Informe de Auditoría TI-23-08 del Departamento de Corrección y Rehabilitación, Oficina de Tecnología e Informática
La Contraloría de Puerto Rico emitió una opinión cualificada de las operaciones de la Oficina de Tecnología e Informática del Departamento de Corrección y Rehabilitación (OTI).Una opinión cualificada se emite cuando los incumplimientos individuales o en conjunto son significativos, pero no generalizados.
El Informe revela que, desde hace más de 10 años, el Departamento no cuenta con un sistema computadorizado que actualice, de forma integrada y organizada, los expedientes de los confinados, así como los cómputos de sus sentencias. En el 2009 se canceló el contrato con la compañía externa que desarrolló el Sistema Control de Población, y en el 2012, debido a problemas de programación, el Sistema quedó inoperante y obsoleto.
La auditoría de siete hallazgos señala que no se localizaron 38 equipos computadorizados de los 400 adquiridos en el 2020 y 2021, equivalente a $48,714. Además, el Departamento no suministró para examen 133 recibos de la propiedad en uso. Esta situación de entregar equipos sin la firma del encargado de la propiedad, entre otras, aumenta el riesgo de pérdida y uso indebido de la propiedad.
Los auditores identificaron que no se habían distribuido dos laptops con sus bultos, ni 51 desktops con sus monitores, a pesar de haber transcurrido hasta 22 meses desde su recibo. El oficial ejecutivo indicó que no tiene el personal suficiente para preparar y configurar el equipo computadorizado.
Contrario a la reglamentación vigente, el Avalúo de Riesgo de los sistemas de información computadorizados, no incluía el inventario de los activos del sistema y no estaba actualizado. De este modo, no se puede estimar el impacto que los elementos de riesgo tendrían sobre las áreas y los sistemas principales del Departamento. Además, la OTI, no tenía un plan para el manejo de incidentes. Esta deficiencia puede provocar la duplicidad de esfuerzos y tiempo, ante situaciones inesperadas.
El examen del Plan de Contingencia y Recuperación de Desastres de la Oficina de Tecnología e Informática de 2019 develó, que no estaba aprobado por la secretaria de Corrección y Rehabilitación, que no incluía requisitos necesarios para atender emergencias y que no estaba actualizado. Además, el hallazgo de cuentas de acceso activas de 125 exempleados que habían cesado funciones desde el 2018, puede causar que personal no autorizado logre acceso a información confidencial.
El Informe indica que las copias de los respaldos, no se almacenaban en un lugar seguro y distante de las instalaciones, para que, en caso de emergencia o desastre, se pueda recuperar la mayor cantidad de información. Además, el Departamento tampoco contaba con un centro alterno para restaurar las operaciones críticas computadorizadas en caso de emergencia.
Al 27 de abril de 2022, el Departamento de Corrección no tenía un acuerdo escrito con el Departamento de Educación que formalizara compartir el centro de cómputos. El acuerdo mediante contrato había vencido en el 2010, y Corrección aun mantenía sus equipos críticos y utilizaban el panel eléctrico de Educación. Este informe, cubre el periodo del 29 de junio de 2020 al 16 de septiembre de 2022.
Vea el Informe de Auditoría TI-23-08.
Para ver otros informes publicados, visite nuestra sección de Informes de Auditoría.