Informe de Auditoría OC-25-35 del Recinto de Ciencias Médicas de la Universidad de Puerto Rico, Oficina de Sistemas de Información
Contralora recomienda actualizar reglamentación y procesos en los sistemas de información del Recinto de Ciencias Médicas
La Oficina del Contralor Puerto Rico (OCPR) emitió una opinión cualificada de las operaciones de los sistemas de información computadorizados de la Oficina de Sistemas de Información del Recinto de Ciencias Médicas de la Universidad de Puerto Rico. Una opinión cualificada se emite cuando los incumplimientos individuales o en conjunto son significativos, pero no generalizados.
El Informe revela que, al 26 de junio de 2023, el Recinto no contaba con un informe de análisis de riesgos de los sistemas de información computadorizados. Este análisis, que permite identificar los activos de los sistemas de información, así como sus vulnerabilidad y amenazas, debe actualizarse cada 24 meses.
Esta situación tiene el efecto de que no se puede estimar el impacto de los elementos de riesgos, en los sistemas de información. Algunos de estos riesgos son modificar, interrumpir o destruir información de los sistemas, o el acceso no autorizado. Una situación similar se había comentado hace 11 años en el Informe del Auditoría TI-13-12 de 2013.
La auditoría de dos hallazgos señala que la Política de Seguridad de Tecnologías de Información, aprobada hace 11 años, no está actualizada a los cambios de seguridad organizacional. El Plan de Seguridad de la Red, aprobado hace 18 años, tampoco estaba actualizado a los cambios operacionales.
Además, el Estándar para el Manejo de Incidentes de Seguridad, no menciona los procesos vigentes para solicitar, renovar o cambiar la contraseña. Estas situaciones pueden propiciar que se cometan errores o irregularidades sin que se puedan detectar a tiempo.
El presupuesto del Recinto de Ciencias Médicas ascendió de $283,444,125 para el 2022, a $316,712,662 para el 2023 y a $331,121,900 para el 2024.
El Informe le recomienda a la Rectora que se asegure que el director interino de la Oficina de Sistemas de Información finalice la evaluación de la cotización de una compañía privada para realizar el Análisis de Riesgos. Además, que realice las gestiones para actualizar y aprobar la reglamentación indicada en los hallazgos.
Este primer informe cubre el periodo del 1 de julio de 2021 al 24 de mayo de 2024.
El Informe de Auditoría OC-25-35 se puede conseguir en nuestra página en Internet.