El día 24 de julio de 2025, acudimos al domicilio fiscal de Ediciones Paulinas, ubicado en Calzada Taxqueña número 1792, Colonia Paseos de Taxqueña, C.P. 04250, Coyoacán, Ciudad de México, con el fin de entrevistar a Jorge Benítez, encargado del área de sistemas, para conocer detalles sobre los sistemas, lo anterior como parte del diagnóstico inicial de auditoría solicitado por la Dirección de la entidad.
Jorge Benítez inició labores en la entidad a partir del mes de abril de 2018, siendo el encargado del área de sistemas, siendo sus principales responsabilidades los sistemas o software, redes, sistemas de videovigilancia, servidores, impresoras, conmutador, conexiones a internet, telefonía IP, entre otros.
Se cuenta con un aproximado de 130 equipos de cómputo con el sistema operativo Windows, los cuales no tienen políticas de seguridad, ni herramientas de inventario de software instalado, esto aumenta el riesgo entre otros puntos de seguridad como son: ataques cibernéticos, virus, ransomware, exposición de información confidencial.
Los sistemas de vigilancia no cuentan con un sistema centralizado de control, por ejemplo, DVR. Se lleva un control de accesos a las cámaras no centralizado. Ello complica el control de accesos a cada una de las cámaras, aumentando exponencialmente el riesgo de intrusión en el sistema de video vigilancia.
La seguridad de la red esta basada en el servicio de firewall que esta integrado en el router proporcionado por el proveedor de internet (2 proveedores). Con lo cual no existe una segmentación en la red y el riesgo ante un ataque por hackers queda expuestos todos los sistemas, con un exponencial riesgo de robo de información, cuentas, clientes, etc.
No existen controles biométricos, esto aumenta el riego sobre controles de accesos no autorizados al área de sistemas o áreas críticas.
Almacenamiento de información, se lleva dentro de las mismas PC que igualmente hacen uso de servidores. Aunque cuentan con mecanismos de respaldos, estos son manuales y portátiles no son de manera automatizada, dependiendo de personal técnico para su realización.
Los sistemas se administran de manera individual, es decir, no se cuenta con un dominio para mejorar el control de accesos y gestión de políticas sobre equipos. Al momento de la entrevista no se cuenta con un sistema de ticktes para la atención de incidentes y todo reporte se realiza vía aplicación de mensajes o teléfono.
El inventario sobre los activos se realiza de manera manual, llevar el control de asignaciones / reasignaciones / bajas, es ineficiente al no tener un sistema automatizado.
Los PC para uso como servidor no cuentan con hardening, con el fin de robustecer la seguridad de estos.
Las bases de datos utilizadas son free o prueba, esto con lleva un riego en el soporte o limites operacionales establecidos por los fabricantes.
La integración entre diversos proveedores de software para el manejo de un punto de venta, esta en fase de desarrollo, un punto critico de estas integraciones es el soporte a ese bridge, ya que al no ser una integración nativa es susceptible a fallos mas de la media, por lo cual es soporte de suma importancia.
Observamos que el encargado es una persona con mucha experiencia y actitud para atender las necesidades de la institución, pero consideramos que hay algunos procesos que los realiza de una forma tradicional utilizada hace varios años, y que por desconocimiento y falta de capacitación se podrían explotar los sistemas actuales que hay en el mercado.
Se recomienda robustecer los sistemas actuales, estableciendo un dominio (Windows) para llevar un mejor control de los equipos, este dominio se debe extender a las sucursales ya sea por VPN o agentes instalados en los equipos remotos.
Asignar un espacio exclusivo para infraestructura que lleve el core de la información y procesamiento de los datos, comunicaciones y video. Este espacio, se tendrá que acondicionar con las medidas de operación adecuada y controles de acceso, evitando accesos no autorizados y comprometan la información u operación de los sistemas computacionales, de comunicación y video.
El uso de integraciones entre software de diversos fabricantes debe estar soportado por estándares, de no ser así no se recomienda realizar las integraciones, ya que el soporte suele ser especializado y difícil de mantener en caso de fallas o mal funcionamiento de algún componente del software.
El reporte de IVA se puede obtener directamente del sistema de Contabilidad de Contpaq, siempre y cuando esté cargada la información de manera adecuada.