La Contraloría de Puerto Rico emite una opinión cualificada sobre los controles internos y su efectividad en la administración de la seguridad, el acceso lógico y físico, la continuidad del servicio, la segregación de deberes y los equipos computadorizados de la Oficina de Sistemas de Información de la Corporación del Centro de las Bellas Artes de Puerto Rico. Una opinión cualificada se emite cuando los incumplimientos individuales o en conjunto son significativos pero no generalizados.

El Informe revela que la Corporación no había preparado un informe de análisis de riesgos de los sistemas de información computadorizados lo cual impide desarrollar un plan de continuidad de negocios con las correspondientes medidas de control. Además, la falta de un plan de continuidad de negocios y de un centro alterno para recuperar sus operaciones en caso de emergencia, puede propiciar la improvisación y afectar el pronto restablecimiento de las funciones de la Corporación.

La auditoría de nueve hallazgos señala múltiples deficiencias relacionadas con las cuentas de acceso y el control de los respaldos de información. Nuestros auditores identificaron cuentas de ex empleados sin desactivar y que fueron utilizadas luego de su fecha de separación. Además, no se realizaban respaldos de los eventos de seguridad de los sistemas operativos y del 2010 al 2015 no se enviaron los respaldos de información a la compañía externa que los guarda en la caja de seguridad.

Contrario a la Política TIG-003 sobre la Seguridad de los Sistemas de Información de la Carta Circular 77-05, Normas sobre la Adquisición e Implantación Tecnológica para los Organismos Gubernamentales, el analista no suministró para examen los documentos justificantes autorizados para otorgar privilegios de administrador a las cinco cuentas de acceso que los tenían asignados. Estos privilegios permite a los usuarios iniciar o cancelar servicios, configurar la seguridad del sistema y administrar las cuentas de acceso.

La auditoría detectó cinco computadoras con 68 programas que no fueron autorizados ni tenían relación con los trabajos, falta de adiestramientos necesarios para que el analista pueda ejercer sus funciones y que la Corporación no cumplió con las recomendaciones realizadas en los Informes de Auditoría TI-02-06 del 2001 y TI-03-11 del 2003.

El Informe cubre el periodo del 13 de mayo de 2015 al 27 de mayo de 2016.

Vea el Informe de Auditoría TI-18-07.

Para ver otros informes publicados, visite nuestra sección de Informes de Auditoría.