La Contraloría de Puerto Rico emitió una opinión cualificada, de las operaciones de la Oficina de Sistemas de Información de la Autoridad de Tierras de Puerto Rico. Una opinión cualificada se emite cuando los incumplimientos individuales o en conjunto son significativos, pero no generalizados.

El Informe revela que el Análisis de Riesgos aprobado, no incluyó los sistemas de información geográfica ArcGIS, que identifica los mapas de las fincas de la Autoridad y maneja los inventarios de los terrenos. El Análisis de Riesgos tampoco incluyó las medidas de control para proteger los activos ante posibles amenazas. Esta situación impide estimar el impacto que los elementos de riesgos tendrían sobre sus equipos y sistemas críticos para protegerlos y reducir la perdida de información.

La auditoría de seis hallazgos señala que la Autoridad no había formalizado un acuerdo escrito para el uso de un centro alterno, en el que se pudieran restablecer los sistemas de información computadorizados en caso de emergencia. Esta situación, contraria a lo establecido en el Federal Information Systems Controls and Audit Manual emitido por el Government Accountability  Office, se había comentado en el Informe de Auditoría TI-07-09 de 2007.

La Autoridad tampoco mantenía copia de los respaldos fuera de los predios de la Autoridad. Los respaldos de información de los 21 servidores de la Autoridad, se efectuaba en la aplicación Veeam Backup and Replication. 

Los auditores hallaron múltiples deficiencias con las políticas de control de cuentas, de auditoría, privilegios asignados y la opción de seguridad. Estas situaciones pueden propiciar que se comentan irregularidades o se altere por error los datos contenidos en los sistemas. Además, impide mantener un registro de eventos inusuales para tomar a tiempo medidas correctivas o preventivas.

Contrario a las Normas y Procedimientos para la Instalación y Configuración de la Red, la Autoridad carecía de la evidencia de las solicitudes de acceso a los sistemas de información. Para el periodo evaluado, no se encontró evidencia de siete usuarios que comenzaron a trabajar entre 2017 y el 2018, ni la modificación de privilegios de dos usuarios que cambiaron de puesto.

La auditoría recomienda que se establezcan los controles ambientales para corregir la falta de equipo para detectar humo y las alarmas de fuego; y se establezca un plan de trabajo, para organizar e identificar el cableado de los equipos de comunicación. Estas deficiencias ya se habían comentado en el Informe de Auditoría TI-08-02 de 2007.

El Informe cubre el periodo del 8 de abril al 27 de agosto de 2019.

Vea el Informe de Auditoría TI-20-10.

Para ver otros informes publicados, visite nuestra sección de Informes de Auditoría.