Falta de análisis de riesgos y deficiencias en los controles ambientales en el área de tecnología de información de Hacienda

La Oficina del Contralor de Puerto Rico emitió una opinión cualificada de las operaciones fiscales del Área de Tecnología de Información del Departamento de Hacienda. Una opinión cualificada se emite cuando los incumplimientos individuales o en conjunto son significativos, pero no generalizados.

El Informe revela que, al 12 de abril de 2022, el Área de Tecnología de Información del Departamento de Hacienda carecía de un proceso de análisis de riesgos según disponen las políticas vigentes de seguridad cibernética. El análisis de riesgos debe incluir los activos de los sistemas de información existentes, sus vulnerabilidades y amenazas. Además, debe establecer cada 24 meses la probabilidad de que ocurra el impacto en las operaciones del Departamento y los controles para atender los riesgos.

La auditoría de tres hallazgos señala también que, al 5 de octubre de 2022, el Departamento no había actualizado el Disaster Recovery Plan Guide. Este plan de recuperación de desastres debe incorporar los cambios significativos de la estructura operacional y tecnológica del Departamento.

Además, al 23 de agosto de 2022, el Plan de Contingencia no detallaba la estrategia ni la información necesaria para atender las situaciones de emergencia.

Estas situaciones propician que, en casos de emergencias, se improvise y se tomen medidas inapropiadas y sin orden alguno. El Informe recomienda que se solicite, entre otras, la asistencia operacional y técnica del Puerto Rico Innovation & Technology Service para que apoye la preparación de los planes.

El Informe devela deficiencias en los controles ambientales y físicos en el Centro de Cómputos, el Cuarto de Telecomunicaciones y en los cuartos de comunicaciones. Los equipos principales de procesamiento y la red de comunicaciones del Departamento de Hacienda se encuentran en estas áreas.

Los auditores encontraron áreas descubiertas en el piso falso, cables eléctricos y de data que no se utilizaban, y equipo almacenado que no funcionaba. Además, los plafones presentaban manchas de humedad, filtraciones en algunas áreas y equipos de comunicaciones no identificados con número de propiedad.

Estas situaciones dificultan el control eficiente y efectivo de las instalaciones, propicia el uso indebido o pérdida de propiedad, y afecta el rendimiento máximo de los equipos y la continuidad de los servicios.

El Informe le recomienda al secretario de Hacienda que, imparta instrucciones a la asesora técnica principal del Centro de Excelencia Operacional para que se asegure que el secretario auxiliar del Área de Tecnología de Información atienda los hallazgos y tome las medidas correctivas.

Los recursos para financiar las actividades operacionales del Departamento de Hacienda provienen de asignaciones especiales, fondos especiales estatales y de la resolución conjunta del presupuesto general. El presupuesto en el 2022 fue $208,103,000. Este ascendió a $939,423,000 en el 2023 y a $987,777,000 en el 2024.

El Informe de Auditoría OC-24-49 del Área de Tecnología de Información del Departamento de Hacienda cubre el periodo del 30 de junio de 2018 al 31 de mayo de 2023, y está disponible en www.ocpr.gov.pr.

CONTACTO: Lisandra Rivera Rivera, R-168
Directora
Oficina de Prensa y Comunicaciones
Oficina del Contralor de Puerto Rico
lriverar@ocpr.gov.pr
(787) 250-3322