Contralora urge al gobierno reforzar controles en sistemas de información
Un informe señala que 94 entidades no tenían análisis de riesgo, 58 de las 104 con análisis de riesgo informaron que sus controles no estaban actualizados, y 35 no habían implementado controles de ciberseguridad.
Un informe de la Contralora reveló hoy que las entidades gubernamentales necesitan reforzar de inmediato los controles establecidos a los sistemas de información computadorizados para garantizar la seguridad y confiabilidad de sus sistemas de información y la continuidad de las operaciones.
El informe “Cuestionario de Infraestructura Tecnológica del Estado Libre Asociado de Puerto Rico” revela que 30 entidades no contaban con un área para administrar los sistemas, seis no tenían personal designado ni de apoyo para atender los sistemas, y cinco entidades describieron como bajo el impacto de los sistemas de información en sus operaciones. Además, 129 entidades mantienen sus sistemas de información en la misma entidad, y sólo una mantiene su sistema en una instalación externa, en la nube y en la misma entidad.
“Las entidades gubernamentales y los municipios son responsables de establecer los controles internos para garantizar la seguridad y confiabilidad de sus sistemas de información, la integridad y disponibilidad de los datos, y la continuidad de las operaciones. Además, las entidades deben asegurar la efectividad de dichos controles y de los procesos utilizados en la planificación, el desarrollo y la implementación de los proyectos de tecnología”, dice un comunicado enviado por la Contralora.
De las 198 entidades evaluadas, 171 cuentan con aplicaciones para procesar transacciones financieras, de recursos humanos, nómina y asistencia, y 134 han invertido $459.5 millones en proyectos de tecnología de información en los últimos dos años. Además, 156 entidades se comunican y ofrecen sus servicios a la comunidad por internet, 47 emplean aplicaciones móviles y 174 en las redes sociales.
El informe señala que 94 entidades no tenían análisis de riesgo, 58 de las 104 con análisis de riesgo informaron que sus controles no estaban actualizados, y 35 no habían implementado controles de ciberseguridad. Otro hallazgo indica que 89 entidades no habían realizado auditorías internas o externas de sus sistemas de información, 91 no cuentan con plan para el manejo de incidentes, y 134 utilizan sistemas operativos obsoletos.
“Estos controles de seguridad son los que permiten asegurar la exactitud, integridad y protección de los procesos y recursos críticos. Los controles incluyen la preparación de un informe de análisis de riesgos, adoptar normas que aseguren las operaciones computadorizadas y establecer medidas de ciberseguridad, entre otros”, agrega el comunicado.
De la información obtenida se concluye que 67 entidades no cuentan con controles para la continuidad del servicio, 56 no habían actualizado sus planes de contingencia y 53 no contaban con un plan de recuperación de desastres. Además, 20 entidades no mantienen respaldos de los datos procesados en sus aplicaciones principales y 20 no mantienen los respaldos fuera de los predios de la entidad.
La evaluación revela también que 76 entidades no realizan pruebas de recuperación de los respaldos. Esta situación se atribuye, entre otras razones, a la carencia de recursos tecnológicos y de personal capacitado, a que los proyectos en proceso consideran las pruebas en su infraestructura, o al desconocimiento de la situación.
El informe publica que 40 entidades no tienen normas escritas para la creación de cuentas de acceso a los sistemas de información, 76 entidades no cuentan con procedimientos para salvaguardar la información, y 30 entidades no documentan las solicitudes y autorizaciones de acceso. Los controles de acceso lógico a los sistemas de información computadorizados proveen garantías sólo a quienes están autorizados y limitan el acceso inapropiado a los recursos de tecnología de información.
Otro de los resultados indica que 63 entidades no contaban con un diagrama actualizado de la infraestructura de la red de comunicación. El diagrama permite identificar los equipos conectados a la red, las conexiones existentes y la configuración de estas.
El informe especial concluye que la tecnología es clave para garantizar un gobierno transparente y receptivo a las necesidades de la sociedad. Estas herramientas permiten una administración eficiente, reduce las irregularidades y mejora la eficiencia laboral.
“Sin embargo, sólo los avances tecnológicos, no garantizan el éxito de una entidad, sino que la entidad debe garantizar la seguridad de los sistemas y la confidencialidad de la información de los ciudadanos”, indica la Contralora.
El informe, con fecha del 25 de octubre de 2023, dice que se consideraron las contestaciones recibidas desde el 4 de septiembre de 2022 al 23 de febrero de 2023.
Lea aquí el informe completo.