Podría afectar la disponibilidad y confidencialidad de su información, ve la ASF
Existen deficiencias en la infraestructura de hardware y software utilizados para la ciberdefensa de la Secretaría de la Defensa Nacional (Sedena), que ponen en riesgo la operación de la dependencia que encabeza Luis Cresencio Sandoval.
Así lo concluye una revisión de la Auditoría Superior de la Federación (ASF), que advierte que las deficiencias halladas podrían afectar la integridad, disponibilidad y confidencialidad de la información que maneja la Sedena.
La ASF dijo que a dicha conclusión se llegó al analizar la revisión de la información proporcionada por Sedena, relacionada con la administración y operación de los controles de ciberseguridad de la Secretaría.
Explicó que se analizaron las directrices, infraestructura y herramientas informáticas en esta materia. Para ello se utilizó como referencia el documento Center for Internet Security (CIS) Controls IS Audit/Assurance Program.
En dicho escrito se establecen 20 controles, integrados por 171 actividades para llevar a cabo la evaluación e identificación de las estrategias, políticas, procedimientos y controles de ciberdefensa implementados en la Sedena.
La ASF dijo que en el análisis realizado se identificó que sólo dos controles son aceptables, cuatro se requieren fortalecer y 14 carecen de control.
Señaló que, en relación con la respuesta y manejo de incidentes de ciberseguridad, se detectó que la Sedena carece de la definición de un procedimiento de respuesta a incidentes de ciberseguridad.
Agregó que no se presentó la evidencia que acredite que la Secretaría de la Defensa Nacional cuente con comunicación con organizaciones, autoridades, equipo de respuesta para emergencias informáticas o algún otro grupo, con la finalidad de notificar vulnerabilidades o incidentes de gran importancia.
Igualmente, la auditoría puntualizó que no se realizan pruebas de escenarios de incidentes de seguridad cibernética con los usuarios de la Sedena, con la finalidad de validar que la estrategia de respuesta definida por la dependencia es adecuada y suficiente, en caso de una contingencia.
Ni se tuvo evidencia de la realización de pruebas de penetración y ejercicios de equipo rojo, con la finalidad de identificar información y dispositivos no protegidos, ni de la documentación y el seguimiento que se da a lo reportado en dichas pruebas, explicó.
El Financiero