Informe de la Contraloría reveló además que, al 26 de junio de 2023, el RCM no contaba con un informe de análisis de riesgos de los sistemas de información computadorizados
San Juan, Puerto Rico (EFE) – La Contraloría de Puerto Rico informó este miércoles que una auditoría suya reveló que el Plan de Seguridad de la Red de los Sistemas de Información del Recinto de Ciencias Médicas (RCM) no se ha actualizado a los cambios operacionales desde su aprobación hace 18 años.
De igual manera, la auditoría de dos hallazgos señala que la Política de Seguridad de Tecnologías de Información de dicho sistema técnico, aprobada hace 11 años, no está actualizada a los cambios de seguridad organizacional, indicó la Contraloría en un comunicado.
El informe revela además que, al 26 de junio de 2023, el RCM no contaba con un informe de análisis de riesgos de los sistemas de información computadorizados.
Este análisis, que permite identificar los activos de los sistemas de información, así como sus vulnerabilidades y amenazas, debe actualizarse cada 24 meses, enfatizó la Contraloría.
Esta situación tiene el efecto de que no se puede estimar el impacto de los elementos de riesgos en los sistemas de información, reveló la auditoría.
Algunos de estos riesgos son modificar, interrumpir o destruir información de los sistemas, o el acceso no autorizado.
Por ello, la Contraloría recomendó actualizar reglamentación y procesos en los sistemas de información del RCM.
Además, el Estándar para el Manejo de Incidentes de Seguridad no menciona los procesos vigentes para solicitar, renovar o cambiar la contraseña. Estas situaciones pueden propiciar que se cometan errores o irregularidades sin que se puedan detectar a tiempo.
Por ello, el informe le recomienda a la rectora del RCM que se asegure que el director interino de la Oficina de Sistemas de Información finalice la evaluación de la cotización de una compañía privada para realizar el Análisis de Riesgos.
Además, se le pide que realice las gestiones para actualizar y aprobar la reglamentación indicada en los hallazgos.
Ante todo ello, la Contraloría emitió una opinión cualificada de las operaciones de los sistemas de información computadorizados de la Oficina de Sistemas de Información del RCM.
Una opinión cualificada se emite cuando los incumplimientos individuales o en conjunto son significativos, pero no generalizados.