La Contraloría de Puerto Rico emite una opinión cualificada sobre los controles internos para la administración del programa de seguridad, el acceso lógico y físico así como la continuidad del servicio de los Sistemas de Información Computadorizados de la Junta de Relaciones del Trabajo de Puerto Rico. Una opinión cualificada se emite cuando los incumplimientos individuales o en conjunto son significativos pero no generalizados.

El Informe revela que al 15 de septiembre de 2016, la Junta no contaba con informes de análisis de riesgos, ni de análisis de impacto de negocio, y tampoco con un plan para el manejo de incidentes de los sistemas de información. Estas situaciones dificultan desarrollar un plan de negocios, estimar el impacto que los riesgos tendrían en las áreas y sistemas críticos, e impiden tener un control eficaz. De hecho, la Junta carecía de un plan de continuidad de negocios necesario para restaurar las operaciones en caso de riesgos como ataques maliciosos a la red, virus de computadoras, o variaciones de voltaje.

La auditoría de cinco hallazgos, señala deficiencias con el Plan de Contingencia que no estaba actualizado ni se había certificado su efectividad mediante simulacros. Los parámetros de seguridad tampoco estaban definidos y se verificaron deficiencias en las políticas de auditoría (Audit Policy), control cuentas, y de opciones de seguridad.
El Informe recomienda que se reglamente el proceso de disposición de información sensitiva y de los programas, antes de transferir o dar de baja los equipos computadorizados. El sistema de casos de la Junta registra información personal del querellante así como los hechos y controversias, y el no contar con un reglamento al respecto puede ocasionar que personas no autorizadas logren acceso a información confidencial.

El Informe cubre el periodo del 31 de mayo al 23 de diciembre de 2016.

Vea el Informe de Auditoría TI-18-04.

Para ver otros informes publicados, visite nuestra sección de Informes de Auditoría.