La Contraloría de Puerto Rico emite una opinión favorable con excepciones sobre los controles internos establecidos para la administración del programa de seguridad, el acceso lógico y físico, la continuidad del servicio, las aplicaciones de sistemas y otros controles de la División de Sistemas de Información del Banco de Desarrollo Económico para Puerto Rico.

El Informe de siete hallazgos revela deficiencias relacionadas con las prácticas de seguridad generalmente aceptadas para los sistemas de información en la industria bancaria y el Gobierno. El Avalúo de Riesgos para 10 procesos identificados no incluía un inventario de todos los activos de sistemas de información, no detallaba la clasificación de criticidad de los 10 procesos ni incluía las posibles amenazas ni las vulnerabilidades de cada proceso.

Nuestros auditores identificaron la falta de un plan de continuidad de negocios y de un centro alterno de sistemas de información para la recuperación de las operaciones computadorizadas cuando se presenten eventualidades inesperadas que afecten su funcionamiento. Además, un funcionario desarrollador de aplicaciones realizaba también funciones conflictivas de operador, hecho que podría propiciar que se realizaran cambios a la programación sin la autorización requerida.

El Informe señala que los sistemas operativos seguían utilizando un sistema operativo descontinuado por el proveedor en el 2015, la documentación de los cambios a las aplicaciones estaba incompleta y los cables que conectan los equipos de comunicación del Banco están desorganizados (ver fotos en el Anejo 1). Al respecto, la política establecida en la Carta Circular 77-05 es que para garantizar razonablemente la seguridad de los equipos, es necesario que los cables que conectan los equipos de comunicación se mantengan organizados.

La auditoría recomienda en particular, que el Banco se asegure de que se atienda en un tiempo razonable las recomendaciones de las auditorías externas para corregir 25 deficiencias señaladas en el 2013 y ocho comentadas en el 2015.

El Informe cubre el periodo del 16 de septiembre de 2015 al 4 de marzo de 2016.

Vea el Informe de Auditoría TI-17-09

Para ver otros informes publicados, visite nuestra sección de Informes de Auditoría.