La Contraloría de Puerto Rico halló incumplimientos en las operaciones fiscales de la Oficina de Sistemas de Información y Procesamiento Electrónico de la Comisión Estatal de Elecciones (CEE).
El Informe revela que, al 8 de marzo de 2023, no se habían definido las políticas de contraseñas ni se habían establecido las políticas de control, para limitar la cantidad máxima de intentos de acceso fallidos antes de desactivar.
Además, el 20 por ciento de las cuentas de usuarios activas examinadas estaban configuradas para que sus contraseñas no expiraran.
Una situación similar se había comentado en el Informe de Auditoría (TI-13-14) del 2013. Estas deficiencias con los parámetros de seguridad de las contraseñas aumentan el riesgo de que puedan ser descifradas y utilizadas por personas no autorizadas.
La auditoría de tres hallazgos señala que, al 27 de marzo de 2023, no se habían desactivado en el servidor principal, las cuentas de 27 exempleados que habían cesado sus funciones entre el 2020 y 2023.
Además, del análisis de 664 cuentas activas, se identificaron 32 que nunca fueron utilizadas y 129 que no se habían utilizado, transcurridos entre dos meses hasta más de tres años desde el último acceso.
Por otro lado, en el sistema Advanced Civil ID, no se habían desactivado las cuentas de 17 exempleados, transcurridos hasta más de dos años de haber cesado funciones.
Estas situaciones le impiden a la CEE mantener un control efectivo y eficaz sobre las cuentas de acceso y los privilegios asignados, entre otros.
Los auditores hallaron múltiples deficiencias con los formularios de solicitud de acceso a la red de comunicación. Por ejemplo, en siete de 20 cuentas de acceso a la red, no se encontró el formulario de la solicitud, y seis cuentas no incluían toda la información requerida. Además, en 16 de las 25 cuentas de acceso al sistema Advanced Civil ID, no se encontró el formulario de la solicitud, y siete formularios no incluían toda la información requerida.
La auditoría le recomienda a la presidenta alterna de la CEE, que supervise de forma efectiva, y se asegure que el director y subdirector de la Oficina de Sistemas cumplan con las recomendaciones del Informe.
El presupuesto asignado a la CEE proviene de resoluciones conjuntas del Fondo General y de fondos federales. El presupuesto aprobado del 2021 al 2023, fue de $37,860,000, $24,506,000 y de $31,567,000 respectivamente. La Oficina de Sistemas, no tuvo presupuesto asignado durante estos años fiscales.
Este informe de la Oficina de Sistemas de Información y Procesamiento Electrónico de la CEE, cubre el periodo del 6 de octubre de 2022 al 31 de mayo de 2023, y está disponible en www.ocpr.gov.pr.