Informe de Auditoría TI-18-13, Corporación de Seguros Agrícolas de Puerto Rico Oficina de Sistemas de Información
La Contraloría de Puerto Rico emite una opinión cualificada sobre, entre otros, los controles para la administración de la seguridad, el acceso lógico y el procesamiento de los datos del Sistema de Aplicación del Programa de Seguros Agrícolas (SAPSSA) de la Oficina de Sistemas de Información de la Corporación de Seguros Agrícolas de Puerto Rico. Una opinión cualificada se emite cuando los incumplimientos individuales o en conjunto son significativos pero no generalizados.
El Informe revela que al 27 de abril de 2016 la Corporación no había preparado el informe de análisis de riesgos de los sistemas de información computadorizados. Esta situación impide a la Corporación estimar el impacto que los elementos de riesgos tendrían en las áreas y en los sistemas críticos.
La Corporación no contaba con un plan de continuidad de negocios, ni con un plan de contingencias ni tampoco con un centro alterno para la recuperación de los sistemas de información en caso de emergencia. El plan de continuidad es necesario para lograr el pronto funcionamiento de los sistemas y restaurar las operaciones en caso de riesgos como variaciones de voltaje, virus de computadora, ataques maliciosos o desastres naturales. El plan de contingencia es una guía que garantiza la continuidad de las operaciones normales de los sistemas de información cuando se presenten situaciones inesperadas que afecten su funcionamiento.
La auditoría de siete hallazgos señala que, contrario a lo requerido en el Manual de Sistemas de Información aprobado por el director ejecutivo en el 2015, no se realizaban respaldos semanales, mensuales y anuales ni se mantenían las cinco generaciones de respaldo. Además, no se mantenían los respaldos fuera de la Oficina Central de la Corporación. Esta situación puede ocasionar que en casos de emergencia no se pueda disponer de los respaldos de información para la continuidad de las operaciones como sucedió en el 2015 que la Corporación tuvo que adquirir servicios técnicos por $40,691 para recuperar los datos del SAPSSA.
Nuestros auditores identificaron múltiples deficiencias en los parámetros de contraseñas para las cuentas de acceso, el mantenimiento de las cuentas al SAPSSA y el módulo de calidad del SAPSSA. Por ejemplo, la Corporación tenía 23 cuentas que no expiraban, y 15 configuradas para que no fueran cambiadas. Además, cuentas en desuso se habían desactivado hasta seis años después, tres exempleados utilizaron sus cuentas de acceso hasta dos años posterior a su separación de empleo y el módulo de Control de Calidad no funcionaba apropiadamente.
El Informe cubre el período del 19 de enero al 15 de diciembre de 2016.
Vea el Informe de Auditoría TI-18-13.
Para ver otros informes publicados, visite nuestra sección de Informes de Auditoría.