Informe de Auditoría OC-24-50 de la Comisión Estatal de Elecciones – Oficina de Sistemas de Información y Procesamiento Electrónico
Deficiencias con los parámetros de seguridad y mantenimiento de cuentas en los sistemas de información
La Contraloría de Puerto Rico emitió una opinión cualificada de las operaciones fiscales de Oficina de Sistemas de Información y Procesamiento Electrónico de la Comisión Estatal de Elecciones. Una opinión cualificada se emite cuando los incumplimientos individuales o en conjunto son significativos, pero no generalizados.
El Informe revela que al 8 de marzo de 2023, no se habían definido las políticas de contraseñas ni se habían establecido las políticas de control, para limitar la cantidad máxima de intentos de acceso fallidos antes de desactivar. Además, el 20% de las cuentas de usuarios activas examinadas estaban configuradas para que sus contraseñas no expiraran.
Una situación similar se había comentado en el Informe de Auditoría TI-13-14 del 2013. Estas deficiencias con los parámetros de seguridad de las contraseñas, aumentan el riesgo de que puedan ser descifradas y utilizadas por personas no autorizadas.
La auditoría de tres hallazgos señala que al 27 de marzo de 2023, no se habían desactivado en el servidor principal, las cuentas de 27 exempleados que habían cesado sus funciones entre el 2020 y 2023. Además, del análisis de 664 cuentas activas, se identificaron 32 que nunca fueron utilizadas y 129 que no se habían utilizado, transcurridos entre dos meses hasta más de tres años desde el último acceso. Por otro lado, en el sistema Advanced Civil ID, no se habían desactivado las cuentas de 17 exempleados, transcurridos hasta más de dos años de haber cesado funciones.
Estas situaciones le impiden a la Comision mantener un control efectivo y eficaz sobre las cuentas de acceso y los privilegios asignados, entre otros.
Los auditores hallaron multiples deficiencias con los formularios de solicitud de acceso a la red de comunicación. Por ejemplo, en siete de 20 cuentas de acceso a la red, no se encontró el formulario de la solicitud, y seis cuentas no incluían toda la información requerida. Además, en 16 de las 25 cuentas de acceso al sistema Advanced Civil ID, no se encontró el formulario de la solicitud, y siete formularios no incluían toda la información requerida.
La auditoría le recomienda a la presidenta alterna de la Comisión Estatal de Elecciones, que supervise de forma efectiva, y se asegure que el director y subdirector de la Oficina de Sistemas cumplan con las recomendaciones del Informe.
El presupuesto asignado a la Comisión Estatal de Elecciones, proviene de resoluciones conjuntas del Fondo General y de fondos federales. El presupuesto aprobado del 2021 al 2023, fue de $37,860,000, $24,506,000 y de $31,567,000 respectivamente. La Oficina de Sistemas, no tuvo presupuesto asignado durante estos años fiscales.
Este informe de la Oficina de Sistemas de Información y Procesamiento Electrónico de la Comisión Estatal de Elecciones, cubre el periodo del 6 de octubre de 2022 al 31 de mayo de 2023, y está disponible en www.ocpr.gov.pr.