SAN JUAN – La contralora de Puerto Rico, Carmen Vega Fournier, informó el martes que una auditoría de tecnología de información a la Administración de Vivienda Pública reveló deficiencias en accesos al Sistema Yardi, cuentas activas de exempleados, ausencia de planes de contingencia y debilidades de ciberseguridad.
“El control efectivo de accesos es una medida básica de seguridad informática. Mantener cuentas activas de exempleados o cuentas inactivas por períodos prolongados representa un riesgo significativo para la protección de información confidencial y para la integridad operacional de los sistemas gubernamentales”, expresó Vega Fournier en declaraciones escritas.
La auditoría cubrió el período del 1 de enero de 2022 al 4 de junio de 2025 y concluyó con una opinión cualificada por 6 hallazgos relacionados con seguridad tecnológica y control interno.
El informe señala que la Administración utiliza el Sistema Yardi para administrar proyectos de vivienda pública, mantenimiento, asignación de viviendas, el Programa de Sección 8 y otras operaciones.
Según la Oficina de la Contralora, el sistema almacena información confidencial sobre composición familiar, situación económica y circunstancias personales de solicitantes y participantes de programas de vivienda pública.
Entre los hallazgos principales, la auditoría identificó deficiencias en la documentación y autorización de cuentas de acceso al Sistema Yardi.
El examen de 25 formularios utilizados para crear cuentas reveló solicitudes sin información requerida sobre tipo de solicitud, tipo de usuario, tipo de empleado, propiedades autorizadas y permisos relacionados con órdenes de compra y cuentas por pagar.
La auditoría también encontró que el Área de Sistemas de Información Tecnológica no tenía documentación relacionada con cuentas con privilegios administrativos asignadas a grupos de seguridad con acceso amplio al sistema.
Al 31 de diciembre de 2024, permanecían activas 23 cuentas de exempleados que habían cesado funciones entre julio de 2022 y diciembre de 2024.
En algunos casos, habían transcurrido hasta 900 días desde la separación del empleado.
Además, la Oficina de la Contralora identificó 412 cuentas activas que no habían sido utilizadas por más de 90 días, incluidas cuentas con hasta 3,514 días sin actividad registrada.
Otro hallazgo establece que la Administración no contaba con un informe formal de análisis de riesgos de sus sistemas de información computadorizados.
Tampoco había desarrollado, documentado ni implementado un programa de ciberseguridad ni procedimientos aprobados para responder a incidentes de seguridad cibernética.
La auditoría reveló además que la agencia no tenía un plan de contingencia ni un plan de recuperación de desastres para sus sistemas de información.
Según el informe, esa ausencia puede provocar improvisación durante emergencias, interrupciones prolongadas de servicios, pérdida de información y gastos innecesarios ante incidentes tecnológicos o desastres.
La Oficina de la Contralora también identificó falta de políticas aprobadas sobre controles de accesos, administración de redes, manejo de incidentes, respaldo y recuperación de información, actualizaciones de aplicaciones, uso de sistemas, disposición de equipos tecnológicos y clasificación de datos bajo la Ley de Ciberseguridad.
“La transformación digital y la protección de información requieren estructuras sólidas de control interno y seguridad cibernética. La ausencia de estos mecanismos expone a las agencias públicas a riesgos operacionales, financieros y reputacionales que pueden impactar directamente los servicios ofrecidos al ciudadano”, sostuvo la contralora.
La auditoría atribuye parte de las deficiencias a limitaciones de recursos, falta de personal especializado, ausencia de participación del área tecnológica en la creación de cuentas de acceso y atrasos en informes de cuentas sin actividad.
En sus comentarios, la gerencia de Vivienda Pública indicó que trabaja en nuevos formularios, mecanismos de segregación de accesos y orientaciones sobre administración de cuentas.
También informó que no cuenta con personal especializado para desarrollar análisis y programas de ciberseguridad, por lo que solicitó autorización para contratar recursos externos.
Durante los años fiscales 2021-2022 al 2023-2024, la Administración de Vivienda Pública manejó presupuestos aproximados de 562.1 millones de dólares, 899.9 millones de dólares y 652.6 millones de dólares, respectivamente.