Informe de Auditoría TI-21-17, Comisión de Derechos Civiles Sistemas de Información Computadorizados
La Contraloría de Puerto Rico emitió una opinión cualificada de las operaciones de los Sistemas de Información Computadorizados de la Comisión de Derechos Civiles (Comisión). Una opinión cualificada se emite cuando los incumplimientos individuales o en conjunto son significativos, pero no generalizados.
El Informe revela que el Plan de Respuesta ante una Emergencia de la Comisión (Plan), carece de información actualizada para mantener la continuidad de los servicios. Al Plan le falta una lista de los equipos, de los sistemas operativos, y aplicaciones, así como de un itinerario de restauración y el contacto del proveedor primario de Internet. Esta situación podría propiciar que se improvise, y se tomen medidas sin orden alguno, en caso de emergencia.
La auditoría de dos hallazgos señala que en el servidor principal se había desactivado el requisito de que la contraseña tuviera un mínimo de ocho caracteres. Además, la programación de establecer los parámetros de tiempo para el cambio de contraseñas, con periodos mínimos y máximos, estaba a 0 días (minimun/maximun password age: 0). La reglamentación vigente dispone que, las contraseñas de las cuentas administrativas se deben cambiar al menos cada cuatro meses y las de los usuarios cada seis meses. Esta situación puede propiciar que se cometan irregularidades o alteraciones de datos en el sistema, sin que se puedan detectar a tiempo para fijar responsabilidades.
El Informe evidencia la ausencia de políticas de auditoría que permitieran producir registros de activación y desactivación de cuentas, de acciones realizadas a un programa, o de cambios a las opciones de seguridad. Además, el 21% de las cuentas de usuarios activos en el servidor principal, nunca habían sido utilizadas.
Este Informe, cubre el periodo del 9 de diciembre de 2019 al 31 de agosto de 2020.
Vea el Informe de Auditoría T-21-17.
Para ver otros informes publicados, visite nuestra sección de Informes de Auditoría.