Inter News Service Agencia de Noticias
San Juan, 31 jul (INS).- La Contraloría de Puerto Rico emitió una opinión cualificada de las operaciones de la Oficina de Tecnología de Información y de los sistemas de información de la Compañía de Turismo de Puerto Rico, tras detectar faltas de control en los sistemas de información de la agencia.
El informe señala que Turismo carece de un análisis de riesgos de los sistemas de información computarizados y que proveyó a los auditores de un Manual de Contingencia y Recuperación de Desastres que no contiene los aspectos básicos para un análisis de riesgo.
Esto se refiere a falta de inventario de los activos existentes con su clasificación de acuerdo al nivel de importancia para la continuidad de las operaciones, entre otros. Una situación similar ya se había comentado en el informe TI-07-04 del año 2006.
La auditoría de tres hallazgos indica que en la Compañía de Turismo no se examinan los registros de eventos y violaciones de seguridad que el mismo sistema operativo alerta (security events logs).
Esta situación, contraria a la política ATI-003 de la Carta Circular 140-16, sobre la seguridad de los sistemas de información y las normas generales sobre la implantación de sistemas, impide la detección de errores críticos o problemas con accesos no autorizados a los servidores y las computadoras.
Tampoco en Turismo se realizaban revisiones periódicas de las cuentas de acceso de los usuarios, tal como dispone el Reglamento para Usuarios que manejan Sistemas de Tecnología de Información.
La situación puede propiciar que personas no autorizadas puedan lograr el acceso a información confidencial y hacer uso indebido de ella, o que se cometan irregularidades y/o se altere por error o deliberadamente los datos contenidos en los sistemas de información.
El informe cubre el período entre el 22 de enero y el 21 de diciembre de 2018 y está disponible en www.ocpr.gov.pr . INS
aa