El Cuerpo de Emergencias Médicas (CEM) –ahora Negociado del Cuerpo de Emergencias Médicas de Puerto Rico- no había preparado un informe de análisis de riesgos de los sistemas de información computadorizados al 30 de septiembre de 2015.
Esto se traduce en que no permite estimar el impacto de los elementos de riesgo ni planificar cómo protegerlos para reducir los riesgos de daños materiales y la pérdida de información.
Así lo reveló la Contraloría de Puerto Rico en el informe TI-18-05 sobre los controles internos para la administración de la seguridad, el acceso lógico y la continuidad del servicio de la Oficina de Sistemas de Información del CEM, del que emitió una opinión cualificada. Una opinión cualificada se emite cuando los incumplimientos individuales o en conjunto son significativos pero no generalizados.
Según el informe, el CEM contaba con 177 computadoras, 10 servidores y las aplicaciones NorthStar Computer Aided Dispatch para los servicios médicos de emergencia, e-Roc para los asuntos administrativos y Kronos para registrar la asistencia del personal.
La auditoría de cuatro hallazgos señala deficiencias con el Plan de Continuidad de negocio que no estaba aprobado ni actualizado, y con el Plan de Respuesta de Emergencias que tampoco estaba actualizado. Además, el CEM no contaba con un centro alterno para restaurar sus operaciones y nunca formalizó por escrito el establecer dicho centro alterno con la entonces Agencia Estatal para el Manejo de Emergencias y Administración de Desastres (AEMEAD), conocida hoy como el Negociado del Cuerpo de Emergencias Médicas (NMEAD).
“Nuestros auditores identificaron la falta de un procedimiento escrito para mantener el control de acceso a las cuentas y la ausencia de un registro sobre el seguimiento, análisis y solución de incidentes de seguridad”, señala la Contraloría, destacando que esta situación es contraria a la Política de Seguridad de los Sistemas de Información contenido en la Carta Circular 77-05.
Al respecto, el Informe recomienda al Comisionado del NMEAD que se asegure de que se redacten y aprueben las normas y procedimientos para controlar el acceso a las aplicaciones y sistemas de información, y que imparta instrucciones a la compañía contratada para que mantenga un registro con el análisis de los incidentes que ocurran en los sistemas de información.
El Informe cubre el periodo del 24 de agosto de 2015 al 24 de junio de 2016 y está disponible en www.ocpr.gov.pr.
laislaoeste@gmail.com
