Informe de Auditoría TI-21-03, Departamento del Trabajo y Recursos Humanos, Oficina de Cómputos y Sistemas de Información
La Contraloría de Puerto Rico emitió una opinión cualificada de las operaciones de la Oficina de Cómputos y Sistemas de Información del Departamento del Trabajo y Recursos Humanos. Una opinión cualificada se emite cuando los incumplimientos individuales o en conjunto son significativos, pero no generalizados.
El Informe revela que el Plan Operacional y el Plan de Contingencia aprobados en el 2017 para la continuidad de las operaciones, no estaba actualizado. Ambos planes tenían nombres de contacto de exfuncionarios y exempleados, y hacían referencia a una localidad alterna y bóveda externa que ya no existen. En particular, el Plan de Contingencia no contenía requisitos necesarios para atender situaciones de emergencia como el detalle de la configuración del equipo crítico o los procedimientos cuando la red no puede proveer servicios.
Además, el Departamento no había identificado un centro alterno para restaurar las operaciones computadorizadas del centro de operaciones de la red, en caso de emergencia. Estas situaciones pueden propiciar la improvisación y representa un alto riesgo de incurrir en gastos excesivos o interrupciones prolongadas de los servicios a los usuarios.
La auditoría de tres hallazgos señala, que copia de los respaldos (backups) de datos, como el seguro social choferil, las aplicaciones financieras y de recursos humanos y otros, no se mantenía fuera de los predios del Departamento, sino en un anaquel localizado en el mismo lugar en que se encontraba el respaldo. Una situación similar, se había comentado en el Informe de Auditoría TI-09-14 de 2009. El Informe recomienda que el oficial principal de informática se asegure redactar un procedimiento que requiera que se mantenga copia de los respaldos en un lugar seguro y distante del centro de operaciones del Departamento.
Contrario a la reglamentación vigente sobre seguridad de los sistemas de información, los parámetros en el servidor principal, no estaban configurados para los intentos de accesos fallidos permitidos, antes de bloquear una cuenta (account lockout threshold). Esta situación propicia que se cometan irregularidades o se alteren datos contenidos en los sistemas.
El informe cubre el periodo del 29 de abril al 25 de octubre de 2019.
Vea el Informe de Auditoría TI-21-03.
Para ver otros informes publicados, visite nuestra sección de Informes de Auditoría.