La Contraloría de Puerto Rico emitió una opinión cualificada de las operaciones del área de Sistemas de Informática del Centro Cardiovascular de Puerto Rico y el Caribe. Una opinión cualificada se emite cuando los incumplimientos individuales o en conjunto son significativos, pero no generalizados.

El Informe revela que el análisis de las vulnerabilidades de riesgo contratado por $14,950 en el 2017, no incluía un inventario de activos del sistema de información – equipo, programa y los datos-, ni la clasificación de estos activos de acuerdo con el nivel de importancia para la continuidad de las operaciones. Esta situación impidió al Centro Cardiovascular estimar el impacto que los elementos de riesgos tendrían en los datos, equipos y sistemas críticos, para protegerlos y reducir los riesgos de daños.

La auditoría de cinco hallazgos señala que el Plan de Contingencia revisado al 26 de mayo de 2021, no incluía información necesaria como: las condiciones tecnológicas del Centro Cardiovascular, nombre del encargado de activar el Plan, o un itinerario de restauración, entro otros. Además, no contaba con un centro alterno para restaurar sus operaciones críticas computadorizadas en caso de emergencia.

Los auditores identificaron que, la caja de seguridad arrendada fuera de los predios del Centro Cardiovascular, no tenía las cintas de nueve respaldos mensuales del sistema Optimum del año terminado el 30 de junio de 2021. En la caja tampoco se localizaron los respaldos anuales del 2019 y 2020. Estas situaciones pueden ocasionar la pérdida de información del expediente médico electrónico del paciente sin la posibilidad de poder recuperarla.

Contrario a la reglamentación y procedimientos vigentes, el Centro no tenía definidas las políticas relacionadas con la contraseña de las cuentas de acceso (password policy) ni las políticas de control de cuentas (account lockout policy). Además, el supervisor de informática no revisaba periódicamente las bitácoras de actividad de eventos de seguridad para detectar posibles violaciones de seguridad y tomar las medidas correctivas.

La auditoría recomienda el cumplimiento de las directrices relacionadas a la cancelación de cuentas de acceso asignadas a exempleados y de contar con la documentación de las autorizaciones de acceso remoto. Al 3 de junio de 2021, cinco cuentas de cuatro exempleados y de un exmiembro de la facultad médica, permanecían activas después de su cese de funciones.  Además, el 52% de los accesos remotos no tenían los documentos justificantes y el 25% de los formularios examinados no establecían la fecha de vencimiento del acceso remoto.

Este informe, cubre el periodo del 26 de febrero al 30 de septiembre de 2021.

Vea informe de Auditoría TI-22-13.

Para ver otros informes publicados, visite nuestra sección de Informes de Auditoría.