La Contraloría de Puerto Rico emitió una opinión cualificada de las operaciones de la Oficina de Informática y Avances Tecnológicos del Departamento de Salud. Una opinión cualificada se emite cuando los incumplimientos individuales o en conjunto son significativos, pero no generalizados.

El Informe revela errores con la política de contraseñas en los perfiles de las cuentas de acceso activas. Por ejemplo, el sistema operativo no permitía, según dispone la reglamentación, cambiar la contraseña al menos cada seis meses y no requería que la contraseña fuese de ocho caracteres.

Además, el Departamento no había definido una política de auditoría para que el sistema produjera registros de, por ejemplo, la creación de una cuenta, el reinicio y apagado del sistema, o la desactivación de una cuenta o grupo de usuarios. Esta situación le impide al Departamento mantener un registro de los eventos inusuales o los problemas ocurridos en la red para tomar a tiempo las medidas correctivas.

La auditoría de dos hallazgos señala también deficiencias con el proceso de desactivar las cuentas de acceso de los exempleados. Del examen realizado, se identificaron 87 cuentas de acceso de exempleados que, transcurridos hasta tres años de su separación en el empleo, seguían activas, y el 44% de ellas habían sido utilizadas.

El Departamento tampoco había desactivado 786 cuentas de acceso, algunas de las cuales habían transcurrido hasta 14 años sin haberse registrado la entrada del usuario. Además, la entidad mantenía 755 cuentas de acceso que nunca habían sido utilizadas. Estas situaciones impiden mantener bajo control la administración de las cuentas de acceso y propician que personas no autorizadas logren acceso a información confidencial.
Este segundo Informe, cubre el periodo del 1 de octubre de 2019 al 16 de septiembre de 2020.

Vea el Informe de Auditoría T-21-16.

Para ver otros informes publicados, visite nuestra sección de Informes de Auditoría.