Es preciso señalar que en el marco normativo a nivel local en específico en los Lineamientos del SISCOM, aprobados mediante acuerdo CG-0056-OCTUBRE-2017 por el Consejo General del Instituto, se encuentra establecida la realización de una auditoría informática al citado sistema.
PROCEDIMIENTO DE SELECCIÓN DEL ENTE AUDITOR DEL SISCOM
Análisis de los requisitos de auditoría informática del SISCOM.
En reunión de trabajo llevada a cabo el pasado día 10 de diciembre del 2020 y convocada mediante oficio [IEEBCS-COTASISCOM-C004-2020], la Unidad de Cómputo y Servicios Informáticos (UCSI) presentó ante las y los integrantes del COTASISCOM la primera versión de los requisitos de la auditoría informática del SISCOM a implementarse en el Proceso Local Electoral 2020-2021
Presentación de los requisitos de auditoría informática del SISCOM.
Una vez atendidas observaciones principalmente de forma emitidas por el Comité a los requisitos de la auditoría informática, dicho documento fue presentado en la Segunda Sesión Ordinaria del mismo Comité, el pasado día 29 de diciembre de 2020.
Remisión de los requisitos de auditoría informática del SISCOM a la Secretaría Ejecutiva del Instituto.
Validados los requisitos de la auditoría informática del sistema, y presentados tanto al Comité como a las y los integrantes del Consejo General en sesión del mismo Comité, el pasado día 05 de enero mediante oficio [IEEBCS-INSTANCIASISCOM-C001], dicho documento fue turnado a la Secretaría Ejecutiva del Instituto solicitando su atento apoyo para efectos de realizar los procedimientos administrativos que correspondan para la selección y eventual designación del ente auditor del SISCOM 2021.
Procedimiento de invitación a mínimo tres personas IEEBCS-I3P-02-2021.
El pasado día 21 de enero de 2021, el Comité de Adquisiciones, Arrendamientos y Servicios (CAAS) del Instituto, aprobó las bases para invitación a mínimo 3 personas con el identificador IEEBCS-I3P-02-2021. Sin embargo, el día 29 de enero de 2021, el CAAS declaró desierto dicho procedimiento al no contar con el mínimo suficiente de propuestas para su análisis, ya que solamente se recibió propuesta por parte del Tecnológico Nacional de México – Campus La Paz.
Procedimiento de invitación a mínimo tres personas IEEBCS-I3P-04-2021.
El pasado día 30 de enero de 2021, el Comité de Adquisiciones, Arrendamientos y Servicios (CAAS) del Instituto, aprobó las bases para invitación a mínimo 3 personas con el identificador IEEBCS-I3P-04-2021. Sin embargo, el día 5 de febrero de 2021, el CAAS declaró desierto dicho procedimiento, ya que las propuestas recibidas (Tecnológico de Monterrey – Escuela de Gobierno y Transformación Pública y Tecnológico Nacional de México – Campus La Paz), no cumplieron con la totalidad de los requerimientos establecidos en el anexo técnico.
Procedimiento de invitación a mínimo tres personas IEEBCS-I3P-06-2021
El pasado día 11 de febrero de 2021, el Comité de Adquisiciones, Arrendamientos y Servicios (CAAS) del Instituto, aprobó las bases para invitación a mínimo 3 personas con el identificador IEEBCS-I3P-06-2021.
El CAAS informó que turnó invitación a dicho procedimiento a las siguientes instituciones académicas y empresas particulares:
Tecnológico de Monterrey – Escuela de Gobierno y Transformación Pública
Tecnológico Nacional de México – Campus La Paz
Universidad Autónoma de Baja California Sur (UABCS)
Integración de Soluciones Estratégicas, S.A. de C.V.
Instituto Jalisciense de Tecnologías de Información
Por lo que el pasado día 18 de febrero de 2021, y una vez analizado las propuestas técnicas y económicas presentadas, el CAAS emitió el fallo correspondiente, designando al Tecnológico Nacional de México – Campus La Paz como el Ente Auditor del Sistema de Cómputos Distritales y Municipales (SISCOM) del Proceso Local Electoral 2020-2021.
Ejecución de la auditoría de la versión 3 del Sistema de Cómputos Distritales y Municipales (SISCOM)
El Tecnológico Nacional de México – Campus La Paz como Ente Auditor del SISCOM designó como integrantes de su equipo auditor a las y los siguientes catedráticos:
M.S.C. Armando Yuen Coria
M.S.C. Ana Luz Rodríguez Sarabia
De igual forma se designó al Lic. Jesús Israel Gallo Gastelum como enlace para cuestiones administrativas.
El Anexo Técnico de la Auditoría Informática, estableció los siguientes requerimientos y revisiones a realizarse por parte del Ente Auditor:
Pruebas funcionales de caja negra al SISCOM
El ente auditor deberá analizar el sistema informático del SISCOM, mediante la realización de pruebas funcionales de caja negra, para evaluar la integridad en el procesamiento de la información y generación de reportes. Deberá considerar, al menos, los siguientes aspectos:
✓Analizar el funcionamiento de cada uno de los módulos operativos del SISCOM, incluyendo los siguientes: Administrador del Sistema, Jornada Electoral, Grupos de Trabajo (GT) y Puntos de recuento (PR), Captura de Cómputos, Reportes y aquellos módulos que en su caso se agregasen al SISCOM, previo al inicio de la auditoría respectiva.
✓Se deberá realizar la captura de datos controlados (predefinidos) de la totalidad de las Actas de Escrutinio y Cómputo de un distrito electoral en particular (elección de Diputaciones). Dicho distrito electoral se definirá previo al inicio de las pruebas de caja negra. Los datos controlados contemplarán ciertos paquetes electorales con causales de recuento para efectos de validar la correcta funcionalidad de los módulos operativos del SISCOM, y posteriormente, una vez concluida la captura, se validará la generación de los reportes de cómputos oficiales.
Validación de las bases de datos del SISCOM
La base de datos que utilizará el SISCOM, deberá cumplir lo dispuesto respecto de la estructura de base de datos de cómputos establecida en el Anexo 15 y 18 del Reglamento de Elecciones.
Para ello, el Ente Auditor deberá revisar y validar la correcta generación de la base de datos con lo dispuesto en el mencionado Reglamento de Elecciones.
El ente auditor deberá realizar diversas pruebas en temas de seguridad informática, incluyendo:
Pruebas de negación de servicio
Inyección de código malicioso
Pruebas de acceso a módulos del SISCOM
Se deberá utilizar metodologías o estándares a nivel internacional, tales como la Guía de Pruebas OWASP, o equivalentes.
Acorde a los Lineamientos del SISCOM además de lo establecido en el citado Anexo Técnico, el ente auditor entregó los siguientes informes:
✓ Informe parcial de auditoría, que contendrá los resultados emitidos durante el proceso de auditoría, incluyendo lo siguiente:
1.- Los criterios utilizados para la auditoría;
2.- Los hallazgos identificados y clasificados, así como su método de clasificación;
3.- Las posibles recomendaciones que permitan al Instituto atender dichos hallazgos.
✓ Informe final de la auditoría, correspondiente a los resultados finales de la auditoría.
Ambos informes (tanto parcial como final), el ente auditor entregó una versión ejecutiva (enfocado para revisión y análisis de los órganos directivos del Instituto) y una versión técnica, donde se realizó una explicación más detallada respecto de cada una de las actividades y resultados generados por la auditoría informática del SISCOM.