Asunto: La Contraloría de Puerto Rico emite una opinión favorable con excepciones sobre los controles internos establecidos en la Corporación de Puerto Rico para la Difusión Pública en la administración de la seguridad de sus sistemas de información computadorizados y la función de su Oficina de Auditoría Interna.

El Informe de cuatro hallazgos revela que al 28 de octubre de 2015, la Corporación no había preparado un informe de análisis de riesgos ni de impacto de negocio de los sistemas de información computadorizados. Estas situaciones, contrarias a la Política de Seguridad de los Sistemas de Información (TIG-003) y de Continuidad Gubernamental (TIG-015), entre otros, impiden estimar el impacto de los riesgos en los sistemas críticos para así protegerlos y reducir los daños en caso de algún desastre.

La auditoría señala la falta de un procedimiento para el manejo de incidentes y un equipo de respuesta adiestrado que son cruciales para el control de la seguridad en los sistemas. Al respecto recomienda preparar un plan de adiestramientos para el supervisor y el personal, y velar que los contratistas tengan el conocimiento para desarrollar el plan de manejo de incidentes.

Nuestros auditores detectaron que desde hace 10 años, desde el 1 de julio de 2006,  la Oficina de Auditoría Interna no realizaba evaluaciones o auditorías de los sistemas de información computadorizados.

También la Corporación carece de procedimientos escritos para la administración y la seguridad de los sistemas y le falta incluir disposiciones importantes en el Manual de Normas que data del 2003. Estas situaciones podrían promover el uso indebido de los sistemas de información y exponer la información a riesgos innecesarios.

El Informe cubre el periodo del 30 de septiembre de 2015 al 3 de febrero de 2016.

Vea el Informe de Auditoría TI-17-06.

Infografía

Para ver otros informes publicados, visite nuestra sección de Informes de Auditoría.