La Contraloría de Puerto Rico emitió una opinión cualificada, de las operaciones de la Oficina de Informática del Municipio de Cayey. Una opinión cualificada se emite cuando los incumplimientos individuales o en conjunto son significativos, pero no generalizados.

La auditoría revela la falta de un informe de análisis de riesgos de los sistemas de información, y de un procedimiento escrito para el manejo de incidentes en Cayey. Esta situación contraria a las disposiciones de la Carta Circular 140-16, sobre la Implantación de Sistemas de Compra de Equipos y Programas y Uso de la Tecnología de Información, le impide al Municipio estimar el impacto que los elementos de riesgos tendrían en las áreas y los sistemas principales para protegerlos. Además, la falta de un plan de manejo de incidentes, puede provocar duplicidad de esfuerzo y tiempo, ante situaciones inesperadas. 

El Informe de cuatro hallazgos señala, que el Municipio no cuenta con un plan de contingencias que identifique, entre otras, un centro de procesamiento de datos alterno, la identificación y configuración de los equipos y archivos críticos, así como los procedimientos, cuando el centro de cómputos no pueda recibir ni transmitir información a los usuarios. Lo comentado representa un alto riesgo de incurrir en gastos excesivos e innecesarios de recursos, e interrupciones prolongadas de los servicios ofrecidos a los usuarios.

El Informe indica, que el Municipio no contaba con normas o procedimientos para configurar las políticas de seguridad en el servidor principal. Esta situación contraria a las políticas establecidas en la Carta Circular 140-16 y a las guías establecidas en el Federal Information Systems Controls Audit Manual (FISCAM), puede propiciar que personas no autorizadas tengan acceso a información confidencial, y puedan hacer uso indebido de esta. De la evaluación realizada se halló también, que el 90% de los accesos asignados al personal, no cuenta con los documentos de autorización y justificación de los privilegios otorgados.

Al 2 de julio de 2019, el Municipio no realizaba respaldos periódicos de la información almacenada, ni de la configuración del servidor principal. Para el huracán María el servidor principal se dañó y tuvieron que configurarlo desde cero; situación que se hubiese evitado de haber tenido un respaldo. Además, la directora de Recursos Humanos indicó, que el respaldo de la aplicación ABS para el manejo de los registros de asistencia y los balances de licencias acumuladas de los empleados, se grababa en un medio externo (pen drive) y no se mantenía copia fuera de los predios de la oficina.

El Informe recomienda a la Oficina de Gerencia y Presupuesto, que se asegure que el Municipio cumpla con el Plan de Acción Correctiva. Además, recomienda al alcalde que se realice un informe de análisis de riesgos y se asegure que se mantenga actualizado, entre otras.

El Informe cubre el periodo del 13 de marzo al 2 de agosto de 2019.

Vea el Informe de Auditoría TI-20-09.

Para ver otros informes publicados, visite nuestra sección de Informes de Auditoría.