Oficina del Inspector General señala deficiencias en Recursos Naturales
El organismo informa que la agencia no cuenta con protocolos para proteger información esencial.
Nota de archivo: esta historia fue publicada hace más de 2 años.
PUBLICIDAD
El Área de Querellas e Investigaciones de la Oficina del Inspector General de Puerto Rico (OIG), informó haber identificado que incidentes recientes con los servidores y centro de cómputos del Departamento de Recursos Naturales y Ambientales (DRNA), pudieron haber provocado un riesgo considerable de pérdida irreparable de información esencial y privilegiada por no haber desarrollado planes y protocolos sobre mantenimiento preventivo y respuesta, ante riesgos y amenazas a los sistemas de información.
En declaraciones escritas, la OIG informó que el 29 de septiembre de 2022 tuvo conocimiento de información que trascendió públicamente sobre un incidente en el Centro de Cómputos de las oficinas del DRNA, “del cual no surgía certeza sobre la causa, pero que tuvo un impacto negativo en las operaciones y los sistemas de información de la entidad”.
“En su función preventiva, el 30 de septiembre de 2022, el Área de Querellas e Investigaciones de la OIG, diligenció una comunicación al DRNA, sobre Notificación de Visita, Inspección y Requerimiento de Información para la Investigación QI-050-23-005. Esto, con el propósito de examinar métodos de manejo y control de seguridad en los sistemas de información del DRNA y validar su cumplimiento. Como parte de la intervención, se llevaron a cabo entrevistas, visitas y requerimientos de información”, se indicó.
De la información recopilada, surgió que, a principios de agosto hubo un patrón de fallas eléctricas que atentaban contra los sistemas y las operaciones del DRNA.
En específico, el DRNA indicó que, el 12 de septiembre de 2022, hubo una falla que provocó la interrupción de servicios esenciales provistos al ciudadano, así como a entidades estatales y federales. A su vez, las herramientas de trabajo relacionadas a los sistemas de información, del personal de la agencia resultaron inoperables.
“En cuanto a situaciones de alerta previa, no se desprendió información indicativa que el DRNA llevara a cabo un análisis de riesgos, producto de las fallas y alertas ocurridas durante el mes de agosto, para evaluar la magnitud e impacto del daño que podría causar un evento mayor en cuanto al acceso, interrupción o destrucción de datos en los sistemas de información que respaldan sus operaciones”, explicó la OIG.
“Hubo gestiones reactivas y comunicaciones con PRITS, y con una compañía privada. Pero, aun así, no se identificaron controles futuros certeros y confiables para manejar una situación similar, a base de los resultados o las vulnerabilidades reflejadas en algún análisis preventivo de riesgos que se haya realizado. Esto, a falta de informes preventivos detallados, como parte de planes o protocolos establecidos”, añade la comunicación.
El director Interino de Informática del DRNA, proveyó a la OIG, copia de una declaración cronológica interna tipo informe, dirigida a la entonces secretaria interina del DRNA, para constatar alegadas situaciones con los resguardos, portales, discos duros, o cualquier otro incidente relacionado a los sistemas de información ocurridos desde agosto.
“No obstante, a pesar de que hubo situaciones recurrentes desde el mes de agosto, el documento titulado: Informe sobre Incidente con “Data Center”- agosto a septiembre de 2022, que fue provisto a la OIG, tiene fecha del 4 de octubre de 2022, la cual es posterior a nuestra notificación de intervención en el DRNA”, detalló la OIG al hacer énfasis en que esta acción surgió casi dos meses después de las alertas de eventos previos y luego del inicio de la gestión investigativa.
A raíz de este incidente, se identificaron riesgos adicionales sobre posible pérdida irreparable de información esencial o privilegiada por no llevarse a cabo actos preventivos suficientes, ante las alertas y amenazas.
“Como resultado de la investigación, la OIG identificó que, el DRNA pudo haber incurrido en deficiencias e incumplimientos con la política pública de controles internos y medidas preventivas para seguridad cibernética, establecida por el Gobierno de Puerto Rico y con las disposiciones de la Ley Núm. 75-2019, conocida como Ley de la Puerto Rico Innovation and Technology Service (PRITS) y otras normativas relacionadas”, dice el informe.
Se identificó que, en la División de Infraestructura, desde donde opera la Oficina de Informática, existe ausencia de protocolos, planes y procedimientos detallados sobre manejo de contingencias tecnológicas. Además, no existen planes o mecanismos fijos y detallados para llevar a cabo análisis de riesgos, de manera periódica. Esto pudo haber contribuido en el incremento del impacto de los sucesos mencionados.
“El DRNA tiene deficiencias en el manejo preventivo de fallas en los sistemas de información, afectan servicios esenciales provistos por DRNA a la ciudadanía. De la información obtenida, surge que, el DRNA no estuvo preparado, de manera adecuada y suficiente, para mantener y garantizar el funcionamiento de los sistemas de información. De otra parte, se identificó que los contratos de mantenimiento se encontraban vencidos y no se recibió copia o declaración certificada de los registros o bitácoras de mantenimiento a los sistemas y equipos de información por los pasados doce (12) meses”, añade el reporte.
Otras deficiencias incluyen falta de controles internos para el manejo de los sistemas de información del DRNA y la protección adecuada de equipos y ausencia de planes, procedimientos y políticas de análisis preventivo para el manejo de riesgos y contingencias en los sistemas de información.
Responde Recursos Naturales
El DRNA, por su parte, reiteró que el informe de la OIG “confirma lo que dijimos desde el primer día, que nunca hubo tal cosa como un incendio, y que se trató de un problema por fluctuaciones de energía”.
En declaraciones escritas la agencia también reitera que se cumplió con “todos los protocolos de informar y trabajar directamente con PRITS, así como entes externos expertos en seguridad cibernética”.
“De igual forma, hemos acogido las recomendaciones de la OIG, algunas de las cuales ya estábamos implementando antes de que se emitiera este informe. Lo más importante es que nunca estuvo en riesgo ninguna información sensitiva, como resultado de nuestras gestiones”, se indicó.
El informe fue publicado en la página electrónica de la OIG y está disponible a través de www.oig.pr.gov.
La OIG reitera el llamado a proveer información relacionada al mal manejo de fondos públicos a través de la línea confidencial 787-679-7979 o través del correo electrónico informa@oig.pr.gov.