La contralor Yesmín Valdivieso reveló el miercoles la auditoría número TI-15-01 que documenta ciertas irregularidades en el Negociado de Tecnología y Comunicaciones (NTC) y la División de Tecnología de la Policía de Puerto Rico.

Valdivieso detalló que la auditoría señala cinco hallazgos sobre los controles internos para la administración del programa de seguridad y la continuidad de los servicios. Además, revela la falta de un informe de análisis de riesgo de los sistemas de información, un plan de seguridad y de un procedimiento escrito para el manejo de incidentes y un registro de programas instalados en las computadoras, entre otro.

La auditoría realizada entre el período del 8 de octubre de 2012 al 31 de agosto de 2013, especifica que al 18 de octubre de 2012, la Uniformada no se había preparado para el análisis de riesgos de los sistemas informáticos. Según el documento, para la realización de funciones administrativas como el Registro de Querellas, 'la Policía contaba con cerca de 5,000 computadoras y 54 servidores, a través de los cuales 3,410 usuarios accedían a sus aplicaciones y sistemas, incluidos el correo electrónico e Internet'.

Por otro lado, la auditoría indica que el 18 de octubre de 2012, la Policía no tenía un plan de seguridad aprobado por el superintendente, que incluyera, entre otras cosas, disposiciones sobre la documentación de la validación de las normas de seguridad; la evidencia de un análisis de riesgo actualizado que sea base del plan de seguridad; la responsabilidad de la gerencia, de los oficiales de seguridad y de los demás componentes de la unidad; un programa de adiestramiento especializado al equipo clave de seguridad.

Asimismo, el documento indica que la Uniformada tampoco tenía un programa de adiestramiento continuo sobre seguridad que incluya a los nuevos empleados, contratistas y usuarios que permita mantener los conocimientos actualizados; la documentación de los controles administrativos, técnicos y físicos de los activos de información como datos, programación, equipos y personal, entre otros y la documentación de la interconexión de los sistemas.

Al 28 de febrero de 2013, el NTC no tenía un procedimiento para el manejo de incidentes que estableciera, una estrategia documentada para el manejo de los incidentes, un equipo de respuesta y la documentación de las actividades relacionadas con los mismos, según establece el informe.

Entretanto, la auditoría señala que la Policía tampoco tenía un plan de continuidad de negocios que incluyera los planes específicos del NTC y que a pesar que la División de Tecnología contaba con el Plan Operacional de Emergencia para Huracanes, en junio de 2013 esta división no contaba con un plan de contingencia detallado que estableciera las medidas a considerarse en caso de ocurrir otros eventos o situaciones de emergencia.

Por otro lado, indica que al 26 de marzo de 2013, el cuerpo policiaco no contaba con un centro alterno para restaurar sus operaciones críticas computadorizadas en caso de emergencia. Tampoco había formalizado acuerdos escritos con otra entidad para establecer un centro alterno en las instalaciones de esta.

Además, el documento incluye señalamientos sobre la falta de autorización del superintendente para el uso de sistemas de información y otros procedimientos. La auditoría señala que a esos efectos, no se cumplió con la Orden General 2003-25 de Normas y Controles para el uso de los Sistemas Computadorizados en la Policía.

Finalmente, la auditoría señala que al 19 de febrero de 2013, la División de Tecnología no mantenía un registro de los programas adquiridos e instalados en cada computadora que incluyera el número de licencia; el nombre del usuario; el número de propiedad y la descripción de la computadora donde estaban instalados los programas y el costo de los programas instalados.