La operación de la SEDENA podría estar en riesgo, lo mismo que la información que maneja ante deficiencias en la infraestructura de hardware y software que utiliza para su ciberdefensa.
La Auditoría Superior de la Federación (ASF) identificó que de 20 controles que utilizó para evaluar e identificar estrategias, políticas, procedimientos y controles de ciberdefensa en la infraestructura de la Secretaría de la Defensa Nacional (SEDENA), sólo dos son aceptables.
Otros cuatro deben fortalecerse y 14 carecen de control.
Los 20 controles fueron diseñados para aplicarse en 171 actividades que realiza la dependencia castrense.
Te interesa leer: Amonestaciones y suspensiones de un mes, los castigos de SEDENA por negligencias para contratar servicios
En función de ello, el análisis de la ASF plantea que la disponibilidad y confidencialidad de la información que maneja la Secretaría, podrían estar comprometidas.
La ASF analizó las directrices, infraestructura y herramientas informáticas en esta materia.
Para ello se utilizó como referencia el documento Center for Internet Security (CIS) Controls IS Audit/Assurance Program.
Estratega sin planes
En relación con la respuesta y manejo de incidentes de ciberseguridad, se detectó que la Sedena carece de la definición de un procedimiento de respuesta a incidentes de ciberseguridad.
Agregó que no se presentó la evidencia que acredite que la Secretaría de la Defensa Nacional cuente con comunicación con organizaciones, autoridades, equipo de respuesta para emergencias informáticas.
Lo mismo que con algún otro grupo, con la finalidad de notificar vulnerabilidades o incidentes de gran importancia.
Tampoco hace pruebas
Igualmente, la auditoría puntualizó que no se realizan pruebas de escenarios de incidentes de seguridad cibernética con los usuarios de la Sedena.
Ello con la finalidad de validar que la estrategia de respuesta definida por la dependencia es adecuada y suficiente, en caso de una contingencia.
Tampoco se tuvo evidencia de la realización de pruebas de penetración y ejercicios de equipo rojo, con la finalidad de identificar información y dispositivos no protegidos, ni de la documentación.
Mucho menos del seguimiento que se da a lo reportado en dichas pruebas, explicó.