Identifican fallas en los controles y seguridad del sistema de información del DTOP

La Oficina del Inspector General de Puerto Rico (OIG) identificó serias faltas en los controles y seguridad a los sistemas de información del Departamento de Transportación y Obras Públicas (DTOP), incluyendo aquellos que contienen datos sensibles sobre los usuarios y residentes de Puerto Rico. 

Los hallazgos surgieron como parte de un examen de cumplimiento, que incluyó la evaluación a los documentos y a la información recopilada sobre los controles de los accesos otorgados y la seguridad del Sistema Drivers and Vehicles Information Databases Plus (DAVID+), establecidos por DTOP y la Autoridad de Carreteras y Transportación (ACT).

Las serias deficiencias sobre los controles de información incluyen el uso sobre tecnología y servidores donde reside el Sistema DAVID+ que se encuentran obsoletos y sin soporte técnico del fabricante.Al momento del examen los dos (2) servidores donde reside DAVID+ marca IBM Modelo Power 570, se encuentran obsoleto y sin apoyo técnico. La IBM retiro el 7 de enero de 2011 los equipos el mercado y descontinuó su soporte técnico el 31 de marzo de 2019^[1].

Un enrutador (Router) Cisco 7606 utilizado para la conexión con la red de una compañía de servicios, la Puerto Rico Electric Power Authority (PREPA), la OGP y la retrasmisión con el sitio de la réplica (Prime Venture Data Center), se encontraba obsoleto y sin apoyo técnico. Este fue retirado del mercado el 24 de julio de 2016 y no cuenta con soporte técnico del fabricante desde el 31 de julio de 2021².

Como parte de la evaluación de los controles internos sobre los accesos otorgados y a la seguridad DAVID+ en el requerimiento inicial se solicitó una copia del análisis de riesgos y el Plan de Seguridad del DTOP. El examen realizado reveló que DTOP no contaba con un análisis de riesgos de los sistemas de información computadorizados ni Plan de Seguridad vigente.

El 20 de abril de 2023, la ACT a través de su director ejecutivo certificó a la OIG que no cuentan con un Plan de Manejo de Incidentes vigente y se está trabajando en la creación de este.  

La evaluación realizada por la OIG incluyó 15 hallazgos relacionadas a los sistemas de información en el DTOP y la ACT según se describe:

• Servidores donde reside el sistema DAVID+ y equipo de comunicación obsoleto y sin soporte del fabricante.
• Falta de un Plan Estratégico de Tecnología de Información.
• Falta de análisis de riesgos de los sistemas de información computadorizados y un Plan de Seguridad.
• Deficiencias en el Plan de Contingencias del Área de Tecnología de Información.
• Falta de un centro alterno para la recuperación de las comunicaciones.
• Falta de un plan y de un registro para el manejo de incidentes de seguridad.
• Incumplimiento en someter el nombramiento del Oficial Principal de Informática al Puerto Rico Innovation and Technology Service.
• Falta de organización de los cables que se conectaban a los equipos de comunicación.
• Deficiencias relacionadas con la administración de las cuentas de acceso activas a exempleados en el Sistema DAVID+.
• Falta de controles físicos en el área del servidor donde reside el Sistema DAVID+.
• Fallas relacionadas con el diagrama esquemático de la red de comunicaciones.
• Fallas relacionadas con los controles ambientales en el Minillas Data Center.
• Deficiencias relacionadas con el informe de inventario de la Oficina de Sistema de Información del DTOP y del Área de Tecnología de Información de la ACT y de los programas instalados en las computadoras.
• Falta de adiestramientos continuos a los usuarios sobre el uso de los sistemas de información y las políticas de seguridad y otras deficiencias en la implantación de éstas.
• Reglamentación de los sistemas de información sin actualizar.
• Debido a las serias deficiencias de controles identificadas y el riesgo de seguridad de la información de los usuarios, la OIG requirió que se atiendan de manera urgente recomendaciones solicitadas dentro de los próximos 90 días calendario.

Se estableció además que considerando la exposición a ataques cibernéticos a los que han estado expuestos las agencias gubernamentales por los pasados años, los riesgos hacen al DTOP una entidad sumamente vulnerable a la extracción no autorizada de datos sensitivos de los usuarios de sus sistemas de información.

El borrador de los resultados y hallazgos del examen se sometieron para comentarios y respuesta el 24 de abril de 2023, a la secretaria del DTOP. La secretaria mediante su asesor legal sometió sus comentarios a los resultados y hallazgos mediante carta recibida el 17 de mayo de 2023, donde estableció, entre otras cosas lo siguiente:

“Actualmente el DTOP está evaluando cada uno de los hallazgos señalados y nos encontramos laborando en los primeros borradores de las acciones correctivas. Esto con el propósito de atender cada uno de los hallazgos con el fin de cumplir oportunamente con las leyes a las que hace referencia dicho informe y mejorar la ejecución de nuestros servicios a la ciudadanía».