0

Existen deficiencias en la infraestructura de hardware y software utilizados para la ciberdefensa de la Secretaría de la Defensa Nacional (Sedena).

estas deficiencias de la Sedena ponen en riesgo la operación de la dependencia que encabeza Luis Cresencio Sandoval.

Sedena Ciberseguridad

Así lo concluye una revisión de la Auditoría Superior de la Federación (ASF), que advierte que las deficiencias halladas podrían afectar:

  • La integridad
  • Disponibilidad
  • Confidencialidad de la información que maneja la Sedena.

La ASF dijo que a dicha conclusión se llegó al analizar la revisión de la información proporcionada por Sedena, relacionada con la administración y operación de los controles de ciberseguridad de la Secretaría.

Para que sigas Informado

Explicó que se analizaron las directrices, infraestructura y herramientas informáticas en esta materia.

Para ello se utilizó como referencia el documento Center for Internet Security (CIS) Controls IS Audit/Assurance Program.

Sedena

En dicho escrito se establecen 20 controles, integrados por 171 actividades para llevar a cabo la evaluación e identificación de las estrategias, políticas, procedimientos y controles de ciberdefensa implementados en la Sedena.

La ASF señaló que, en relación con la respuesta y manejo de incidentes de ciberseguridad, se detectó que la secretaría carece de la definición de un procedimiento de respuesta a incidentes de ciberseguridad.

Agregó que no se presentó la evidencia que acredite que la Secretaría de la Defensa Nacional cuente con comunicación con:

  • Organizaciones
  • Autoridades
  • Equipo de respuesta para emergencias informáticas
  • O algún otro grupo, con la finalidad de notificar vulnerabilidades o incidentes de gran importancia.

Igualmente, la auditoría puntualizó que no se realizan pruebas de escenarios de incidentes de seguridad cibernética con los usuarios de la Sedena.

Esto con la finalidad de validar que la estrategia de respuesta definida por la dependencia es adecuada y suficiente, en caso de una contingencia.

Ni se tuvo evidencia de la realización de pruebas de penetración y ejercicios de equipo rojo, con la finalidad de identificar información y dispositivos no protegidos, ni de la documentación y el seguimiento que se da a lo reportado en dichas pruebas, explicó.

Comments

Comments are closed.