La Contraloría de Puerto Ricoemitió una opinión cualificada sobre las operaciones de los sistemas de información del Área de Tecnologías de Información de la Autoridad de Carreteras y Transportación de Puerto Rico.

El Informe reveló que, al 26 de octubre de 2016, la Autoridad no había preparado un informe de análisis de riesgos de los sistemas de información computadorizados. Esta situación le impide a la Autoridad estimar el impacto que los elementos de riesgos causarían a los sistemas de información y establecer como protegerlos. Además, dificulta desarrollar un plan de continuidad de negocios en el cual se determinen las medidas de control y los pasos a seguir en caso de una amenaza de seguridad.

De hecho, la auditoría de dos hallazgos señala que la Autoridad carecía de un plan de continuidad de negocios para el periodo auditado. Además, el Plan de Contingencias no estaba actualizado y no incluía requisitos necesarios para atender situaciones de emergencia tales como: detalles de la configuración del equipo crítico, contenido de los respaldos y las medidas para restaurar dichos respaldos.

Contrario a lo establecido en el Contingency Planning del Federal Information System Controls Audit Manual, la Autoridad no había formalizado un acuerdo escrito para el uso de un centro alterno para la restauración de sus operaciones en casos de emergencia. Una situación similar, se había comentado en el Informe de Auditoría TI-07-10 del 4 de junio de 2007. El Informe cubre el periodo desde el 11 de julio de 2016 al 30 de junio de 2017.

Vea el Informe de Auditoría TI-19-07.

Para ver otros informes publicados, visite nuestra sección de Informes de Auditoría.