Informe de Auditoría TI-20-01 de la Compañía de Turismo de Puerto Rico, Oficina de Tecnología de Información.
La Contraloría de Puerto Rico emitió una opinión cualificada de las operaciones de la Oficina de Tecnología de Información y de los sistemas de información de la Compañía de Turismo de Puerto Rico.
El Informe señala que la Compañía de Turismo carece de un análisis de riesgos de los sistemas de información computadorizados. La Compañía proveyó a nuestros auditores un Manual de Contingencia y Recuperación de Desastres, pero este documento no contiene los aspectos básicos para un análisis de riesgo, tales como el inventario de los activos existentes con su clasificación de acuerdo al nivel de importancia para la continuidad de las operaciones, entre otros. Una situación similar ya se había comentado en el Informe de Auditoría TI-07-04 del 2006.
La auditoría de tres hallazgos indica que en la Compañía no se examinaban los registros de eventos y violaciones de seguridad que el mismo sistema operativo alerta (security events logs). Esta situación contraria a la Política ATI-003 de la Carta Circular 140-16, sobre la seguridad de los sistemas de información y las normas generales sobre la implantación de sistemas, impide la detección de errores críticos o problemas con accesos no autorizados a los servidores y las computadoras.
Tampoco en la Compañía se realizaban revisiones periódicas de las cuentas de acceso de los usuarios como dispone el Reglamento para Usuarios que manejan Sistemas de Tecnología de Información. Esta situación puede propiciar que personas no autorizadas puedan lograr el acceso a información confidencial y hacer uso indebido de esta, o que se cometan irregularidades y/o se altere por error o deliberadamente los datos contenidos en los sistemas de información.
El Informe cubre el periodo del 22 de enero al 21 de diciembre de 2018.
Vea el Informe de Auditoría TI-20-01.
Para ver otros informes publicados, visite nuestra sección de Informes de Auditoría.