Contraloría señala fallas en controles internos en Comisión Apelativa del Servicio Público

La situación por la que se señala, impide estimar el impacto que los riesgos sobre los sistemas críticos y cómo protegerlos.

shanelevi via Visual Hunt

La Contraloría de Puerto Rico emitió una opinión favorable con excepciones sobre los controles internos establecidos para la administración del programa de seguridad, el acceso y la continuidad del servicio de los sistemas de información computadorizados de la Comisión Apelativa del Servicio Público.

El Informe de seis hallazgos revela que al 15 de agosto de 2015 la Comisión no contaba con informes de análisis de riesgos, de impacto de negocios, ni un procedimiento para el manejo de incidentes. Estas situaciones impiden estimar el impacto que los riesgos sobre los sistemas críticos y cómo protegerlos. Además dificultan desarrollar un plan de continuidad de negocios. Según el Presidente de la Comisión, los empleados conocían los riesgos y el impacto que ocasionaría la perdida de equipo, pero no lo habían documentado para su aprobación.

- Publicidad -

Además, la Comisión no tenía un centro alterno para la recuperación de las operaciones computadorizadas, ni un plan de continuidad de negocios ni de contingencias sobre los sistemas de información. Estas guías y prácticas son necesarias para cuando se presenten situaciones de emergencias.

“Nuestros auditores identificaron otras deficiencias como la falta de normas y procedimientos para la administración y la seguridad de los sistemas de información computadorizados, deficiencias con los parámetros de seguridad, y falta de controles físicos en las áreas de distribución de cableado. Por ejemplo, algunos de los switches se encontraban detrás de las fotocopiadoras cerca del piso, en la pared expuestos, o sobre los escritorios, por lo cual las interconexiones están expuestas al polvo, humedad, o accidentes involuntarios”, detalló la Contraloría en un informe de prensa.

Finalmente, la Contraloría recomienda al Presidente de la Comisión Apelativa del Servicio Publico que se asegure que la Comisión realice los análisis de riesgos de los sistemas de información y de impacto de negocios según establece las políticas de Seguridad de los Sistemas de Información de (TIG-003) de la Carta Circular 77-05 y el Programa de Continuidad Gubernamental de 2011 (TIG-015).

El Informe cubre el periodo del 15 de julio de 2015 al 15 de enero de 2016 y está disponible  en www.ocpr.gov.pr.

La Comisión actúa como un organismo cuasi-judicial en la Rama Ejecutiva, especializado en asuntos obrero patronales y del principio de mérito atendiendo casos laborales, de querellas y de administración de recursos humanos, tanto para los empleados que negocian sus condiciones de trabajo al amparo de la Ley.