San Juan – La Oficina del Inspector General de Puerto Rico (OIG) informó que su Área de Querellas e Investigaciones identificó que el Departamento de Recursos Naturales y Ambientales (DRNA) pudo haber provocado un riesgo considerable de pérdida irreparable de información esencial y privilegiada por no haber desarrollado planes y protocolos sobre mantenimiento preventivo y respuesta, ante riesgos y amenazas a los sistemas de información.
Esto debido a incidentes con sus servidores y centro de cómputos.
De la información recopilada, surgió que, a principios de agosto hubo un patrón de fallas eléctricas que atentaban contra los sistemas y las operaciones del DRNA. En específico, el DRNA indicó que, el 12 de septiembre de 2022, hubo una falla que provocó la interrupción de servicios esenciales provistos al ciudadano, así como a entidades estatales y federales.
La OIG advino en conocimiento de esta información tras transcender públicamente un incidente ocurrido en el Centro de Cómputos de las oficinas del DRNA.
“En su función preventiva, el 30 de septiembre de 2022, el Área de Querellas e Investigaciones de la OIG, diligenció una comunicación al DRNA, sobre Notificación de Visita, Inspección y Requerimiento de Información para la Investigación QI-050-23-005. Esto, con el propósito de examinar métodos de manejo y control de seguridad en los sistemas de información del DRNA y validar su cumplimiento. Como parte de la intervención, se llevaron a cabo entrevistas, visitas y requerimientos de información”, informó la OIG.
Según la investigación de la OIG, el DRNA no hizo “un análisis de riesgos, producto de las fallas y alertas ocurridas durante el mes de agosto, para evaluar la magnitud e impacto del daño que podría causar un evento mayor en cuanto al acceso, interrupción o destrucción de datos en los sistemas de información que respaldan sus operaciones”.
A pesar de que la agencia tuvo comunicaciones con PRITS y una compañía privada, no estableció controles para evitar que una situación similar volviera a ocurrir.
“El DRNA tiene deficiencias en el manejo preventivo de fallas en los sistemas de información, afectan servicios esenciales provistos por DRNA a la ciudadanía. De la información obtenida, surge que, el DRNA no estuvo preparado, de manera adecuada y suficiente, para mantener y garantizar el funcionamiento de los sistemas de información. De otra parte, se identificó que los contratos de mantenimiento se encontraban vencidos y no se recibió copia o declaración certificada de los registros o bitácoras de mantenimiento a los sistemas y equipos de información por los pasados doce (12) meses”, mencionó la OIG sobre las deficiencias encontradas.
“Otras deficiencias incluyen falta de controles internos para el manejo de los sistemas de información del DRNA y la protección adecuada de equipos y ausencia de planes, procedimientos y políticas de análisis preventivo para el manejo de riesgos y contingencias en los sistemas de información”, añadió.
El informe fue publicado en la página electrónica de la OIG y está disponible a través de www.oig.pr.gov.
