Sesin Formal del Grupo de Trabajo Estratgico de Seguridad de la informacin. 04 Minuta
Cmo parte de esta ltima accin, se revisaron dos documentos de caractersticas relevantes para la Primer Reunin
implementacin de las mejoras a los procesos relativos a la administracin de la seguridad de la informacin: del Grupo de
Trabajo
- Como resultado de los trabajos realizados en los meses anteriores y la mejora al Proceso de Seguridad de Estrategico de
la Informacin, se present ante el Grupo de Trabajo el Primer Borrador de la Poltica de Seguridad de la Seguridad de la
Informacin, que contempla la organizacin de la seguridad, la identificacin y valoracin de activos de Informacin.pd
informacin, la seguridad fsica, la gestin de comunicaciones y operaciones, entre otros; asimismo, se f
someti a consideracin y se analiz la Herramienta para la elaboracin del Anlisis de Riesgos.
05 Borrador
polticas de

Pgina 1 de 11
Perifrico Sur No. 3025 piso 9, Col. San Jernimo Aculco, Delegacin Magdalena Contreras, C.P. 10400, Mxico D.F.
Tel. (55) 5629-9500 ext. 27400 www.economia.gob.mx
 Oficiala Mayor
Direccin General de Tecnologas de la Informacin y Comunicaciones

REQUERIMIENTO ORGNO INTERNO DE CONTROL EN LA SE

- Derivado de las observaciones y sugerencias realizadas a dicho borrador, se elabor un segundo seguridad_Sec
documento de Polticas de Seguridad de la Informacin, el cual presenta mejoras en cuanto al contenido retaria de
ms apegado a la norma internacional ISO/IEC 27002 aplicable para la SE y el cual fue reportado en el sitio Economa.doc
denominado Base del conocimiento del OIC utilizado como repositorio de documentacin para la
evaluacin del informe anual de autoevaluacin del Sistema de Control Interno Institucional en julio de 2014. 06 SGSI -
Herramienta
El 8 de mayo de 2014, es publicado el ACUERDO que tiene por objeto emitir las polticas y disposiciones para para el Analisis
la Estrategia Digital Nacional, en materia de tecnologas de la informacin y comunicaciones, y en la de de Riesgos.xls
seguridad de la informacin, as como establecer el Manual Administrativo de Aplicacin General en dichas
materias (MAAGTICSI), quedando abrogada su versin anterior, reducindose de 29 procesos que 07
anteriormente se contemplaban a 9 procesos, dentro de los que se encuentra el referente a seguridad de la 3_3_f_1_politic
informacin. En este sentido, la ptica con la que se realizaron los dos primeros borradores en materia de aDeSeg_07201
seguridad de la informacin y dems actividades realizadas en la materia, debi ser cambiada, ya que el 4.pdf
mencionado Acuerdo emite por s mismo diversas polticas y disposiciones en materia de seguridad de la
informacin que deben ser acatadas a partir de la fecha de su entrada en vigor. 08 Vnculo
hacia la Base
En razn de lo anterior, al amparo de las nuevas polticas que en materia de seguridad de la informacin que del
establece el MAAGTICSI, la DGTIC inici los trabajos respectivos y habilit en su totalidad el proceso de Conocimiento
Administracin de la Seguridad de la Informacin (ASI) mediante los productos: del OIC.txt

ASI F1 Integracin y operacin del Grupo Estratgico de Seguridad de la Informacin.

09 MAAGTICSI
ASI F2 Catlogo de infraestructuras crticas. 2014.pdf
ASI F3 Documento de resultados del anlisis de riesgos.
ASI F4 Documento de definicin del SGSI
ASI F5 Directriz rectora de respuesta a incidentes.

En este sentido, es de sealarse que se encuentran implementados los controles vigentes en materia de
seguridad de la informacin en la SE, tal como lo establece el Acuerdo que tiene por objeto emitir las polticas y
disposiciones para la Estrategia Digital Nacional, en materia de tecnologas de la informacin y comunicaciones,
y en la de seguridad de la informacin, as como establecer el Manual Administrativo de Aplicacin General en
dichas materias (D.O.F. 08-05-2014).
10 MAAGTICSI
Ante la necesidad de una mejora en los procesos MAAGTICSI implementados durante el 2012 en la SE y al cambio en 2010 con
la normativa mencionada el 8 de mayo de 2014, la DGTIC, durante el 2013 mantuvo el cumplimiento de los controles de reformas del
seguridad de la informacin exigidos por el MAGGTICSI en la actividad ASI 7, del apartado 5.2.1 ASI- Administracin de 220820214.pdf
la Seguridad de la Informacin del ACUERDO por el que se reforma y adiciona el diverso por el que se establecen las
disposiciones administrativas en materia de tecnologas de la informacin y comunicaciones y de seguridad de la
Tipos de controles informacin, y se expide el Manual Administrativo de Aplicacin General en esas materias, publicado en el D.O.F. el 13
aplicados de julio de 2010, ltima reforma del 22 de agosto de 2012.

La DGTIC vigilando y supervisando el cumplimiento de estos requisitos favoreci en todo momento la prevalencia de las
caractersticas de la integridad, disponibilidad y confidencialidad de la informacin en uso, manejo, transmisin o
almacenaje en la Secretara de Economa, por lo que en este sentido en ningn momento se vio comprometida la
seguridad de la informacin en la Dependencia. An ms, los requerimientos de seguridad de la informacin establecidos
por la Secretara de Economa, en los instrumentos jurdicos por los cuales se prestan los servicios de TIC, esta unidad

Pgina 2 de 11
Perifrico Sur No. 3025 piso 9, Col. San Jernimo Aculco, Delegacin Magdalena Contreras, C.P. 10400, Mxico D.F.
Tel. (55) 5629-9500 ext. 27400 www.economia.gob.mx
 Oficiala Mayor
Direccin General de Tecnologas de la Informacin y Comunicaciones

REQUERIMIENTO ORGNO INTERNO DE CONTROL EN LA SE

administrativa considera que con los mismos se superan los requisitos mnimos establecidos en la actividad ASI 7 del
MAAGTICSI, asegurando por tanto, la prevalencia de la seguridad de la informacin en la Dependencia.

Para demostrar lo anterior, se refieren a continuacin los controles mnimos de seguridad de la informacin descritos en
la actividad ASI 7 del MAAGTICSI vigente en 2013, y al mismo tiempo se presenta la relacin con la evidencia de su
cumplimiento:

Control exigido por el MAAGTICSI Cumplimiento Evidencia

a) La definicin, en trminos de
seguridad, de la viabilidad del
software que se pretenda adquirir e
instalar en los equipos de cmputo,
dispositivos electrnicos o sistemas
de informacin.
b) La designacin de personal en las
reas relacionadas con el manejo,
administracin y gestin de los
activos de informacin de la
Institucin, con apego a las
disposiciones jurdicas aplicables y,
considerando los procedimientos
que, en su caso, se tengan
implantados en el rea o unidad
administrativa de que se trate.
En materia de seguridad de la
informacin es de sealarse, por una
parte, que para el software que se
instala en equipos destinados a
usuario final se utiliza software de
oficina con licencias originales, tal y
como se constata de la contratacin
correspondiente, razn por la cual la
viabilidad en trminos de seguridad
del software a instalar queda
garantizado.
11 Contrato Microsoft.pdf
Para los sistemas operativos de
servidores, as como para las bases
de datos y software de virtualizacin, 12 Contrato Cmputo
durante 2013, se utiliz Administrado.pdf
licenciamiento confiable provisto por
el centro de datos contratado por la
Dependencia a travs de los 13 Contrato Centro de Datos.pdf
procedimientos administrativos
correspondientes y celebrndose el
instrumento jurdico correspondiente,
en cuyo anexo tcnico, en especfico
en la seccin II.1.1.2 SOFTWARE, se
establecieron las caractersticas que
deba reunir dicho software y su
provisin, razn por la cual la
viabilidad en trminos de software
quedaba garantizada.
Desde el Manual de Organizacin de
la DGTIC de diciembre de 2012 hasta
el Manual de Organizacin 14 Manual de Organizacin DGTIC
Dictaminado en abril de 2014, 2012.pdf
contemplan las funciones de las
reas relacionadas con el manejo, 15 Manual de Organizacin DGTIC
administracin y gestin de los 2014.pdf
activos de la informacin, lo cual
tambin se refiere en el perfil de
puestos, la Matriz RACI y los oficios

Pgina 3 de 11
Perifrico Sur No. 3025 piso 9, Col. San Jernimo Aculco, Delegacin Magdalena Contreras, C.P. 10400, Mxico D.F.
Tel. (55) 5629-9500 ext. 27400 www.economia.gob.mx

REQUERIMIENTO ORGNO INTERNO DE CONTROL EN LA SE
c) La instalacin y configuracin del
software, as como para la
administracin de la seguridad de las
soluciones tecnolgicas y servicios
de TIC que se utilicen en la
Institucin.
d) El ingreso y salida de activos de
informacin.
e) El borrado seguro de dispositivos
de almacenamiento que por algn
motivo necesiten ser reparados,
Perifrico Sur No. 3025 piso 9, Col. San Jernimo Aculco, Delegacin Magdalena Contreras, C.P. 10400, Mxico D.F.
Oficiala Mayor
Direccin General de Tecnologas de la Informacin y Comunicaciones
de designacin de funciones y de
responsables de procesos que se
adjuntan como evidencia.
En la instalacin y configuracin del
software durante 2013, el contrato
respectivo aseguraba la instalacin
del software de usuario final mediante
una imagen de disco duro que
garantizaba la no existencia de
cdigo malicioso en los equipos, tal y
como puede corroborarse en la
seccin 3.2 del anexo tcnico
respectivo. 12 Contrato Cmputo
Administrado.pdf
Por lo que hace a los sistemas
operativos de servidores, as como
para las bases de datos y software 13 Contrato Centro de Datos.pdf
provisto a travs del centro de datos,
para todos los servidores virtuales se
garantiz mediante la contratacin
correspondiente que deban contar
con los antivirus necesarios y el
licenciamiento requerido para su
operacin a nivel sistemas operativos
y software de monitoreo.
Respecto a los activos fsicos durante
el 2013, se procedi en estricto
apego a los procedimientos de
ingreso y salida de equipos en los
inmuebles de la SE, establecidos por
la DGRMSG.
Asimismo y por lo que hace a activos
lgicos, en los contratos celebrados
y/o vigentes en el 2013, para
provisin de servicios por terceros
que celebr la Dependencia en
materia de TIC, se cuenta con una
clusula de confidencialidad a fin de
garantizar la seguridad de aplicativos
e informacin de las bases de datos,
as como la confidencialidad de la
informacin y resguardo de la misma.
Por lo que hace al borrado seguro de
las computadoras asignadas a 12 Contrato Cmputo
usuarios finales, el contrato Administrado.pdf
respectivo refera las caractersticas
Pgina 4 de 11
Tel. (55) 5629-9500 ext. 27400 www.economia.gob.mx

REQUERIMIENTO ORGNO INTERNO DE CONTROL EN LA SE
reemplazados o asignados a otro
usuario.
f) Evitar el dao, prdida, robo, copia
y acceso no autorizados a los activos
de informacin.
g) Garantizar la asignacin,
revocacin, supresin o modificacin
de los privilegios de acceso a la
informacin otorgados a servidores
pblicos de la Institucin y de otras
instituciones, as como al personal de
los proveedores de servicios u otros
usuarios, al inicio o trmino de su
empleo, cargo o comisin, relacin
contractual o de cualquier otra
naturaleza, o bien, cuando por algn
motivo el nivel de privilegios de
acceso asignado cambie.
h) Los criterios de asignacin de
usuarios y contraseas permitidas
para los diversos componentes de los
dominios tecnolgicos.
Perifrico Sur No. 3025 piso 9, Col. San Jernimo Aculco, Delegacin Magdalena Contreras, C.P. 10400, Mxico D.F.
Oficiala Mayor
Direccin General de Tecnologas de la Informacin y Comunicaciones
bajo las cuales se procedera
respecto de los equipos con
contenido en los discos duros y el
manejo de la misma, tal y como podr
observarse del anexo tcnico
respectivo.
Con respecto al robo, dao o siniestro
causado por desastres naturales de
los equipos de usuario final, en el
contrato respectivo se exigi al
proveedor contar con los seguros
respectivos, sin costo extra para la
SE, que permitieran la reposicin de
los equipos.
12 Contrato Cmputo
Ahora bien, respecto al centro de Administrado.pdf
datos donde se procesa la
informacin sensible de la SE, se
prev como una obligacin del 13 Contrato Centro de Datos.pdf
proveedor el establecer
procedimientos de seguridad
auditables que garantizaran los
mecanismos necesarios para impedir
el acceso a usuarios no autorizados,
tal y como se aprecia en la seccin
servicios de seguridad informtica del
anexo tcnico respectivo.
La SE contaba en el 2013 con la
herramienta TICS, con la cual los
coordinadores administrativos de la
Dependencia, solicitan altas y bajas
de usuarios para la asignacin,
revocacin, supresin o modificacin
de los privilegios de acceso a la
informacin otorgados a servidores
pblicos de la Institucin.
Las contraseas de los equipos de
usuario final siguen las restricciones 16 Pantalla control de contraseas
bsicas del sistema operativo de red de usuarios DA.pdf
y en particular del Directorio Activo
de Microsoft, para efectos de lo
anterior se aporta la impresin de
pantalla con la herramienta que
Pgina 5 de 11
Tel. (55) 5629-9500 ext. 27400 www.economia.gob.mx
 Oficiala Mayor
Direccin General de Tecnologas de la Informacin y Comunicaciones

REQUERIMIENTO ORGNO INTERNO DE CONTROL EN LA SE

permite la definicin de las polticas 17 Directrices de Arquitectura

de contraseas a los usuarios finales. Tecnolgica.pdf

Ahora bien, en el documento

denominado Directrices de
arquitectura tecnolgica de 2013,
establece los lineamientos aplicables
para el desarrollo e implementacin
de soluciones tecnolgicas en la
DGTIC, en el numeral VII. Criterios de
Seguridad de la informacin, contiene
un apartado especfico que establece
las condiciones de diseo de
contraseas.
i) La configuracin de las Como consecuencia de la ejecucin
herramientas de proteccin de los contratos celebrados para la
implementadas en las redes prestacin de servicios de
institucionales. telecomunicaciones y de centro de
datos se cont en 2013 con la
disponibilidad de herramientas de
proteccin implementadas en las
redes institucionales, tales como,
equipos firewall, equipos de
proteccin de intrusos, filtrados de 18 Contrato de Servicios de
contenido, equipos antispam, entre Telecomunicaciones.pdf
otros. Tal y como puede observarse
de los requerimientos establecidos a
pgina 45 del anexo tcnico del
instrumento jurdico relativo a
telecomunicaciones y en apartado
servicios de seguridad informtica,
del correspondiente al centro de
datos.
j) Las conexiones a redes pblicas y En 2013, el acceso a la red
privadas, as como para los institucional fue permitido solamente
dispositivos electrnicos que a los usuarios registrados en el
contengan informacin considerada Directorio Activo de la SE, en el cual
como reservada o sensible para la se establece los perfiles y privilegios
Institucin. para cada uno de los usuarios y de
los recursos de red a los que pueden
acceder.

Por lo que hace al acceso a los

servidores hospedados en centro de
datos, slo se puede acceder a travs
de la red interna de la SE. Esto es,
quienes administran de manera

Pgina 6 de 11
Perifrico Sur No. 3025 piso 9, Col. San Jernimo Aculco, Delegacin Magdalena Contreras, C.P. 10400, Mxico D.F.
Tel. (55) 5629-9500 ext. 27400 www.economia.gob.mx

REQUERIMIENTO ORGNO INTERNO DE CONTROL EN LA SE
k) La seguridad fsica y lgica que
permita mantener la confidencialidad,
integridad y disponibilidad de los
respaldos de informacin.
l) El uso del servicio de Internet en la
Institucin, el cual debe contar con
herramientas de seguridad y de
filtrado de contenido.
m) El intercambio seguro de la
informacin, ya sea de manera
interna o hacia el exterior.
n) Que la informacin clasificada o
aqulla que tiene valor para la
Institucin, sea respaldada y el contrato celebrado para el centro
restaurada en el momento en que se
requiera.
Perifrico Sur No. 3025 piso 9, Col. San Jernimo Aculco, Delegacin Magdalena Contreras, C.P. 10400, Mxico D.F.
Oficiala Mayor
Direccin General de Tecnologas de la Informacin y Comunicaciones
remota inicialmente deben
conectarse a la red de la SE antes de
poder administrar un servidor de los
descritos.
Por lo que hace a la seguridad fsica
y lgica de la informacin sensible
para la SE, el contrato celebrado para
el centro de datos que respalda dicha
informacin, establece en su seccin
II.1.1 .4 servicios de almacenamiento
y respaldo, las caractersticas fsicas 13 Contrato Centro de Datos.pdf
del almacenamiento masivo, las
caractersticas tcnicas de la
arquitectura de respaldo y los
servicios de restauracin de
informacin.
Como consecuencia de la ejecucin
del contrato celebrado para la
prestacin de servicios de
telecomunicaciones, se garantiz la 18 Contrato de Servicios de
existencia de herramientas de Telecomunicaciones.pdf
seguridad y filtrado de contenido, tal
y como se observa en las pginas 45
a 50 del anexo tcnico respectivo.
El servicio de correo electrnico de la
SE se ve fortalecido con las
caractersticas solicitadas al
proveedor de servicios de
telecomunicaciones en el contrato
respectivo, en el apartado que exige
la existencia de anti spam y anti virus
para correo, tal y como se observa a
foja 49 del anexo tcnico respectivo, 18 Contrato de Servicios de
entre otras, filtrado de correo Telecomunicaciones.pdf
electrnico malicioso o basura, tanto
entrante como saliente, filtro de
reputacin, as como la capacidad de
proteger a los usuarios de spam,
malware , virus, phishing, spyware,
speardphishing y zombiatacs, entre
otros.
Por lo que hace a la informacin
clasificada o sensible para la SE, en
13 Contrato Centro de Datos.pdf
de datos se garantiza el respaldo y
restauracin de la informacin, tal y
Pgina 7 de 11
Tel. (55) 5629-9500 ext. 27400 www.economia.gob.mx
 Oficiala Mayor
Direccin General de Tecnologas de la Informacin y Comunicaciones

REQUERIMIENTO ORGNO INTERNO DE CONTROL EN LA SE

como se observa en la seccin

II.1.1.4 del anexo tcnico, el cual
refiere al servicios de
almacenamiento y respaldo, las
caractersticas fsicas del
almacenamiento masivo, las
caractersticas tcnicas de la
arquitectura de respaldo y los
servicios de restauracin de
informacin.
o) Contar con registros de auditora y En el contrato celebrado para el
bitcoras de seguridad en los centro de datos se requieren
sistemas identificados como crticos, herramientas de monitoreo y de
as como las condiciones de trazabilidad del acceso a los
seguridad que impidan borrar o servidores en Centro de Datos,
alterar estos. asimismo que se garantiza como
parte de ese monitoreo la 13 Contrato Centro de Datos.pdf
disponibilidad de registros de
auditoras y bitcoras de seguridad,
tal y como se observa en el apartado
la pgina de 14 del instrumento
jurdico respectivo.
ACUERDO por el que se reforma y adiciona el diverso por el que se establecen las disposiciones administrativas
Normatividad aplicable al en materia de tecnologas de la informacin y comunicaciones y de seguridad de la informacin, y se expide el
caso concreto Manual Administrativo de Aplicacin General en esas materias, publicado en el D.O.F. el 13 de julio de 2010,
ltima reforma del 22 de agosto de 2012.
Nombre del servidor
Por atribuciones incluidas en el Manual de Organizacin del 13 de diciembre de 2012, en el numeral 5 de las
funciones del Director de Gestin de Seguridad y Calidad de la Informacin y el conjunto de Funciones
pblico encargado del derivadas del Manual Administrativo de Aplicacin General en las Materias de Tecnologas de la Informacin y
cumplimiento, vigilancia Comunicaciones y de Seguridad de la Informacin (MAAGTIC-SI), publicado en el Diario Oficial de la Federacin
y supervisin del el 13 de julio de 2010, modificado el 29 de noviembre de 2011 y el 22 de agosto de 2012, desde inicio del 2013
proceso y hasta el 14 de noviembre de 2013: el Director de Gestin de Seguridad y Calidad de la Informacin.

Pgina 8 de 11
Perifrico Sur No. 3025 piso 9, Col. San Jernimo Aculco, Delegacin Magdalena Contreras, C.P. 10400, Mxico D.F.
Tel. (55) 5629-9500 ext. 27400 www.economia.gob.mx
 Oficiala Mayor
Direccin General de Tecnologas de la Informacin y Comunicaciones

REQUERIMIENTO ORGNO INTERNO DE CONTROL EN LA SE

AHORA BIEN, POR LO QUE SE REFIERE EN PARTICULAR A LAS OBSERVACIONES REALIZADAS POR LA ASF COMO CONSECUENCIA DE LA AUDITORA
282 APROVECHAMIENTO DE RECURSOS, INFRAESTRUCTURA Y SERVICIOS DE TIC, DADAS A CONOCER A TRAVS DEL INFORME DE RESULTADOS, A
CONTINUACIN SE ESTABLECEN LAS JUSTIFICACIONES Y ACLARACIONES QUE ESTA UNIDAD ADMINISTRATIVA CONSIDERA NECESARIAS SEALAR A
FIN DE DEMOSTRAR EL CUMPLIMIENTO DE ACCIONES EN MATERIA DE GOBERNABILIDAD Y ADMINISTRACIN DE TIC.
Nmero de resultado 9
Descripcin del resultado Gestin de la Seguridad de Tecnologas de la Informacin y Comunicaciones (TIC) y Continuidad de los Servicios
Del anlisis de la informacin proporcionada por la Secretara de Economa (SE) relacionada con la Administracin de la Seguridad de la Informacin (ASI) y la Operacin
de los Controles de Seguridad de la Informacin y del ERISC (OPEC), del Manual Administrativo de Aplicacin General en Materia de Tecnologas de la Informacin y
Comunicaciones (MAAGTIC-SI) se determin lo siguiente:

De la documentacin de lineamientos y controles de seguridad de la informacin:

No se implementaron los procesos y controles para la gestin de la seguridad ASI y OPEC, establecidos por el MAAGTIC-SI.
No se tiene implementado el Sistema de Gestin de Seguridad de la Informacin (SGSI) y el documento de declaracin de aplicabilidad de controles de seguridad
conocido como SoA (Statement of Aplicability).
Durante 2013, no se cont con un procedimiento formal para la atencin de incidentes de seguridad, por medio del cual se definan las acciones a seguir, los niveles
de atencin o escalamiento, para garantizar su atencin, cierre, y documentacin, sin embargo, durante el proceso de la auditora la entidad desarroll la Directriz
rectora de respuesta a incidentes, que contiene roles y responsabilidades a seguir en caso de incidentes; dicho documento fue autorizado por la Direccin General
de Tecnologas de la Informacin y Comunicacin y el Secretario Tcnico del GESI. Asimismo, se valid la documentacin relacionada al procedimiento de
clasificacin de la informacin, en la cual se observa que se encuentra basado en lo establecido en la Ley Federal de Transparencia y Acceso a la Informacin,
conforme a los criterios emitidos por el Comit de Informacin Institucional.
No se cuenta con polticas formalizadas en materia de seguridad de la informacin.
El "Documento de integracin y operacin del Grupo de trabajo para la Direccin de TIC", con fecha de noviembre del 2013, detalla las actividades del Grupo de
Trabajo Estratgico de Seguridad y no las que le corresponden al Grupo de trabajo de la Direccin de TIC; sin embargo, durante el desarrollo de la auditora, se
valid el Acta de integracin y forma de operacin del Grupo de Trabajo para la Direccin de TIC, con fecha del 31 de octubre de 2014, la cual cuenta con todas las
firmas de autorizacin; dicho grupo tiene como objetivo el emitir las polticas y disposiciones para la Estrategia Digital Nacional, en materia de TIC y Seguridad de la
Informacin.
En relacin a la gestin de usuarios y contraseas:

No se ha establecido procedimiento estandarizado para la administracin de usuarios y cuentas de administracin, ya que cada dueo de los aplicativos las gestiona
de diferente manera y existen solicitudes de usuario que no se tienen documentadas, se atienden por medio de llamadas telefnicas sin dejar registro.
No se cuenta con una matriz de perfiles para todas las aplicaciones, ni con un procedimiento formal y estandarizado para su creacin y mantenimiento.
Se carece de documentacin formal del procedimiento de depuracin de usuarios, no existe procedimiento estandarizado de recertificacin de usuarios para los
aplicativos.
No se ha formalizado y estandarizado una poltica de contraseas para, sistema operativo, bases de datos y aplicativos.

Pgina 9 de 11
Perifrico Sur No. 3025 piso 9, Col. San Jernimo Aculco, Delegacin Magdalena Contreras, C.P. 10400, Mxico D.F.
Tel. (55) 5629-9500 ext. 27400 www.economia.gob.mx
 Oficiala Mayor
Direccin General de Tecnologas de la Informacin y Comunicaciones

REQUERIMIENTO ORGNO INTERNO DE CONTROL EN LA SE

En relacin a la continuidad de la operacin:

No se tienen definidos los procedimientos de DRP (Disaster Recovery Plan) y BCP (Business Continuity Plan).

Por lo anterior, se concluye que los controles existentes no son suficientes para garantizar la gestin de la seguridad de la informacin en la Secretara, y se pone en riesgo
la confidencialidad, integridad y disponibilidad de la informacin. El titular de la Direccin General de Tecnologas de Informacin y Comunicaciones, no cumpli con lo
establecido en los procesos ASI y OPEC de MAAGTIC-SI y con el Reglamento Interior de la Secretara de Economa.
Evidencia:
(Sealar
PRAS Justificacin y/o Aclaracin por parte de la DGTIC nombre de
archivo)
Acorde a lo establecido en el Acuerdo que tiene por objeto emitir las polticas y disposiciones para la Estrategia Digital ASI F1
13-9-10104-02-0282-08- Nacional, en materia de tecnologas de la informacin y comunicaciones, y en la de seguridad de la informacin, as Integracin y
004 como establecer el Manual Administrativo de Aplicacin General en dichas materias (D.O.F. 08-05-2014), esta Direccin operacin del
General ya habilit el proceso de Administracin de la Seguridad de la Informacin (ASI) mediante los productos: Grupo
Ante el rgano Interno de Estratgico de
Control en la Secretara ASI F1 Integracin y operacin del Grupo Estratgico de Seguridad de la Informacin. Seguridad de la
Economa para que realice Informacin.pd
ASI F2 Catlogo de infraestructuras crticas.
las investigaciones f
ASI F3 Documento de resultados del anlisis de riesgos.
pertinentes y, en su caso,
ASI F4 Documento de definicin del SGSI
inicie el procedimiento ASI F2
ASI F5 Directriz rectora de respuesta a incidentes. Catlogo de
administrativo
correspondiente por los infraestructura
Este avance fue informado a la Unidad de Gobierno Digital mediante oficio 713.0038/2015 de fecha 29 de enero del 2015. s crticas.pdf
actos u omisiones de los
servidores pblicos de la
En especfico, para lo relacionado con la gestin de usuarios, su procedimiento estandarizado de creacin, mantenimiento ASI F3
Direccin General de
y depuracin, as como de las contraseas, se aclara que dentro del producto ASI F4 y como parte de los controles que Documento de
Tecnologas de
causan aplicabilidad se establecen dos de ellos para el correcto uso de contraseas y asignacin de perfiles: resultados del
Informacin y
Comunicaciones que en su anlisis de
gestin no garantizaron la MAAGTICSI-052014-07: Control sobre la asignacin, revocacin, supresin o modificacin de los privilegios de riesgos.pdf
seguridad de la informacin acceso a la informacin otorgados a servidores pblicos de la Secretara de Economa, de otras Instituciones y
en la Secretara, ya que no terceros contratados para provisin de servicios. ASI F3
se implementaron los Integracin
controles de seguridad ARI-112014-04: Uso de contraseas. ETAR.pdf
requeridos por el
MAAGTIC-SI, poniendo en Finalmente y como se ha manifestado previamente a la ASF, la puesta en operacin del Centro de Datos "B" (DRP), se ASI F4
riesgo la confidencialidad, tiene prevista la fecha de inicio del proyecto para el 01/07/2015, por lo que para dar certeza a que dicha iniciativa es Documento de
integridad y disponibilidad prioritaria para esta Dependencia, es de sealarse que en la Primera Sesin Semestral del Grupo de Trabajo para la definicin del
de la informacin. Direccin de TIC de la Secretara de Economa, llevada a cabo el 3 de diciembre de 2014, el citado proyecto fue aprobado SGSI.pdf
por el Grupo como estratgico de la Institucin. No se omite mencionar, que dicho Grupo est conformado mediante

Pgina 10 de 11
Perifrico Sur No. 3025 piso 9, Col. San Jernimo Aculco, Delegacin Magdalena Contreras, C.P. 10400, Mxico D.F.
Tel. (55) 5629-9500 ext. 27400 www.economia.gob.mx
 Oficiala Mayor
Direccin General de Tecnologas de la Informacin y Comunicaciones

REQUERIMIENTO ORGNO INTERNO DE CONTROL EN LA SE

designacin del C. Secretario por el Oficial Mayor, el Director General de Planeacin y Evaluacin y el Director General ASI F5 Directriz
de Tecnologas de la Informacin y Comunicaciones. rectora de
respuesta a
En este sentido, es de sealarse que se encuentran implementados los controles vigentes en materia de seguridad de la incidentes.pdf
informacin, tal como lo establece el Acuerdo que tiene por objeto emitir las polticas y disposiciones para la Estrategia
Digital Nacional, en materia de tecnologas de la informacin y comunicaciones, y en la de seguridad de la informacin, Informe a la
as como establecer el Manual Administrativo de Aplicacin General en dichas materias (D.O.F. 08-05-2014). UGD enero
2015 ASI
OPEC.pdf
Por lo anterior, respetuosamente se solicita a ese rgano Fiscalizador se tomen en consideracin los argumentos antes
vertidos a fin de dar por solventadas las observaciones determinadas y en este tenor con fundamento en el penltimo Acta de la
prrafo del artculo 31 de la Ley de Fiscalizacin y Rendicin de Cuentas de la Federacin, se est en posibilidad de no Primera Sesin
formularse la accin promovida del Grupo de
Trabajo de
Direccin de
TIC.pdf

Oficio con
designacin
del C.
Secretario a
integrantes del
Grupo de
Trabajo.pdf

(1)
Promocin de Responsabilidad Administrativa Sancionatoria

Nmero de CDs

Ing. Carlos Antonio Deance Bravo y Troncoso

Director General Adjunto de Infraestructura de Cmputo y Telecomunicaciones

Ing. Nstor Eduardo Galvn Zamora

Director General Tecnologas de la Informacin y Comunicaciones

Pgina 11 de 11
Perifrico Sur No. 3025 piso 9, Col. San Jernimo Aculco, Delegacin Magdalena Contreras, C.P. 10400, Mxico D.F.
Tel. (55) 5629-9500 ext. 27400 www.economia.gob.mx