Un informe publicado este martes por la Oficina del Contralor de Puerto Rico (OCPR) revela serias deficiencias en los controles establecidos a los sistemas de información computadorizados de los municipios y entidades gubernamentales.
Según el ente fiscalizador, de las 198 organizaciones evaluadas, 94 no tienen análisis de riesgo, 58 de las 104 con análisis de riesgo informaron que sus controles “no estaban actualizados” y 35 no han implementado controles de ciberseguridad.
PUBLICIDAD
Otro hallazgo indica que 89 entidades no han realizado auditorías internas o externas de sus sistemas de información, 91 no cuentan con plan para el manejo de incidentes y 134 utilizan sistemas operativos “obsoletos”.
De la información obtenida se concluye que 67 entidades no cuentan con controles para la continuidad del servicio, 56 no han actualizado sus planes de contingencia y 53 no poseen un plan de recuperación de desastres.
Además, 20 entidades no mantienen respaldos de los datos procesados en sus aplicaciones principales y 20 no mantienen los respaldos fuera de los predios de la entidad.
La evaluación revela también que, 76 entidades no realizan pruebas de recuperación de los respaldos. Esta situación se atribuye, entre otras razones, a la carencia de recursos tecnológicos y de personal capacitado, según el Contralor.
De igual manera, el informe publica que 40 entidades no tienen normas escritas para la creación de cuentas de acceso a los sistemas de información, 76 entidades no cuentan con procedimientos para salvaguardar la información, y 30 entidades no documentan las solicitudes y autorizaciones de acceso.
PUBLICIDAD
Otro de los resultados indica que, 63 entidades no tienen un diagrama actualizado de la infraestructura de la red de comunicación, que les permita identificar los equipos conectados a la red, las conexiones existentes y la configuración de estas.
Estos controles de seguridad son los que permiten asegurar la exactitud, integridad y protección de los procesos y recursos críticos. Los controles incluyen la preparación de un informe de análisis de riesgos, adoptar normas que aseguren las operaciones computadorizadas y establecer medidas de ciberseguridad, entre otros.
Las entidades gubernamentales y los municipios son responsables de establecer los controles internos para garantizar la seguridad y confiabilidad de sus sistemas de información, la integridad y disponibilidad de los datos, y la continuidad de las operaciones.
