La Contraloría de Puerto Rico emite una opinión cualificada sobre los controles internos y su efectividad en la administración de la seguridad, el acceso lógico y físico y el procesamiento y salida de datos relacionados con el Sistema de Video Juego (SVJ) y el Sistema Electrónico de Apuestas (SEA Hípico), entre otros. Una opinión cualificada se emite cuando los incumplimientos individuales o en conjunto son significativos pero no generalizados.

El Informe revela la falta de un análisis de riesgos de los sistemas de información computadorizados de la Administración de la Industria y el Deporte Hípico. Este análisis es necesario para determinar las medidas de seguridad y los controles que deben ser implementados para disminuir o evitar que ocurran riesgos y se puedan proteger los activos.

La auditoría de tres hallazgos señala que la Administración no contaba con un plan de continuidad de negocios por lo cual, en caso de emergencia, existe el riesgo de que se tomen medidas inapropiadas y sin orden alguno en la restauración de los sistemas de información. Además, las políticas administrativas para el respaldo de datos (backup), no incluía detalles específicos sobre: el procedimiento y persona responsable del respaldo, ni el lugar en el cual se mantendría almacenado, ni tampoco la información a respaldar.

Contrario a la Política TIG-003 sobre la Seguridad de los Sistemas de Información de la Carta Circular 77-05, la Administración no documentaba por escrito la creación, modificación, y eliminación de las cuentas de acceso y de los privilegios otorgados. En su lugar, la directora de recursos humanos realizaba la gestión de crear o eliminar una cuenta de acceso en persona o por teléfono, con el oficial principal de informática de la entidad.

El Informe cubre el periodo del 31 de mayo al 15 de diciembre de 2016.

Vea el Informe de Auditoría TI-18-08.

Para ver otros informes publicados, visite nuestra sección de Informes de Auditoría.