La Contraloría de Puerto Rico emite una opinión cualificada sobre, entre otros, los controles para la continuidad de los servicios, el acceso lógico a las redes de comunicación, y el procesamiento y salidas de datos de la aplicación Sage Fund Accounting (Sage MIP) de la Oficina de Sistemas de Información de la Corporación de Puerto Rico para la Difusión Pública. Una opinión cualificada se emite cuando los incumplimientos individuales o en conjunto son significativos pero no generalizados.

 Durante la auditoría se detectó, una deficiencia de retención en el origen de la contribución sobre ingresos de los empleados de la Corporación.  A tales efectos, le referimos esta situación al Secretario de Hacienda el 25 de abril de 2018, para su análisis y consideración.

 El Informe revela la falta de un plan de continuidad de negocios que incluyera los planes específicos completos y actualizados de la OSI. El examen del plan de Contingencia provisto a nuestros auditores en diciembre de 2015, no estaba aprobado por el presidente de la Junta de la Corporación y no contenía los requisitos para atender las situaciones de emergencia. Además, la Corporación no contaba con un centro alterno para restaurar sus operaciones en caso de emergencia. Situaciones similares ya habían sido comentadas en el Informe de Auditoría TI-02-11 del 7 de mayo de 2002.

 La auditoría de cinco hallazgos señala múltiples deficiencias en los controles físicos en los cuartos de distribución de cableado. Nuestros auditores identificaron también, falta de controles en los parámetros de seguridad y controles de acceso a la red y la falta de revisiones periódicas de los registros de eventos  de los sistemas operativos de los servidores. Por ejemplo, no se habían definido las políticas relacionadas a las contraseñas ni el tiempo de acceso a la red para todas las cuentas. Situaciones similares a éstas se habían comentado en el Informe de Auditoría TI-03-10 del 12 de mayo de 2003.

 El Informe menciona que la Oficina de Sistemas de Información, no mantenía copias de los respaldos en un lugar seguro fuera de los predios de la Corporación y el Backup Log no incluía información sobre el contenido de los respaldos almacenados ni del servidor al que pertenecían. Esta situación contraria a la Política TIG-003 de la Carta Circular 77-05 sobre la Seguridad de los Sistemas de Información, priva a la Corporación de tener un control sobre los respaldos y en caso de emergencia, que no pueda disponer de éstos para la continuidad de las operaciones.

 El Informe cubre el período del 30 de septiembre de 2015 al 15 de septiembre de 2016.

Vea el Informe de Auditoría TI-18-10.

Para ver otros informes publicados, visite nuestra sección de Informes de Auditoría.