OFICINA DEL CONTRALORInformes de Auditoría 2017-2018Informe de Auditoría TI-18-05 – Oficina de Sistemas de Información del Cuerpo de Emergencias Médicas del Estado Libre Asociado de Puerto Rico

Informe de Auditoría TI-18-05 – Oficina de Sistemas de Información del Cuerpo de Emergencias Médicas del Estado Libre Asociado de Puerto Rico

OFICINA DEL CONTRALOR Posted on by

La Contraloría de Puerto Rico emite una opinión cualificada sobre los controles internos para la administración de la seguridad, el acceso lógico y la continuidad del servicio de la Oficina de Sistemas de Información del Cuerpo de Emergencias Médicas (CEM). Una opinión cualificada se emite cuando los incumplimientos individuales o en conjunto son significativos pero no generalizados.

El Informe revela que el Cuerpo de Emergencias Médicas no había preparado un informe de análisis de riesgos de los sistemas de información computadorizados al 30 de septiembre de 2015. La falta de dicho informe, no permite estimar el impacto de los elementos de riesgo ni planificar como protegerlos para reducir los riesgos de daños materiales y la pérdida de información. El CEM contaba con 177 computadoras, 10 servidores y las aplicaciones NorthStar Computer Aided Dispatch para los servicios médicos de emergencia, e-Roc para los asuntos administrativos y Kronos para registrar la asistencia del personal.

La auditoría de cuatro hallazgos señala deficiencias con el Plan de Continuidad de negocio que no estaba aprobado ni actualizado, y con el Plan de Respuesta de Emergencias que tampoco estaba actualizado. Además, el CEM no contaba con un centro alterno para restaurar sus operaciones y nunca formalizó por escrito el establecer dicho centro alterno con la Agencia Estatal para el Manejo de Emergencias.

Nuestros auditores identificaron la falta de un procedimiento escrito para mantener el control de acceso a las cuentas y la ausencia de un registro sobre el seguimiento, análisis y solución de incidentes de seguridad. Esta situación es contraria a la Política de Seguridad de los Sistemas de Información contenido en la Carta Circular 77-05. Al respecto el Informe recomienda al Comisionado del Negociado del Cuerpo de Emergencias Médicas, que se asegure de que se redacten y aprueben las normas y procedimientos para controlar el acceso a las aplicaciones y sistemas de información, y que imparta instrucciones a la compañía contratada para que mantenga un registro con el análisis de los incidentes que ocurran en los sistemas de información.

El Informe cubre el periodo del 24 de agosto de 2015 al 24 de junio de 2016.

Vea el Informe de Auditoría TI-18-05.

Para ver otros informes publicados, visite nuestra sección de Informes de Auditoría.

Comments are closed.