El Área de Querellas e Investigaciones de la Oficina del Inspector General de Puerto Rico (OIG), identificó que incidentes recientes con los servidores y centro de cómputos del Departamento de Recursos Naturales y Ambientales (DRNA), pudieron haber provocado un riesgo considerable de pérdida irreparable de información esencial y privilegiada por no haber desarrollado planes y protocolos sobre mantenimiento preventivo y respuesta, ante riesgos y amenazas a los sistemas de información, trascendió el lunes.
La OIG precisó que el 29 de septiembre de 2022, tomaron conocimiento de información que trascendió públicamente, sobre un incidente en el Centro de Cómputos de las oficinas del DRNA, del cual no surgía certeza sobre la causa pero que tuvo un impacto negativo en las operaciones y los sistemas de información de la entidad.
PUBLICIDAD
En su función preventiva, el 30 de septiembre de 2022, el Área de Querellas e Investigaciones de la OIG, diligenció una comunicación al DRNA, sobre Notificación de Visita, Inspección y Requerimiento de Información para la Investigación QI-050-23-005. Esto, con el propósito de examinar métodos de manejo y control de seguridad en los sistemas de información del DRNA y validar su cumplimiento. Como parte de la intervención, se llevaron a cabo entrevistas, visitas y requerimientos de información.
De la información recopilada, surgió que, a principios de agosto hubo un patrón de fallas eléctricas que atentaban contra los sistemas y las operaciones del DRNA. En específico, el DRNA indicó que, el 12 de septiembre de 2022, hubo una falla que provocó la interrupción de servicios esenciales provistos al ciudadano, así como a entidades estatales y federales. A su vez, las herramientas de trabajo relacionadas a los sistemas de información, del personal del DRNA resultaron inoperables.
En cuanto a situaciones de alerta previa, no se desprendió información indicativa que el DRNA llevara a cabo un análisis de riesgos, producto de las fallas y alertas ocurridas durante el mes de agosto, para evaluar la magnitud e impacto del daño que podría causar un evento mayor en cuanto al acceso, interrupción o destrucción de datos en los sistemas de información que respaldan sus operaciones.
Hubo gestiones reactivas y comunicaciones con PRITS, y con una compañía privada. Pero, aun así, no se identificaron controles futuros certeros y confiables para manejar una situación similar, a base de los resultados o las vulnerabilidades reflejadas en algún análisis preventivo de riesgos que se haya realizado. Esto, a falta de informes preventivos detallados, como parte de planes o protocolos establecidos.
El director Interino de Informática del DRNA, proveyó a la OIG, copia de una declaración cronológica interna tipo informe, dirigida a la entonces secretaria interina del DRNA, para constatar alegadas situaciones con los resguardos, portales, discos duros, o cualquier otro incidente relacionado a los sistemas de información ocurridos desde agosto.
PUBLICIDAD
No obstante, a pesar de que hubo situaciones recurrentes desde el mes de agosto, el documento titulado: Informe sobre Incidente con “Data Center”- agosto a septiembre de 2022, que fue provisto a la OIG, tiene fecha del 4 de octubre de 2022, la cual es posterior a nuestra notificación de intervención en el DRNA. Esta acción surge casi dos (2) meses después de las alertas de eventos previos y luego del inicio de la gestión investigativa de la OIG.
A raíz de este incidente, se identificaron riesgos adicionales sobre posible pérdida irreparable de información esencial o privilegiada por no llevarse a cabo actos preventivos suficientes, ante las alertas y amenazas. Como resultado de la investigación, la OIG identificó que, el DRNA pudo haber incurrido en deficiencias e incumplimientos con la política pública de controles internos y medidas preventivas para seguridad cibernética, establecida por el Gobierno de Puerto Rico y con las disposiciones de la Ley Núm. 75-2019, conocida como “Ley de la Puerto Rico Innovation and Technology Service” (PRITS) y otras normativas relacionadas.
Se identificó que, en la División de Infraestructura, desde donde opera la Oficina de Informática, existe ausencia de protocolos, planes y procedimientos detallados sobre manejo de contingencias tecnológicas. Además, no existen planes o mecanismos fijos y detallados para llevar a cabo análisis de riesgos, de manera periódica. Esto pudo haber contribuido en el incremento del impacto de los sucesos mencionados.
El DRNA tiene deficiencias en el manejo preventivo de fallas en los sistemas de información, afectan servicios esenciales provistos por DRNA a la ciudadanía. De la información obtenida, surge que, el DRNA no estuvo preparado, de manera adecuada y suficiente, para mantener y garantizar el funcionamiento de los sistemas de información. De otra parte, se identificó que los contratos de mantenimiento se encontraban vencidos y no se recibió copia o declaración certificada de los registros o bitácoras de mantenimiento a los sistemas y equipos de información por los pasados doce (12) meses.
Otras deficiencias incluyen falta de controles internos para el manejo de los sistemas de información del DRNA y la protección adecuada de equipos y ausencia de planes, procedimientos y políticas de análisis preventivo para el manejo de riesgos y contingencias en los sistemas de información.
El informe fue publicado en la página electrónica de la OIG y está disponible a través de www.oig.pr.gov. La OIG reitera el llamado a proveer información relacionada al mal manejo de fondos públicos a través de la línea confidencial 787-679-7979 o través del correo electrónico informa@oig.pr.gov.