Por Redacción AGR News
agrnews1@gmail.com

La Oficina de la Contralora de Puerto Rico (OCPR) emitió -hoy martes-, un informe que expone serias deficiencias en los sistemas de información de la Administración de Vivienda Pública (AVP), tras una auditoría realizada al Área de Sistemas de Información Tecnológica (ASIT). El examen, dirigido por la contralora y CPA Carmen Vega Fournier, abarcó del 1 de enero de 2022 al 4 de junio de 2025 y concluyó con una opinión cualificada debido a seis hallazgos relacionados con fallas en controles de acceso, ciberseguridad, manejo de cuentas, continuidad operacional y administración de sistemas computadorizados.

Vega Fournier advirtió que la acelerada evolución tecnológica exige a las agencias gubernamentales reforzar continuamente sus sistemas de información. “La ausencia de controles adecuados, planes de contingencia, análisis de riesgo y programas robustos de ciberseguridad aumenta significativamente la exposición a accesos no autorizados, pérdida de información e interrupciones operacionales”, expresó. Añadió que las deficiencias detectadas requieren atención inmediata para fortalecer la gobernanza tecnológica y la resiliencia digital de la AVP.

El informe detalla que la AVP utiliza el Sistema Yardi para administrar proyectos de vivienda pública, mantenimiento, asignación de unidades, el Programa Sección 8 y otros procesos que incluyen información confidencial de miles de familias. Sin embargo, la auditoría encontró fallas significativas en la documentación y autorización de cuentas de acceso.

El análisis de 25 formularios de creación de cuentas reveló solicitudes incompletas, sin datos esenciales como tipo de usuario, permisos autorizados o propiedades asignadas. Además, el ASIT no contaba con evidencia de autorización para cuentas con privilegios administrativos, lo que impide verificar si los accesos fueron otorgados correctamente.

La auditoría también identificó que, al 31 de diciembre de 2024, permanecían activas 23 cuentas pertenecientes a exempleados, algunas sin desactivarse por más de 900 días. A esto se suman 412 cuentas sin actividad por más de 90 días, incluyendo casos con hasta 3,514 días sin uso.

“Mantener cuentas activas de exempleados o inactivas por períodos prolongados representa un riesgo significativo para la protección de información confidencial”, señaló la contralora.

Otro hallazgo clave es que la AVP no contaba con un análisis formal de riesgos de sus sistemas de información, ni con un programa de ciberseguridad o procedimientos aprobados para manejar incidentes cibernéticos. La falta de estos elementos limita la capacidad de la agencia para responder y recuperarse ante ataques o fallas tecnológicas.

Asimismo, la auditoría reveló que la AVP carecía de un plan de contingencia y de recuperación de desastres, lo que podría provocar improvisación durante emergencias, pérdida de datos y prolongadas interrupciones de servicios esenciales.

La Oficina de la Contralora también señaló la ausencia de políticas y normas aprobadas en áreas críticas como:

– Control de accesos lógicos y físicos.

– Administración de redes y sistemas.

– Manejo de ciberseguridad e incidentes.

– Respaldo y recuperación de información.

– Control de actualizaciones.

– Uso de sistemas computadorizados.

– Disposición de equipos tecnológicos.

– Clasificación y publicación de datos conforme a la Ley 40-2024.

Estas deficiencias, según el informe, responden a limitaciones de recursos, falta de personal especializado y atrasos en procesos internos.

La gerencia de la AVP informó que trabaja en nuevos formularios y mecanismos de segregación de accesos, además de ofrecer orientaciones sobre administración de cuentas. También indicó que solicitará autorización para contratar personal externo especializado en ciberseguridad.

La Contralora recomendó al secretario del Departamento de la Vivienda y al administrador de la AVP:

– Desarrollar y aprobar políticas y procedimientos tecnológicos.

– Actualizar formularios de acceso al Sistema Yardi.

– Documentar todas las cuentas administrativas.

– Desactivar cuentas de exempleados de forma oportuna.

– Realizar análisis de riesgos.

– Crear un programa de ciberseguridad.

– Establecer protocolos de manejo de incidentes.

– Preparar planes de contingencia y recuperación de desastres.

– Realizar simulacros periódicos para evaluar la continuidad operacional.

“La transformación digital requiere estructuras sólidas de control interno. La ausencia de estos mecanismos expone a las agencias a riesgos operacionales, financieros y reputacionales”, afirmó Vega Fournier.

La AVP administra programas de vivienda pública y asistencia habitacional, con presupuestos que ascendieron a $562.1 millones en 2021-22, $899.9 millones en 2022-23 y $652.6 millones en 2023-24.