La Contraloría de Puerto Rico emitió el miércoles una opinión cualificada de las operaciones de la Oficina de Informática y de los sistemas de información computadorizados del Departamento de Recursos Naturales y Ambientales (Departamento).
El informe revela que se invirtieron 262,951 dólares sin obtener beneficios en dos proyectos para implementar sistemas computadorizados para facturar la extracción y uso de agua, y automatizar la recolección de multas. Luego de 10 años los proyectos no se utilizaban, y los procesos se realizaban de forma manual.
Los auditores de la Contraloría hallaron que el Departamento no contaba con un inventario actualizado ni la Oficina de Informática mantenía un registro de los programas adquiridos e instalados en cada computadora. Estas situaciones propician un ambiente para el uso indebido o desaparición de la propiedad, e impide ejercer un control eficaz de los programas y licencias.
Esta situación, priva a las divisiones de Franquicias de Agua, y de Facturación y Cobro, de las herramientas para administrar los permisos de aprovechamiento y facturar el uso de agua. La franquicia es un permiso escrito que otorga el derecho de utilizar un volumen determinado de agua para usos comunes o privativos, opinó la contralora Yesmín Valdivieso.
La auditoría de siete hallazgos señala que el Departamento no contaba con un informe de análisis de riesgos de los sistemas de información computadorizados, ni de un procedimiento para el manejo de incidentes. El Departamento tampoco tenía un plan de continuidad de negocios, ni un centro alterno para la recuperación de las operaciones computadorizadas. Situaciones similares a estas, se habían comentado en el Informe de Auditoría TI-03-07 de 2003.
La Contraloría detectó múltiples deficiencias con los parámetros de seguridad y controles de acceso en el sistema operativo, ya que no se había definido la política de contraseñas que requiere al menos, 8 caracteres. Además, el examen de las 702 cuentas de usuarios activas para acceder a la red reveló, que 108 de las cuentas no se habían utilizado desde que fueron creadas y que el último acceso (last logon) en 152 de ellas, superaba los 30 días de inactividad hasta ocho años. Esta situación propicia que personas no autorizadas puedan lograr acceso a información confidencial y hacer uso indebido de esta, entre otras.
Contrario a la normativa vigente, el Departamento no mantenía copias de los respaldos de los datos guardados en las computadoras y servidores, en un lugar seguro fuera de los predios del Departamento. Además, no suministró para examen los documentos de autorización que otorga a los gerentes de informática, los privilegios de administrador de los sistemas operativos.
