La Oficina del Contralor de Puerto Rico publicó una evaluación sobre los controles establecidos a los sistemas de información computadorizados de las entidades gubernamentales y de los municipios. La información se obtuvo de las respuestas al Cuestionario de Infraestructura Tecnológica del Estado Libre Asociado de Puerto Rico de 198 entidades.

Las entidades gubernamentales y los municipios son responsables de establecer los controles internos para garantizar la seguridad y confiabilidad de sus sistemas de información, la integridad y disponibilidad de los datos, y la continuidad de las operaciones. Además, las entidades deben asegurar la efectividad de dichos controles y de los procesos utilizados en la planificación, el desarrollo y la implementación de los proyectos de tecnología.

El Informe revela que, 30 entidades no contaban con un área para administrar los sistemas, seis no tenían personal designado ni de apoyo para atender los sistemas, y cinco entidades describieron como bajo el impacto de los sistemas de información en sus operaciones. Además, 129 entidades mantienen sus sistemas de información en la misma entidad, y sólo una mantiene su sistema en una instalación externa, en la nube y en la misma entidad.

De las 198 entidades evaluadas, 171 cuentan con aplicaciones para procesar transacciones financieras, de recursos humanos, nómina y asistencia, y 134 han invertido $459.5 millones en proyectos de tecnología de información en los últimos dos años.  Además, 156 entidades se comunican y ofrecen sus servicios a la comunidad por Internet, 47 emplean aplicaciones móviles y 174 en las redes sociales.

El Informe señala que 94 entidades no tenían análisis de riesgo, 58 de las 104 con análisis de riesgo informaron que sus controles no estaban actualizados, y 35 no habían implementado controles de ciberseguridad.  Otro hallazgo indica que 89 entidades no habían realizado auditorías internas o externas de sus sistemas de información, 91 no cuentan con plan para el manejo de incidentes, y 134 utilizan sistemas operativos obsoletos.

Estos controles de seguridad son los que permiten asegurar la exactitud, integridad y protección de los procesos y recursos críticos.  Los controles incluyen la preparación de un informe de análisis de riesgos, adoptar normas que aseguren las operaciones computadorizadas y establecer medidas de ciberseguridad, entre otros.

De la información obtenida se concluye que 67 entidades no cuentan con controles para la continuidad del servicio, 56 no habían actualizado sus planes de contingencia y 53 no contaban con un plan de recuperación de desastres.  Además, 20 entidades no mantienen respaldos de los datos procesados en sus aplicaciones principales y 20 no mantienen los respaldos fuera de los predios de la entidad.

Los controles para la continuidad del servicio son esenciales para minimizar los riesgos de interrupciones, y que el servicio esté disponible incluso en casos de emergencia.  Estos controles se logran al desarrollar planes para la continuidad, establecer centros alternos para restaurar sistemas críticos y al preparar pruebas de restauración y recuperación de datos, entre otros.

La evaluación revela también que, 76 entidades no realizan pruebas de recuperación de los respaldos.  Esta situación se atribuye, entre otras razones, a la carencia de recursos tecnológicos y de personal capacitado, a que los proyectos en proceso consideran las pruebas en su infraestructura, o al desconocimiento de la situación.

El Informe publica que 40 entidades no tienen normas escritas para la creación de cuentas de acceso a los sistemas de información, 76 entidades no cuentan con procedimientos para salvaguardar la información, y 30 entidades no documentan las solicitudes y autorizaciones de acceso.  Los controles de acceso lógico a los sistemas de información computadorizados proveen garantías sólo a quienes están autorizados y limitan el acceso inapropiado a los recursos de tecnología de información.

Otro de los resultados indica que, 63 entidades no contaban con un diagrama actualizado de la infraestructura de la red de comunicación.  El diagrama permite identificar los equipos conectados a la red, las conexiones existentes y la configuración de estas.

El Informe Especial concluye que la tecnología es clave para garantizar un gobierno transparente y receptivo a las necesidades de la sociedad.  Estas herramientas permiten una administración eficiente, reduce las irregularidades y mejora la eficiencia laboral.

Sin embargo, sólo los avances tecnológicos, no garantizan el éxito de una entidad, sino que la entidad debe garantizar la seguridad de los sistemas y la confidencialidad de la información de los ciudadanos.

El Informe Especial contiene gráficos ilustrativos que facilitan la comprensión de los datos, así como información valiosa y completa sobre los desafíos tecnológicos para el gobierno y las recomendaciones concretas a las entidades. El Informe, con fecha del 25 de octubre de 2023, indica que se consideró las contestaciones recibidas desde el 4 de septiembre de 2022 al 23 de febrero de 2023.

Vea el Informe de Auditoría OC-24-22.

Para ver otros informes publicados, visite nuestra sección de Informes de Auditoría.